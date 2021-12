Die CISA, eine dem Department of Homeland Security (DHS) unterstellte US-Sicherheitsbehörde, analysiert die Bedrohungslage im Bereich IT-Sicherheit und berät US-Behörden, wie diese sich vor Cyberbedrohungen schützen können. Die Behörde ist zudem mit Weisungsbefugnissen ausgestattet. Letztere nutzt sie nun, um den US-Behörden das Abdichten der Log4Shell-Sicherheitslücke bis Heiligabend ins Pflichtenheft zu schreiben.

Für hilfreiche Hinweise und Anleitungen hat die CISA eine eigene Webseite aufgesetzt. Die Seite Apache Log4j Vulnerability Guidance liefert allgemeine Informationen zum Umgang mit der Schwachstelle. In einem eigenen github-Repository will die Sicherheitsbehörde laufend aktualisierte Informationen wie Hersteller-Sicherheitsmeldungen zum Log4j-Sicherheitsdebakel sammeln. So entsteht eine lange Liste an von der Schwachstelle betroffenen Produkten. Zumindest theoretisch, zum Zeitpunkt der Artikelerstellung war die Auflistung noch leer.

Sportlicher Zeitrahmen

Noch rund zehn Tage, um Log4j abzudichten – das klingt zunächst nach viel Zeit. Allerdings kann das Aktualisieren auf eine neue Software-Version erhebliche Nebenwirkungen haben, sodass etwa Dienste oder Server anschließend nicht mehr korrekt funktionieren. Der Zeitplan ist vor dem Hintergrund, dass solche Aktualisierungen zunächst getestet werden müssten und oftmals Expertise vor Ort benötigen, also tatsächlich eng.

Andererseits laufen derzeit bereits zahlreiche Angriffe auf verwundbare Systeme. Es kann daher eigentlich nicht schnell genug gehen mit den Updates. Es wurden längst noch nicht alle Produkte, Server und Dienste identifiziert, die von der Log4Shell-Sicherheitslücke betroffen sind. Die Bedrohungslage ist real, die Cybergangs rüsten sich und scannen das Internet auf verwundbare Systeme ab – das berichten mehrere IT-Sicherheitsunternehmen übereinstimmend. Größere Ausfälle stehen zu befürchten. Darin sind sich IT-Sicherheitsexperten derzeit einig.

(dmk)