Ratschläge des Schweizer GovCERT

Bevor aber darüber sinniert wird, wie künftig Lücken vom Schlage einer Log4Shell verhindert werden können, dürfte es betroffene und bedrohte Firmen eher interessieren, welche Gegenmassnahmen derzeit zu ergreifen sind.

Generell muss die Sicherheitslücke schnell geschlossen werden. Das bedeutet, dass die Hersteller von Softwareprodukten, die die Bibliothek Log4j verwenden, schnell Sicherheitsupdates ihrer Applikationen und Dienste herausgeben müssen. In vielen Fällen ist dies schon passiert, oder die Hersteller arbeiten noch fieberhaft an Updates.

Einen sehr guten Leitfaden, wie auf Log4Shell zu reagieren ist, hat übrigens das Swiss Government Computer Emergency Response Team, das beim NCSC angesiedelt ist, herausgegeben. Das helvetische CERT zeigt hier nicht nur eine Liste von empfohlenen Aktionen auf, es hat auch die Angriffsmöglichkeiten über die Schwachstelle gut visualisiert (siehe Grafik).

Eine schnelle Abhilfe ist allerdings nicht in Aussicht. «Sicher ist: Diese Schwachstelle wird uns aufgrund der Komplexität ihrer Behebung und der Einfachheit, mit der sie ausgenutzt werden kann, jahrelang begleiten», glaubt Finkelstein von CPR.

«Es sei denn, Unternehmen und Dienste ergreifen sofort Massnahmen, um Angriffe auf ihre Produkte durch die Implementierung eines wirksamen Schutzes zu verhindern. Besonders in der Urlaubszeit, wenn IT-Sicherheitsabteilungen langsamer arbeiten, ist das wichtig», fügt er an.