De Duitse overheid heeft besloten om het digitale dreigingsniveau wegens de Log4j-kwetsbaarheid te verlagen van code rood naar code geel. Waakzaamheid blijft echter geboden, aangezien verdere aanvallen weken tot maanden na het initiële misbruik kunnen plaatsvinden, aldus het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken.

Op 12 december besloot het BSI vanwege het Log4j-lek code rood af te kondigen. Volgens de Duitse overheidsinstantie was er sprake van een zeer gevaarlijk it-dreigingsniveau dat tot uitval van een groot aantal diensten kon leiden. Een maand later is het dreigingsniveau verlaagd naar code geel. Dit niveau geldt voor een situatie waarbij er sprake is van een verhoogde waakzaamheid voor verdacht gedrag en een tijdelijke aantasting van de bedrijfsvoering kan plaatsvinden (pdf).

De reden om het dreigingsniveau te verlagen is de beschikbaarheid van beveiligingsupdates en andere mitigaties. Toch blijft waakzaamheid geboden. Het kan namelijk zijn dat Log4j-systemen al zijn gecompromitteerd en aanvallers weken of mogelijk zelfs maanden later deze toegang voor verdere aanvallen gebruiken. Bedrijven en organisaties worden door het BSI opgeroepen om te controleren of al hun Log4j-systemen zijn beschermd en dat netwerken nauwlettender op verdacht gedrag in de gaten worden gehouden.