20 www.net-im-web.de 09/25 KRITISCHE KOMMUNIKATION Risiken für kritische Infrastrukturen Automatische Bewertung auf Basis von CSAF Prof. Dr.-Ing. Kai-Oliver Detken studierte Informations- technik an der Universität Bremen und promovierte im Fachbereich Informatik. Heute ist er Geschäftsführer der DECOIT GmbH & Co. KG, doziert an der Hochschule Bremen und arbeitet als freier Autor im IT-Umfeld Kai-Oliver Detken Damit Unternehmen vor SoftwareSchwachstellen geschützt werden können, müssen kontinuierlich Updates installiert werden. Dabei kann die planlose Installation von Updates negative Folgen hinsichtlich der Verfügbarkeit haben und zu Ausfällen führen, weshalb eine Risikobetrachtung und -abwägung immer sinnvoll ist. Um diese durchführen zu können, müssen dem Unternehmen alle relevanten Informationen über neue Schwachstellen bereitgestellt werden. Dies geschieht aktuell durch sogenannte Security Advisories (SA), die menschenlesbare Informationen enthalten und von den Herstellern oder Koordinationsstellen veröffentlicht werden. Das neue Rahmenwerk Common Security Advisory Framework (CSAF) ermöglicht zum ersten Mal eine Automatisierung zum Auffinden, Bewerten und Umsetzen von SAs. Daher hat das BSI dessen Verbreitung ausdrücklich befürwortet. Ausgangssituation Unternehmen müssen zum Schutz ihrer Daten nicht nur ihre IT-Infrastruktur absichern, sondern auch die OT-Infrastruktur sowie ihre Produkte aus diesem Umfeld (Industrial Control Systems, ICS). Dieser Schutz muss der aktuellen Bedrohungslage Rechnung tragen. Während große Unternehmen meist über ein eigenes CERT (Computer Emergency Response Team) verfügen und große Hersteller oft ein Product Security Incident Response Team (PSIRT) betreiben, besitzen klein- und mittelständische Unternehmen (KMU) kaum diese Ressourcen. Damit fehlt den KMUs auch die notwendige Vernetzung sowie der Austausch mit anderen CERTs. Darüber hinaus koordinieren sich CERTs untereinander (zum Beispiel bei der Bekämpfung von Bot-Netzen) und tauschen sicherheitsrelevante Informationen (zum Beispiel neue Schwachstellen bei OpenSSL) vertraulich und im Vorfeld öffentlicher Diskussionen untereinander aus. In Deutschland wird die übergeordnete CERT-Institution durch das BSI verkörpert. Abbildung 1: Architektur des ZenSIM4.0-Projektes. Im ZenSIM4.0-Projekt wurde ein CSAF-Demonstrator entwickelt, der die Kommunikation zwischen Betreiber und CERT automatisieren soll
RkJQdWJsaXNoZXIy MjE2Mzk=