21 www.net-im-web.de 09/25 Eine weitere Herausforderung im Bereich des Schwachstellenmanagements besteht darin, dass es kein einheitliches, maschinenlesbares „Advisory-Format“ gibt. Insbesondere fehlen spezifische Anforderungen der Maschinenbau- sowie der Automatisierungsindustrie. Derzeitige Aktivitäten bei der Organization for the Advancement of Structured Information Standards (OASIS) zur Standardisierung eines solchen Formats werden unter Beteiligung des deutschen CERT@VDE mit Anforderungen aus der hiesigen Automatisierungsindustrie unterstützt. Es sollen dadurch weitergehende Ansätze und Bedarfe für KMUs in einem Standard integriert und Anwendungshilfen (u. a. Tools zur Generierung, Bearbeitung und Verarbeitung von Warnmeldungen) zur Verfügung gestellt werden. CSAF 2.0 Das Common Security Advisory Framework (CSAF) ist ein offener Standard, der das Schwachstellenmanagement verbessern soll, indem strukturierte, maschinenlesbare und interoperable Security Advisories (SA) zur Verfügung gestellt werden. Dadurch kann eine automatisierte Verarbeitung und die Integration in Sicherheitstools wie Schwachstellenmanagementsysteme oder Plattformen zur „Threat Intelligence“ erfolgen. CSAF in der Version 2.0 wurde von der OASIS Open-Organisation entwickelt und ist seit 2022 ein offizieller Standard. CSAF 2.0 standardisiert die Beschreibung und den Austausch von Schwachstellen-Informationen im JSON-Format, um: • Automatisierung zu ermöglichen • Interoperabilität zwischen Tools und Organisationen sicherzustellen • Transparenz und Verlässlichkeit von SAs zu erhöhen Durch eine maschinelle Verarbeitung kann die Verarbeitungsgeschwindigkeit und damit die Reaktionszeit deutlich gesteigert werden. Ebenso schnell und automatisiert sollten Betroffene reagieren können, um potenzielle Gefahren abzuwehren. Die meisten Technologie-Anbieter veröffentlichen sogenannten „Good Practice Guides“, nach deren Vorgaben Kunden und Anwender die Hard- oder Software des Anbieters möglichst sicher konfigurieren und nutzen können. Informationen über Schwachstellen in Hard- und Software ihrer Produkte werden von den meisten Herstellern zudem in sogenannten Security Advisories zur Verfügung gestellt. Darin enthalten sind Kennungen resp. Identifikatoren (IDs), um die Schwachstelle eindeutig zu bestimmen. Eine solche Kennung ist die Common Vulnerabilities and Exposures ID (CVEID). Weiterhin enthalten sind Informationen zum Hersteller, eine Liste betroffener Produkte, eine Einschätzung der Gefährdungslage und empfohlene Gegenmaßnahmen. Die Kritikalität der Schwachstelle wird dabei meist durch den einheitlich verwendeten „CVSS Base Score“ dargestellt. Zur Abwehr und Abschwächung der Risiken werden als Gegenmaßnahmen meist Patches und Software-Updates veröffentlicht oder Konfigurationsänderungen empfohlen. Diese Aktualisierungen und Änderungen sollten bei einer tatsächlich existenten Bedrohung möglichst zeitnah umgesetzt werden, um Schwachstellen zu schließen, bevor sie ausgenutzt werden können, was durch den CSAF-Ansatz ermöglicht wird. Forschungsprojekt ZenSIM 4.0 Im Rahmen des Forschungsprojekts ZenSIM 4.0 wurde eine für mittelständische Unternehmen im Industrie4.0-Bereich spezifische Demonstrator-Plattform entwickelt (siehe Abbildung 1), die den unterstützten Einstieg in ein hochqualitatives IncidentManagement vermitteln sollte. Mittels der Plattform können Unternehmen nun Informationen zu ihrer IT- und OT-Infrastruktur und ihren schützenswerten Assets, ihren bereits verwendeten Sicherheitsmaßnahmen sowie in der Vergangenheit ereigneten Sicherheitsvorfällen bereitstellen. Im Sinne des Crowd-Sourcings können so verteilte Erfahrungen und Informationen von einer Vielzahl von KMUs auf der gesicherten Plattform datenschutz-gerecht gesammelt und aufbereitet werden. Als Gegenleistung für die Teilnahme und die Preisgabe ihres Wissens können KMUs wirtschaftlich fundierte Sicherheitsempfehlungen zum Beispiel zu Exploits und Schwachstellen spezifisch für ihre IT-Infrastruktur und Assets erhalten. Zudem wurde im Demonstrator eine Vielzahl von Schwachstelleninformationen aus verschiedenen Quellen in die Plattform eingespeist, sodass ein KMU beispielsweise die Risikolage einschätzen kann, um geeignete Maßnahmen einleiten zu können. KMUs können so für sich fachlich relevante Warnungen individuell auswählen und konsumieren (Warenkorbansatz), ohne dass hierfür ein eigenes CERT aufgebaut werden muss. Ohne eine Versorgung mit entsprechenden Warnungen und Meldungen bleiben KMUs der Automatisierungsindustrie ohne diese überaus wichtige Unterstützung und ohne Zugang zu kritischen Informationen, obwohl sie selbst kritische Anlagen entwickeln, aufbauen, steuern und betreiben. Dies gefährdet nicht nur die Zukunftsfähigkeit der Betriebe, sondern auch sehr direkt die Betreiber und betroffene Anwender beziehungsweise Bürger durch angreifbare Systeme und Anlagen, wenn Sicherheitslücken weder geschlossen noch Angriffe erkannt beziehungsweise kommuniziert werden. CSAF-Demonstrator Im ZenSIM4.0-Projekt wurde daher ein CSAF-Demonstrator entwickelt, der die Kommunikation zwischen Betreiber und CERT automatisieren soll. Der in Abbildung 1 als roter Pfeil bezeichnete Prozess beschreibt die Kommunikation zwischen dem Betreiber und dem CERT@VDE, Risiken für kritische Infrastrukturen
RkJQdWJsaXNoZXIy MjE2Mzk=