Anzeige
Anzeige
Anzeige
Beitrag drucken

CSAF als internationaler Standard angenommen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt sicherheitsrelevante Patches und Updates so schnell wie möglich, unter Abwägung des jeweiligen Risikos, einzuspielen, auch wenn im professionellen und insbesondere industriellen Umfeld automatisierte Software-Updates mit unerwünschten Einschränkungen der Funktionalität – etwa durch einen Neustart des Systems – verbunden sein können.

Dazu sind Administratorinnen und Administratoren oftmals auf vielfältige herstellerspezifische Informationsquellen (z. B. Webseite, Mail, RSS-Feed, Twitter) und Datenformate (z. B. HTML, PDF, Text) angewiesen. Daraus folgt im Ernstfall umfangreiche Handarbeit, die wertvolle Ressourcen kostet. Um dies zu vereinfachen, spezifiziert das Common Security Advisory Framework (CSAF) ein Format für maschinen-verarbeitbare Security Advisories und deren Verteilung.

Das internationale Konsortium für Open Source und Standards ‚Oasis Open‘ hat das (CSAF) offiziell als Standard angenommen. Damit erreicht das in der Version 2.0 vorliegende Framework die höchstmögliche Form der Ratifizierung. Gleichzeitig wird die Version als ’stabil‘ erklärt. Änderungen erfordern eine neue Version. Mit CSAF entfällt der menschliche Aufwand für das Auffinden und Abrufen von aktuellen Sicherheitsinformationen von Softwareprodukten – der Abgleich gegen die eigene Inventardatenbank auf Betreiberseite kann ebenfalls weitestgehend automatisiert werden. Gleiches gilt für die Hersteller, die einen Abgleich gegen die in ihren Produkten eingesetzten Softwareversionen und deren Bibliotheken vornehmen können. Vor allem in weitreichenden Fällen, wie Log4Shell, zeigt sich, was bei den alltäglichen Schwachstellen im Hintergrundrauschen untergeht: Manuelles Schwachstellenmanagement skaliert nicht und wird daher nicht selten weggelassen. Nicht mitigierte Schwachstellen sind jedoch eine Einladung für Angreifende – insbesondere dann, wenn bereits öffentlich Exploits zur Verfügung stehen.

Die Automatisierung ermöglicht die Zeitspanne, die Informationen zu Schwachstellen und mitigierenden Maßnahmen brauchen, um durch eine Lieferkette zu laufen, erheblich zu reduzieren. Für Hersteller ergibt sich ein weiterer Vorteil: Mit dem Profil VEX (Vulnerability Expolitability eXchange) in CSAF können Kundinnen und Kunden informiert werden, wenn Produkte nicht betroffen sind oder gerade noch untersucht werden. Dies kann nicht zuletzt in weitreichenden Fällen genutzt werden, um den Support zu entlasten, mehr Personal für die Analysen einzusetzen und die neuesten Erkenntnisse schnell zu verteilen. Das gleiche Verfahren lässt sich auch für False Positives beispielsweise bei Schwachstellenscannern einsetzen.

Das BSI und die internationale Community haben bereits Tools zum Erzeugen, Bearbeiten, Verteilen und Betrachten als Open Source auf GitHub bereitgestellt. Wenngleich die US-Partnerbehörde CISA erklärte, CSAF zu unterstützen und das BSI und eine Reihe internationaler und nationaler Hersteller bereits CSAF-Dokumente bereitstellen, fehlen noch viele Hersteller. Diese können oft nur durch Nachfragen ihrer Kundinnen und Kunden gewonnen werden. Daher ermutigt das BSI Nutzerinnen und Nutzer und insbesondere die Beschaffungsteams, mit Herstellern in den Dialog zu treten und Security Advisories in CSAF einzufordern.


Das könnte Sie auch interessieren:

Viele ERP-Lösungen wurden einst von Spezialisten entwickelt und danach nur noch angepasst, erweitert und mit Updates versorgt. Doch steigende Digitalisierungsanforderungen, schnellere Produkteinführungen sowie der Fachkräftemangel schrauben die Anforderungen in die Höhe. Könnte Low-Code-Softwareentwicklung die Lösung sein?‣ weiterlesen

Mit einem Anstieg von 1,6 Punkte im Januar liegt das IAB-Arbeitsmarktbarometer bei 102,9 Punkten und damit über der neutralen Marke von 100. Für die Arbeitsmarktforscher deutet dies auf positive Entwicklungen auf dem Arbeitsmarkt hin.‣ weiterlesen

Mit ProKI, einem Demonstrations- und Transfernetzwerk für künstliche Intelligenz (KI) in der Produktion, soll die Anwendung von KI bei kleinen und mittleren Unternehmen (KMU) weiter vorangetrieben werden.‣ weiterlesen

Wolfgang Boos hat zum Jahreswechsel die Geschäftsführung des FIR an der RWTH Aachen übernommen. Er tritt die Nachfolge von Volker Stich an.‣ weiterlesen

Mit den Produkten der Marke Smartblick will F&M Werkzeug und Maschinenbau gerade kleineren Unternehmen ermöglichen, Fertigungsprozesse anhand von Maschinendaten zu analysieren und zu optimieren. Jetzt hat die Firma ein Modul vorgestellt, das mit künstlicher Intelligenz 'on Edge' prädiktive Qualitätsanalysen erstellt, also Predictive Quality ermöglicht.‣ weiterlesen

Die GSG Genii Software Gruppe hat die Übernahme der Camos Software und Beratung GmbH bekanntgegeben, einem Software-Spezialisten im Bereich Configure Price Quote (CPQ).‣ weiterlesen

Lichttechnische Messungen gehören bei der Produktion von Displays zum Standard. Während der Entwicklung müssen jedoch auch sehr unterschiedliche Messungen, meist detaillierter als in der Serienfertigung, durchgeführt werden. Das Zusammenspiel von Displayansteuerung, Messequipment und Auswertung der Messwerte ist dabei oft zeitaufwendig und fehlerbehaftet. Eine voll- oder teilautomatisierte Messung kann die Arbeit vereinfachen.‣ weiterlesen

Mit einem Mix aus Liefer- und Projektgeschäft wappnet sich die Firma Unterfurtner aus Österreich gegen Marktschwankungen. Dabei verursachten die unterschiedlichen Prozesse der Geschäftsbereiche früher viel Aufwand, den das alte ERP-System kaum abfederte. Der Rollout von AMS.ERP änderte das, denn die Software ist auf solche Anforderungen zugeschnitten.‣ weiterlesen

ERP-Integrationen sind herausfordernde Projekte. Oft vergrößern überbordende Funktionswünsche das Risiko des Scheiterns. Eine Alternative ist die Ausarbeitung einer langfristigen ERP-Strategie samt Roadmap.‣ weiterlesen

Julia C. Arlinghaus, Nicole Dreyer-Langlet, Katharina Hölzle, Daniel Hug, Dieter Meuser und Björn Sautter verstärken den Forschungsbeirat Industrie 4.0. Das von Acatech koordinierte Gremium berät strategisch und unabhängig, insbesondere das Bundesministerium für Bildung und Forschung (BMBF).‣ weiterlesen

Softwareanbieter Sage stellt neue Werkzeuge bereit, die eine Brücke zwischen der eigenen Systemumgebung und der Azure-Cloud von Microsoft bilden sollen.‣ weiterlesen