CSAF als internationaler Standard angenommen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt sicherheitsrelevante Patches und Updates so schnell wie möglich, unter Abwägung des jeweiligen Risikos, einzuspielen, auch wenn im professionellen und insbesondere industriellen Umfeld automatisierte Software-Updates mit unerwünschten Einschränkungen der Funktionalität – etwa durch einen Neustart des Systems – verbunden sein können.

Dazu sind Administratorinnen und Administratoren oftmals auf vielfältige herstellerspezifische Informationsquellen (z. B. Webseite, Mail, RSS-Feed, Twitter) und Datenformate (z. B. HTML, PDF, Text) angewiesen. Daraus folgt im Ernstfall umfangreiche Handarbeit, die wertvolle Ressourcen kostet. Um dies zu vereinfachen, spezifiziert das Common Security Advisory Framework (CSAF) ein Format für maschinen-verarbeitbare Security Advisories und deren Verteilung.

Das internationale Konsortium für Open Source und Standards ‚Oasis Open‘ hat das (CSAF) offiziell als Standard angenommen. Damit erreicht das in der Version 2.0 vorliegende Framework die höchstmögliche Form der Ratifizierung. Gleichzeitig wird die Version als ’stabil‘ erklärt. Änderungen erfordern eine neue Version. Mit CSAF entfällt der menschliche Aufwand für das Auffinden und Abrufen von aktuellen Sicherheitsinformationen von Softwareprodukten – der Abgleich gegen die eigene Inventardatenbank auf Betreiberseite kann ebenfalls weitestgehend automatisiert werden. Gleiches gilt für die Hersteller, die einen Abgleich gegen die in ihren Produkten eingesetzten Softwareversionen und deren Bibliotheken vornehmen können. Vor allem in weitreichenden Fällen, wie Log4Shell, zeigt sich, was bei den alltäglichen Schwachstellen im Hintergrundrauschen untergeht: Manuelles Schwachstellenmanagement skaliert nicht und wird daher nicht selten weggelassen. Nicht mitigierte Schwachstellen sind jedoch eine Einladung für Angreifende – insbesondere dann, wenn bereits öffentlich Exploits zur Verfügung stehen.

Die Automatisierung ermöglicht die Zeitspanne, die Informationen zu Schwachstellen und mitigierenden Maßnahmen brauchen, um durch eine Lieferkette zu laufen, erheblich zu reduzieren. Für Hersteller ergibt sich ein weiterer Vorteil: Mit dem Profil VEX (Vulnerability Expolitability eXchange) in CSAF können Kundinnen und Kunden informiert werden, wenn Produkte nicht betroffen sind oder gerade noch untersucht werden. Dies kann nicht zuletzt in weitreichenden Fällen genutzt werden, um den Support zu entlasten, mehr Personal für die Analysen einzusetzen und die neuesten Erkenntnisse schnell zu verteilen. Das gleiche Verfahren lässt sich auch für False Positives beispielsweise bei Schwachstellenscannern einsetzen.

Das BSI und die internationale Community haben bereits Tools zum Erzeugen, Bearbeiten, Verteilen und Betrachten als Open Source auf GitHub bereitgestellt. Wenngleich die US-Partnerbehörde CISA erklärte, CSAF zu unterstützen und das BSI und eine Reihe internationaler und nationaler Hersteller bereits CSAF-Dokumente bereitstellen, fehlen noch viele Hersteller. Diese können oft nur durch Nachfragen ihrer Kundinnen und Kunden gewonnen werden. Daher ermutigt das BSI Nutzerinnen und Nutzer und insbesondere die Beschaffungsteams, mit Herstellern in den Dialog zu treten und Security Advisories in CSAF einzufordern.

Das könnte Sie auch interessieren:

Standardprodukt für Campusnetze verfügbar
Industrielles 5G-Komplettsystem von Siemens

Der Automatisierer Siemens hat eine Infrastruktur für private industrielle 5G-Netze vorgestellt. Das Paket mit Fokus auf Automatisierungsanwendungen besteht aus einem 5G-Core und einem Funkzugangsnetz, das die Central Unit, die Distributed Unit und die Radio Units beinhaltet. Die 5G-Scalance-Router von Siemens sind mit dem Paket kompatibel.‣ weiterlesen

Sigmatek feiert 35. Geburtstag

1988 gründen Andreas Melkus, Theodor Kusejko und Marianne Kusejko Sigmatek und bringen eine Steuerung für den Maschinenbau und die Robotik auf den Markt. 35 Jahre später umfasst das Produktspektrum neben Steuerung und I/Os auch Visualisierung, Antriebstechnik und Safety.‣ weiterlesen

Forschungsprojekt ’AIQualify’
KI-Anwendungen einfacher qualifizieren

Ein neues Software-Framework soll Unternehmen die Abnahme bzw. Auditierung von KI- Anwendungen erleichtern. Das Framework erarbeiten das Fraunhofer IPA und das Institut für Industrielle Fertigung und Fabrikbetrieb IFF der Universität Stuttgart gemeinsam im Forschungsprojekt ’AIQualify’ der Forschungsgemeinschaft Qualität.‣ weiterlesen

Gavin Moore neu im Team
NetApp ernennt regionalen Vice President und CTO

Mit Gavin Moore hat der Cloud- und Daten-Spezialist NetApp einen neuen Vice President sowie CTO für die Regionen EMEA und LATAM. Er berichtet an Giovanna Sangiorgi.‣ weiterlesen

Connected-Worker-Plattform

Gestiegene Preise belasten die deutsche Industrie weiterhin. Und auch beim Thema Fachkräfte ist keine Entspannung in Sicht. Hier kommt die autonome Instandhaltung ins Spiel. Was es mit diesem Konzept auf sich hat und wie Industrieunternehmen es für sich nutzen können, erklärt der Anbieter der Connected-Worker-Plattform Augmentir. ‣ weiterlesen

Additive Fertigung
Fachliche Verstärkung für die Rapid.Tech 3D

AM-Experten aus dem Maschinenbau verstärken Fachbeirat der Rapid.Tech 3D. Die Veranstaltung findet 2024 zum 20. Mal statt.‣ weiterlesen

AI Suite für MES Hydra und APS Fedra
KI ohne Projektierung

KI-Use Cases in der Smart Factory setzen meist individuelle Projektierungen voraus. Jetzt hat MES-Hersteller MPDV die AI Suite vorgestellt. Darin sind acht KI-Standardanwendungen für die Fertigungs-IT Hydra und Fedra enthalten, mit denen sich etwa Ausschuss reduzieren, Rüstzeiten optimieren oder die Produktqualität prognostizieren lassen.‣ weiterlesen

IFR: Erneutes Allzeithoch im Robotikmarkt

Zum zweiten Mal in Folge wurde die Marke von weltweit 500.000 neu installierten Industrie-Robotern übertroffen. Für das laufende Jahr prognostiziert die International Federation of Robotics ein erneutes Plus von 590.000 Einheiten.‣ weiterlesen

Plattform für Geräteverwaltung
Partnerschaft zwischen TeamViewer und Ivanti

Im Rahmen einer Partnerschaft zwischen TeamViewer und Ivanti wird die Ivanti-Software Neurons for Mobile Device Management (MDM) in TeamViewers Angebot für Remote Monitoring and Management integriert.‣ weiterlesen

MES-Informationstage im Oktober
Proxia lädt zu den XI Days

An zwei Terminen im Oktober können sich Interessierte auf den Proxia XI Days über den Einsatz und die damit verbundenen Möglichkeiten von Manufacturing Execution Systems informieren.‣ weiterlesen

Infineon leitet Forschungsprojekt
EECONE soll für mehr Nachhaltigkeit sorgen

Infineon leitet das europäisches Forschungsprojekt EECONE, das Nachhaltigkeit und Kreislaufwirtschaft in der Elektronikindustrie fördern soll. Insgesamt sind 49 Partner beteiligt.‣ weiterlesen