Mehr Sicherheit für industrielle Infrastrukturen

Es ist eine nicht zu unterschätzende Aufgabe: All diejenigen, die für die Cybersicherheit industrieller Anlagen und deren Ausrüstung verantwortlich sind, sind dazu verpflichtet, regelmäßig sogenannte Security Advisories, also Sicherheitsinformationen herunterladen, um sicherzustellen, dass ihre Anlagen jederzeit auf dem neusten Stand sind. Diese Informationen müssen gelesen und den vorhandenen Anlagen zugeordnet werden. Falls erforderlich, müssen zusätzliche Sicherheitspatches heruntergeladen werden. Ein mühsamer, und bisweilen auch langwieriger, manueller Prozess, zumal die zunehmende Digitalisierung industrieller Produkte zu einer signifikanten Zunahme an Security Advisories führt, wie Log4Shell eindrücklich unter Beweis gestellt hat. Zudem ist der Prozess mit einer hohen Fehleranfälligkeit verbunden. Es wäre deshalb zweifelsohne hilfreich, wenn diese Aufgabe vereinfacht und die damit verbundenen Prozesse automatisiert werden könnten.

Glücklicherweise scheint sich hier nun eine Lösung in Form des sogenannten „Common Security Advisory Framework“ (CSAF) 2.0 anzubahnen, ein neuer Open Source-Standard für Security Advisories, der diese Sicherheitsinformationen maschinenlesbar macht. Entwickelt wurde die Lösung von OASIS, einem Konsortium, dem unter anderem Unternehmen und Organisationen wie Siemens, Microsoft, Dell, Oracle, Cisco, oder auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) angehören. „Die Vulnerabilität von Log4Shell hat uns wieder einmal vor Augen geführt, dass der derzeitige Status quo aufgrund der vielen, innerhalb von kürzester Zeit veröffentlichten Sicherheitsinformationen auf Dauer nicht zu halten ist“, sagt Tobias Limmer, Principal Security Consultant bei Siemens Technology, der F&E-Einheit von Siemens. „Wir müssen unsere Prozesse dringend automatisieren, wenn wir mit den Herausforderungen unserer heutigen Zeit Schritt halten wollen.“

Wie der Name schon andeutet, gab es zur aktuellen CSAF-Version 2.0 bereits einen Vorgänger aus dem Jahr 2011. Damals belief sich die Anzahl der avisierten Schwachstellen weltweit auf 4.200 pro Jahr – lediglich ein Fünftel der aktuellen Zahl. Damit bestand keinerlei Dringlichkeit im Hinblick auf eine Automatisierung der mit den Advisories verbundenen Prozesse. Das hat sich mittlerweile geändert. Mehr veröffentliche Sicherheitsinformationen sind jedoch nicht mit einer verminderten Qualität der Software gleichzusetzen. Vielmehr ist die steigende Zahl veröffentlichter (und korrigierter) Schwachstellen auf eine stärkere Transparenz, die zunehmende Digitalisierung, vermehrte Tests und auch Richtlinien zurückzuführen.

Die Herausforderung besteht jedoch nicht nur in der schieren Anzahl an Schwachstellen. Gegenwärtig existieren eine Vielzahl unterschiedlicher Möglichkeiten, Kunden auf neue Advisories hinzuweisen, sei es via E-Mail, Twitter, elektronische Meldetafeln, Webseiten, die gesammelte Sicherheitsinformationen (beispielsweise der US-Cybersicherheitsbehörde CISA) zur Verfügung stellen, oder automatisierte Tools. Das Problem: Viele dieser Stellen oder Organisationen sind nicht auf dem neusten Stand. Auch schleichen sich regelmäßig Fehler ein. Und die Nutzung unterschiedlicher Dateiformate verkompliziert den Prozess noch zusätzlich – und selbst bei gleichen Dateiformaten werden Informationen häufig nicht in standardisierter Form zur Verfügung gestellt.

Genau hier schafft CSAF 2.0 Abhilfe, da Informationen automatisch direkt von den Herstellern abgerufen werden können. Gleichzeitig erhalten Experten die Möglichkeit, eine einheitliche, mit den Assets des Unternehmens abgeglichene Liste der Schwachstellen zu generieren. „Die Vorteile dieses Ansatzes sind eindeutig“, sagt Limmer. „Ein mühevoller, potenziell fehleranfälliger Prozess wird automatisiert, die Reaktionszeit beschleunigt und die Sicherheit insgesamt verbessert.“

Ein neuer Standard für Advisories ist jedoch erst der Anfang. Siemens bietet seinen Kunden diesen Service bereits, und fordert diesen auch von seinen Zulieferern ein. Andere Unternehmen sind gerade erst dabei, diesen Prozess in ihre Abläufe zu integrieren. Und je mehr Unternehmen sich dem Verfahren anschließen, desto einfacher wird auch die Bearbeitung von Security Advisories. „Wir befinden uns nach wie vor in der Werbephase“, sagt Thomas Pröll, Leiter des Siemens ProductCERT Vulnerability Handling Teams. „Unternehmen die Lösung schmackhaft zu machen, dürfte jedoch nicht allzu schwierig werden – schließlich sind die Vorteile offensichtlich.“

Das bedeutet allerdings nicht, dass wir uns damit bereits am Ende des Prozesses befinden. Tatsächlich ist der CSAF-Standard erst der Anfang. In Zukunft könnten Security Advisories abgesehen von betroffenen Produkten auch bestimmte Konfigurationen adressieren. Auch die Entwicklung eines Hubs für relevante CSAF 2.0 Advisories wäre erstrebenswert – ein Ansatz, der aktuell vom BSI in enger Zusammenarbeit mit Anbietern wie Siemens verfolgt wird. Ziel ist es, eine App zu entwickeln, die CSAF-Dokumente abruft und automatisch mit den Assets eines Unternehmens abgleicht. Auf diese Weise könnten Sicherheitsexperten schneller und gezielter als heute entscheiden, welche Geräte einen Sicherheitspatch benötigen. „Eine Automatisierung des eigentlichen Entscheidungsprozesses liegt damit allerdings noch in weiter Ferne“, sagt Pröll. „Die industrielle Infrastruktur ist hochgradig komplex, so dass Unterbrechungen sorgfältig geplant werden müssen. Doch alles, was diesen Prozess schneller, sicherer und zuverlässiger machen kann, ist willkommen – und genau das tut CSAF 2.0.“

Hubertus Breuer

April 2022