In Bonn, wo das Bundesamt für Sicherheit in der Informationstechnik seinen Sitz hat, gelten die kölschen Grundgesetze: „Ett kütt, wie ett kütt“ – manchmal laufen die Dinge einfach nicht wie geplant – es kommt, wie es kommt, und Cyberattacken gehören leider dazu. Regelmäßige Updates sind unerlässlich, denn Angriffe durch nicht schnell genug aktualisierte Produkte sind eine ernsthafte Bedrohung.
Ein weiteres Credo lautet: „No Backup, no Mercy“ – wer keinen guten Backup-Mechanismus hat, der vor Ransomware-Angriffen schützt, steht oft vor einem großen Problem. Cyber-Angriffe können Wochen oder sogar Monate unbemerkt bleiben, wenn Updates vernachlässigt werden. An diesem Punkt stellt sich die Frage: Was können wir dagegen tun? Wie können wir unsere IT-Systeme absichern? Unsere digitale Infrastruktur ist fragil. Sie kann durch scheinbar kleine Schwachstellen beeinträchtigt werden, die vielleicht gar nicht auf unserem Radar erscheinen.
Die Zahl der gemeldeten Schwachstellen nimmt rapide zu. Letztes Jahr wurde die Marke von 25.000 Schwachstellen überschritten – ein ernstes Warnsignal. Wir müssen schnell reagieren, wenn wir eine Schwachstelle in einem Produkt finden, das wir verwenden oder sogar herstellen. Wir müssen wissen, wo die Sicherheitslücke liegt - im fertigen Produkt, in der Software, der Firmware oder gar im BIOS?
Einige moderne Serversysteme verfügen über Management-Computer, die das BIOS steuern und es ermöglichen, Updates durchzuführen und die Konfiguration zu ändern, selbst wenn das System ausgeschaltet ist. Ist ein solcher Controller verwundbar und über das Internet erreichbar, haben wir ein ernsthaftes Problem. Die Schwachstellen müssen behoben werden, bevor sie von einem Angreifer ausgenutzt werden können.
Es gibt eine Vielzahl von Produktkategorien: Commercial Off The Shelf (COTS)-Produkte, Consumer-Produkte, IT-Produkte und industrielle Steuerungs- und Automatisierungssysteme. Für jede Kategorie wird ein anderer Ansatz für das Patch- und Update-Management benötigt.
Im Bereich OT (Operation Technology) sind passive Inventarisierung und Tools von Drittanbietern schwer zu finden. IoT (Internet of Things) Produkte haben oft keine oder nur unzureichende Updates. Ein wirksamer Schutz dieser Produkte ist daher eine Herausforderung.
Das Common Security Advisory Framework (CSAF) ist ein internationaler Standard, der Empfehlungen gibt, wie sich Schwachstellen managen lassen. Mit Hilfe des CSAF sind Hersteller in der Lage, schnell auf Anfragen zu reagieren und Informationen über die Verwundbarkeit ihrer Produkte durch bestimmte Schwachstellen zur Verfügung zu stellen.
Es bietet einen standardisierten Rahmen, um Sicherheitsinformationen zu sammeln, zu bewerten und weiterzugeben. Effektive Zusammenarbeit und Bündelung der Kräfte können die Sicherheit von Serienprodukten erhöhen und das Risiko von sicherheitsrelevanten Zwischenfällen verringern.
Es ist davon auszugehen, dass die Zahl der Schwachstellen in Zukunft weiter zunehmen wird. Hersteller müssen deshalb handeln. Ein Werkzeug wie CSAF kann dazu beitragen.