Common Security Advisory Framework (CSAF)
Maschinenverarbeitbares Format ermöglicht automatisierten Datenbankabgleich
Eine gemeldete und behobene Schwachstelle ist erst der Anfang des Schwachstellenbehandlungsprozesses auf Betreiberseite. Um als Anwender vor der Schwachstelle geschützt zu sein, muss das entsprechende Update installiert werden. Da die Installation von Updates weitreichende Folgen haben kann, ist eine vorherige Risikobetrachtung sinnvoll. Um eine solche durchführen zu können, müssen dem Anwender zeitnah und effizient alle relevanten Informationen zu der Schwachstelle bereitgestellt werden. Bislang werden dazu menschenlesbare Sicherheitsinformationen, so genannte Security Advisories, von den Herstellern oder den koordinierenden Stellen veröffentlicht.
Zunehmend arbeitsintensive Auswertung
Um die Risiken für IT-Infrastruktur und eingesetzte Produkte bewerten zu können, müssen Betreiber diese Security Advisories sichten. Dabei ist die Recherche nach neu veröffentlichten Advisories und die Evaluierung der Relevanz regelmäßig mit hohem zeitlichen und personellen Aufwand verbunden. Dies begründet sich darin, dass zum einen Hersteller und andere veröffentlichende Stellen die unterschiedlichsten Notifikationswege für ihre Kunden beziehungsweise für die Öffentlichkeit verwenden. So werden teilweise (verzögert) E-Mail-Benachrichtigungen versandt oder es existiert ein RSS-Feed, der abonniert werden muss, oder neue Advisories erscheinen lediglich auf einer (ggf. geschützten) Webseite, die manuell abgerufen werden muss. Zum anderen veröffentlichen immer mehr Stellen eine steigende Anzahl an Security Advisories. Darüber hinaus ist die Prüfung, ob die in den Advisories referenzierten Produkte in dem zu verantwortenden Bereich eingesetzt werden, in der Regel nicht trivial.
Da sich Security Advisories verschiedener Quellen hinsichtlich Dateiformat, Strukturierung und Qualität der Information sowie Formatierung meist stark unterscheiden, ist eine automatisierte Verarbeitung durch die bewertende Stelle nicht oder nur eingeschränkt möglich. Die manuelle Verarbeitung hingegen bindet gut ausgebildete Fachkräfte mit trivialen Aufgaben. Zudem ist das manuelle Vorgehen bei steigender Anzahl von Security Advisories nicht skalierbar, bei gleichbleibender Personalkapazität müssen also immer mehr und immer komplexere Advisories analysiert werden. Daher werten Betreiber diese wichtige Informationsquelle oftmals nicht ständig oder regelmäßig aus. Sie handeln lediglich anlassbezogen, beispielsweise nach medialer Berichterstattung oder auf Hinweis des BSI.
CSAF ermöglicht Automatisierung
Zusammen mit nationalen und internationalen Partnern arbeitet das BSI deshalb an einer Lösung, Anwendern das Auffinden sowie die Bewertung und Umsetzung von Security Advisories zu erleichtern. Das maschinenverarbeitbare Format für Security Advisories, das sogenannte Common Security Advisory Framework (CSAF) 2.0, wird einen entscheidenden Beitrag dazu leisten, dass Unternehmen den Überblick behalten und ihre Anlagen absichern können. Die Security Advisories können dabei automatisiert von den Herstellern abgerufen und mit der eigenen Inventardatenbank abgeglichen werden. Das erste Tool zum Erstellen von CSAF-Dokumenten (Secvisogram) hat das BSI bereits auf seiner GitHub-Seite veröffentlicht. Das BSI trägt mit diesen Aktivitäten dazu bei, die Informationssicherheit in den Unternehmen zu erhöhen und die Digitalisierung in Deutschland erfolgreich zu gestalten.
