Informationen zu bekanntgewordenen IT-Schwachstellen werden meistens in sogenannten Security Advisories zusammengefasst. Unter anderem enthalten diese Advisories typischerweise Informationen über die Art und Kritikalität der identifizierten Schwachstellen, welche Produkte und Versionen davon betroffen sind und wie diese behoben werden können.

In der Schweiz werden solche Informationen zum Beispiel durch das Nationale Zentrum für Cybersicherheit (NCSC) gesammelt und nach entsprechender Gegenprüfung an die betroffenen Stellen weitergeleitet. Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) sammelt, sichtet und verteilt solche Security Advisories im Rahmen seiner Tätigkeiten.

Die steigende Anzahl an Security Advisories stellt Betreiber, Hersteller und Behörden jedoch vor grosse Herausforderungen. Da sich Security Advisories verschiedener Quellen hinsichtlich Dateiformat, Strukturierung und Qualität der Information sowie Formatierung meist stark unterscheiden, ist eine automatisierte Verarbeitung durch die bewertende Stelle meist nicht oder nur sehr eingeschränkt möglich. Gleichzeitig sind diese Informationen für die Risikoeinschätzung und Priorisierung der Update-Massnahmen allerdings unabdingbar.

Der Cyber-Defence (CYD) Campus arbeitet im Rahmen der nationalen Strategie zum Schutz der Schweiz gegen Cyber-Risiken (NCS 2018-2022) gemeinsam mit dem BSI zusammen, um die Entwicklung und Verbreitung des Common Security Advisory Frameworks (CSAF) zu fördern. Der CSAF-Standard definiert nicht nur das maschinenverarbeitbare Format für Security Advisories, sondern spezifiziert auch, wie und wo diese bereitgestellt werden sollen. Auf diese Weise können Security Advisories automatisiert abgerufen und mit der eigenen Inventardatenbank abgeglichen werden. Damit wird CSAF einen entscheidenden Beitrag dazu leisten, dass Unternehmen den Überblick behalten und ihre Systeme absichern können. Das BSI wirbt daher auch in seinem Lagebericht 2021 für den CSAF-Standard. Auch das Nationale Zentrum für Cyber Sicherheit (NCSC), schätzt in seinem Halbjahresbericht 2021/I, dass CSAF in Zukunft ein hilfreiches Mittel zur automatisierten Erfassung und Verarbeitung von Sicherheitsempfehlungen werden könnte.

Um die Machbarkeit von CSAF aufzuzeigen, arbeitet der CYD Campus zusammen mit dem deutschen BSI. So entstanden im Verlauf des Jahres zwei Proof-of-Concepts (PoCs), welche sukzessive zu vollständigen Open-Source Tools weiterentwickelt werden:

Secvisogram

Das erste Open-Source Tool, Secvisogram, hilft beim Erstellen von CSAF-Dokumenten. Es bietet eine Oberfläche, in der man sich ein Advisory «zusammenklicken» kann. Das Advisory wird dabei intern in das technisch benötigte Datenformat transferiert. Um Zugriffe auf sensible CSAF-Dokumente möglichst einzuschränken, wurde Secvisogram so erstellt, dass es isoliert im Browser eines Benutzers verwendet werden kann ohne dabei Inhalte an eine Serverkomponente verschicken zu müssen. Aus dem technischen Format, kann anschliessend auch ein menschenlesbares Security Advisory erzeugt werden.

CSAF-Backend

Beim zweiten Open-Source Tool handelt es sich um einen Proof-of-Concept (PoC), der die Verwaltung von CSAF-Dokumenten ermöglichen soll. Secvisogram kann nur einzelne CSAF-Dateien erstellen oder bearbeiten. Dies ist jedoch für Hersteller, die jährlich hunderte von Security Advisories veröffentlichen, zu umständlich. Das CSAF-Backend stellt Funktionalitäten zum Verwalten und für den Arbeitsablauf exemplarisch bereit. Basierend auf den Erkenntnissen des vom CYD Campus entwickelten PoCs wurde eine Ausschreibung vom BSI veröffentlicht. Diese hat zum Ziel, dass CSAF-Backend in ein produktiv einsetzbares Tool zu verwandeln.

Durch diese öffentlich verfügbaren Open-Source Tools können in Zukunft Betreiber, Hersteller und Behörden aller Länder effizienter Schwachstelleninformationen austauschen und damit ihre Cyber-Sicherheit verbessern.