Si­tua­ti­ons­ent­wick­lung der 
OT-Schwach­stel­len

Die Situation der Betriebstechnik (OT) hat sich in den letzten Jahren dramatisch verändert. In der Vergangenheit wurden OT-Systeme - einschließlich industrieller Steuerungssysteme (Industrial Control Systems, ICS), SCADA und verteilter Steuerungssysteme (Distributed Control Systems, DCS) - durch physische Trennung oder „Luftlöcher“ von IT-Netzwerken geschützt. Bei diesen Systemen hatten Zuverlässigkeit und physische Sicherheit Vorrang vor der Netzwerkverteidigung, und sie wurden in isolierten, spezialisierten Umgebungen mit minimalem Bedarf an Updates oder Konnektivität betrieben.

Heute haben die steigenden Anforderungen an Effizienz, Fernüberwachung und IT-OT-Integration diese Landschaft neu gestaltet. Moderne OT-Systeme sind heute eng verbunden mit den IT-Netzwerken des Unternehmens, was eine zentrale Verwaltung und gemeinsame Nutzung von Daten ermöglicht, aber auch die Angriffsfläche vergrößert. Diese Konvergenz bringt Schwachstellen, die früher auf IT-Systeme beschränkt waren, in die OT-Umgebung.

Aufgrund ihrer Komplexität und Vernetzung sind OT-Systeme einer Reihe von Cyberbedrohungen ausgesetzt, darunter Ransomware und gezielte staatliche Angriffe. Dieses Risiko wird durch die Abhängigkeit von älterer Hard- und Software in kritischen Sektoren wie Energie und Fertigung noch verstärkt. Diese Altsysteme verfügen nicht über integrierte Cybersicherheitsmaßnahmen und können oft nicht ohne Betriebsunterbrechung aktualisiert werden, was das Patchen zu einer großen Herausforderung macht.

OT-Schwachstellen unterscheiden sich deutlich von IT-Schwachstellen, da sie häufig auf unsichere Protokolle und Geräte zurückzuführen sind. Diese Schwachstellen können physische Prozesse gefährden, was zu Sicherheitsrisiken, Betriebsunterbrechungen und potenziell katastrophalen Schäden an kritischen Infrastrukturen führt.
 

Er­geb­nis­se des OT-Schwach­stel­len-Re­ports

Erstellung der OT-Schwachstellen-Datenbank

Durch die tägliche Erfassung und Analyse von OT-Schwachstellen haben wir eine umfangreiche OT-Schwachstellendatenbank aufgebaut, die Tausende von Hinweisen (Security Advisories) und Zehntausende von Schwachstellen aller relevanten Anbieter umfasst. Dieser gewaltige Datensatz ermöglicht es uns, kritische Trends zu erkennen und die Entwicklung der Bedrohungslage von 2009 bis 2024 zu verfolgen, was wertvolle Einblicke in die Schwachstellen von OT-Umgebungen bietet.

Schwachstellen wachsen mit

Eine jährliche Analyse der veröffentlichten Security Advisories und Schwachstellen zeigt einen konstanten Aufwärtstrend bei allen Anbietern. 1 Von 2009 bis 2024 nahm die Anzahl der Hinweise stetig zu, mit einem deutlichen Anstieg nach 2017. Dieser Anstieg unterstreicht die wachsende Bedeutung von Sicherheitsrisiken in OT-Systemen aufgrund der zunehmenden Interkonnektivität.

Der dramatischste Anstieg war in den Jahren 2021 und 2022 zu verzeichnen, als sich die Security Advisories im Vergleich zu den Vorjahren fast verdoppelten. Zwei Hauptfaktoren trugen zu diesem Anstieg bei: 2 3 4

Pan­de­mie-be­ding­te 
Ver­än­de­run­gen

Die COVID-19-Pandemie beschleunigte die Einführung von Fernarbeit, Remote-Acess und VPN-Technologien, wodurch sich die Angriffsflächen in IT- und OT-Umgebungen vergrößerten. Durch diese Veränderungen wurden Schwachstellen in kritischen Netzwerkgeräten wie Routern und Firewalls sichtbar, die sogleich ins Visier von Forschenden und Angreifenden gerieten.

Die Log4Shell-Kri­se

Die Entdeckung der Sicherheitslücke in Apache Log4j, bekannt als Log4Shell (CVE-2021-44228), hatte weitreichende Auswirkungen. Die Schwachstelle wurde ausgenutzt, um manipulierte Nachrichten an Systeme zu senden, die diese Java-Bibliothek verwenden, und verdeutlichte die Notwendigkeit eines robusten Sicherheitsmanagements in IT- und OT-Systemen. Die weitreichenden Auswirkungen von Log4Shell führten zu einer verstärkten Offenlegung von Schwachstellen und zu einem erhöhten Bewusstsein für Cybersicherheitsrisiken.

Seit 2021 hat das gestiegene Sicherheitsbewusstsein dazu beigetragen, dass immer mehr Schwachstellen erkannt und aufgedeckt werden. 5

Schwachstellen nach Typ

Sicherheitshinweise dienen dazu, Entwickelnden die notwendigen Informationen zur Identifizierung und Behebung von Problemen zur Verfügung zu stellen. Dabei gilt es kritische Details zurückzuhalten, die Angreifenden helfen könnten, diese Schwachstellen auszunutzen. Eine wichtige Ressource zum Verdständnis dieser Schwachstellen ist die Common Weakness Enumeration (CWE), die Schwachstellen kategorisiert und dabei hilft, die Angriffsfläche zu kategorisieren.

Unsere Analyse ergibt zwei weit verbreitete Schwachstellen, die im Laufe der Zeit signifikant geblieben sind: 6 7

Im­proper In­put 
Va­li­da­ti­on (CWE-20)

Diese Art von Schwachstelle wird häufig als erster Schritt eines Angriffs auf ein System ausgenutzt. Sie tritt auf, wenn die Software Benutzereingaben nicht korrekt überprüft oder bereinigt, so dass Angreifende schädliche Daten einschleusen können, die die Anwendungslogik beeinträchtigen oder andere Schwachstellen auslösen können. Beispielsweise kann ein schlecht geschütztes Anmeldefeld Angreifenden als Einfallstor dienen.

Out-of-bounds Wri­te (CWE-787)

Hierbei werden Daten über die Grenzen des zugewiesenen Speichers hinaus geschrieben, was zu Abstürzen, beschädigten Daten oder der Ausführung von Schadcode führen kann. Angreifende verwenden häufig speziell gestaltete Pakete, um verwundbare Server anzugreifen und Daten in nicht autorisierte Speicherbereiche zu schreiben. Dies kann den Betrieb stören oder den Angreifenden die Ausführung von beliebigem Code auf dem System ermöglichen.

Behebung von Entwicklungsmängeln

Diese Schwachstellen sind häufig darauf zurückzuführen, dass der Sicherheit während des Entwicklungsprozesses nicht genügend Aufmerksamkeit geschenkt wird. Praktiken wie die ordnungsgemäße Validierung von Eingaben, die rigorose Bereinigung von Daten und die Durchsetzung von Speicherbegrenzungen können dazu beitragen, diese Probleme zu verringern. Die Integration von Grundsätzen der sicheren Programmierung in die Produktentwicklung ist entscheidend für die Verringerung von Sicherheitslücken.

 

 

Bedeutung für die breitere Bedrohungslage
Ein Vergleich dieser Schwachstellen mit den OWASP Top 10 Sicherheitsrisiken verdeutlicht ihre anhaltende Relevanz:

- CWE-20 entspricht OWASP-Risiken wie Injection (A03) und Insecure Deserialization, bei denen eine unsachgemäße Eingabeverarbeitung zu erheblichen Sicherheitsverletzungen führen kann.

- CWE-787 korreliert mit Problemen wie Security Misconfiguration (A05) und anderen speicherbezogenen Exploits, was die Notwendigkeit betont, diese Schwachstellen in IT- und OT-Systemen zu beheben.

 

Diese Überschneidungen verdeutlichen, dass Schwachstellen in OT-Umgebungen nicht isoliert auftreten, sondern Teil einer umfassenderen Cyber-Sicherheitsherausforderung sind, die koordinierte Aufmerksamkeit und sichere Entwicklungspraktiken erfordert.

Vorherrschende Angriffsvektoren

Unsere Analyse zeigt, dass netzwerkbasierte Schwachstellen mehr als 75 % der Angriffsvektoren in OT-Umgebungen ausmachen. Diese Schwachstellen ermöglichen es Angreifenden, Systeme aus der Ferne auszunutzen, wobei sie lediglich einen Netzwerk- oder Internetzugang benötigen. Dies spiegelt die Bedeutung der Fernausnutzung als bedeutendsten Bedrohungsvektor für OT-Systeme wider. Im Gegensatz dazu sind die Schwachstellen, die einen physischen Zugang erfordern, minimal (<1%). Dies verdeutlicht, wie die IT/OT-Integration und die Abhängigkeit von vernetzten Geräten die Anfälligkeit für netzwerkbasierte Angriffe erhöht haben.

Der Schweregrad von Schwachstellen, der durch den CVSS-Score gemessen wird, steht in engem Zusammenhang mit dem jeweiligen Angriffsvektor. Netzwerkbasierte Schwachstellen haben in der Regel höhere CVSS-Werte, da sie häufig ausgenutzt werden können und ein hohes Schadenspotenzial aufweisen. Diese Schwachstellen können konventionelle Schutzmechanismen umgehen und stellen eine kritische Bedrohung für OT-Systeme dar, die auf einen kontinuierlichen Betrieb angewiesen sind. Unsere Daten zeigen: Fast alle CVEs mit einem CVSS-Wert von 10 sind über das Netzwerk angreifbar. Passenderweise hat nur ein kleiner Teil der netzwerkbasierten Schwachstellen niedrige CVSS-Werte, was auf das erhöhte Risiko hinweist, das sie darstellen.

Qualität der Sicherheitshinweise (Security Advisories)

Die Verwendbarkeit und Wirksamkeit von Sicherheitshinweisen ist von Anbieter zu Anbieter sehr unterschiedlich, was das Management von Sicherheitslücken erschwert. Während sich einige Anbieter an den Common Security Advisory Framework(CSAF)-Standard halten, stellen andere uneinheitliche Formate oder unvollständige Informationen zur Verfügung, was umfangreiche manuelle Eingriffe erfordert. Diese Unterschiede erhöhen die Komplexität der Zuordnung von Hinweisen zu bestimmten Geräten.
 

Zwei entscheidende Faktoren beeinflussen die Qualität der Advisories:

1. Die Einhaltung von Standards wie dem CSAF gewährleistet, dass die Meldungen strukturiert, maschinenlesbar und untereinander kompatibel sind, was den manuellen Arbeitsaufwand reduziert.

2. Die genaue Produkt- und Versionsidentifikation ermöglicht einen schnellen Abgleich von Advisories mit den im Inventar eines Unternehmens befindlichen Geräten, wodurch die Korrekturmaßnahmen optimiert werden.
 

Um diese Lücken zu schließen, haben wir erhebliche Anstrengungen unternommen, um die Qualität der Advisorys zu verbessern. Dazu gehören:

– Anpassung von 10 % der Advisories an die CSAF-Standards.

– Manuelle Erstellung von 22 % der Advisories, wenn die Anbieter keine maschinenlesbaren Dateien zur Verfügung gestellt haben.
 

Diese Maßnahmen zeigen die dringende Notwendigkeit einer branchenweiten Standardisierung von Security Advisories. Diese Standardisierung würde nicht nur die Belastung der Sicherheitsteams verringern, sondern auch die Effizienz und Effektivität des Schwachstellenmanagements verbessern.

Eine ausführliche Anleitung zur effektiven Nutzung von Security Advisories finden Sie in unserem Fachartikel: Advisories und ihre Handhabung.

 

Trends in der OT-Schwach­stel­len-Land­schaft

Die Daten zeigen, dass die Zahl der Security Advisories und Schwachstellen insbesondere in den letzten zehn Jahren stetig zugenommen hat. Dieser Anstieg spiegelt ein erhöhtes Sicherheitsbewusstsein, den Einfluss globaler Ereignisse und die Entdeckung kritischer Schwachstellen wider, die branchenweite Aufmerksamkeit erregen. Darüber hinaus hat die zunehmende Integration von IT und OT neue Angriffsflächen geschaffen und die Identifizierung von Schwachstellen beschleunigt.

Ein besorgniserregender Trend ist das Fortbestehen gut dokumentierter Schwachstellen in vielen Produkten. Trotz der Verfügbarkeit fortschrittlicher Lösungen sind diese Schwachstellen immer noch weit verbreitet. Sie können daher aktiv ausgenutzt werden und stellen weiterhin eine Bedrohung dar.

Erfreulicherweise hat sich der CSAF-Standard für die Erstellung und Veröffentlichung von Sicherheitshinweisen durchgesetzt. Dieser Trend erleichtert eine effizientere Identifizierung und Verwaltung von Schwachstellen, rationalisiert die Prozesse für die Unternehmen und verbessert die Sicherheitsergebnisse.

 

Empfehlungen zur 
Entschärfung von OT-Schwachstellen

Um der sich entwickelnden Schwachstellenlandschaft zu begegnen, sollten Unternehmen die folgenden Schritte zur Stärkung ihrer Schutzmaßnahmen in Betracht ziehen: 8

 

Se­riö­se
Quel­len für
Schwach­stel­len
eta­blie­ren

Zuverlässige Informationswege wie Security Advisories von Herstellern, E-Mail-Alarmmeldungen und RSS-Feeds sind für die rechtzeitige Aktualisierung von Schwachstellen unerlässlich. Wenn diese nicht zur Verfügung stehen, können vertrauenswürdige Repositories von Drittanbietern und Sicherheitsblogs die Informationen ergänzen.

Voll­stän­di­ges 
As­set-In­ven­tar
ein­rich­ten

Ein detailliertes Inventar aller Netzressourcen ist für die Identifizierung von Schwachstellen und den Abgleich mit Advisories unerlässlich. Zu den wichtigsten Details gehören eindeutige Kennungen, Hersteller, Modell, Firmware-Version, IP-/MAC-Adressen und der physische Standort. Die Verwendung desselben Formats für Asset-Informationen wie in den Advisories vereinfacht den Behebungsprozess und spart Zeit.

Ein
Schwach­stel­len-
Ma­nage­ment-Tool
ver­wen­den

Automatisierte Tools zentralisieren und rationalisieren das Schwachstellen-Management, indem sie Informationen aus verschiedenen Quellen sammeln, bewerten und priorisieren. Funktionen wie CVSS-Scoring ermöglichen es den Sicherheitsteams, sich auf die kritischsten Bedrohungen zu konzentrieren und das Betriebsrisiko zu minimieren.

Stra­te­gi­en
zur Ri­si­ko-
be­wer­tung
um­set­zen

Regelmäßige Risikobewertungen helfen bei der Priorisierung von Ressourcen und der Eindämmung potenzieller Bedrohungen. Durch das Verständnis der spezifischen Risiken, denen ihre Systeme ausgesetzt sind, können Organisationen fundierte Entscheidungen darüber treffen, worauf sie ihre Bemühungen konzentrieren sollten.

As­sess­ments, 
Schwach­stel­len- &
Pe­ne­tra­ti­ons­tests
durch­füh­ren

Durch routinemäßige Evaluierungen werden neue Schwachstellen aufgedeckt und die Wirksamkeit der implementierten Sicherheitskontrollen gemessen, so dass ein kontinuierlicher Schutz vor sich weiterentwickelnden Bedrohungen gewährleistet ist.

Netz­werk-
über­wa­chungs­tools
ein­set­zen

Intrusion Detection Systeme (IDS) bieten wichtige Einblicke in die Netzwerkaktivitäten und helfen dabei, Anomalien zu erkennen und darauf zu reagieren, bevor sie eskalieren.

Si­cher­heits-
be­wusst­sein im
Team för­dern

Die Schulung der Mitarbeiter:innen in der Erkennung von und in der Reaktion auf Sicherheitsrisiken ist von entscheidender Bedeutung. Regelmäßige Schulungen zu bewährten Verfahren der Cybersicherheit fördern einen proaktiven Ansatz zur Sicherung von OT-Systemen.

 

Da die Umsetzung dieser Empfehlungen eine große Herausforderung darstellt, empfehlen wir, den folgenden Bereichen zu Beginn Priorität einzuräumen:

Vollständiges Asset-Inventar

Ein genaues Bestandsverzeichnis ist für ein wirksames Schwachstellenmanagement unerlässlich. Diese Datenbank sollte eindeutige Kennungen, Hersteller, Modelle, Firmware-Versionen, IP/MAC-Adressen und physische Standorte der einzelnen Geräte enthalten. Insbesondere das Produktmodell und die Version sollten im gleichen Format wie im Sicherheitshinweis beschrieben angegeben werden. Dies erleichtert den Abgleich und spart viel Zeit.
 

Sorgfältige Erfassung von Schwachstellen

Um Schwachstellen effektiv zu verwalten:

Her­stel­ler-Ka­näle 
abon­nie­ren

Hersteller bieten oft zeitnahe Aktualisierungen über E-Mail-Alarmmeldungen, RSS-Feeds oder spezielle Portale an.

Mit ver­trau­ens­wür­di­gen Dritt­quel­len er­gän­zen

Wenn keine Security Advisories verfügbar sind, können seriöse Drittanbieter-Repositories und Sicherheitsblogs zusätzliche Erkenntnisse liefern, müssen aber auf ihre Richtigkeit hin überprüft werden.

Si­cher­heits­blo­gs für weit ver­brei­te­te 
Schwach­stel­len nut­zen

Blogs und Nachrichtenquellen berichten oft schnell über kritische Sicherheitslücken und bieten so ein wertvolles Frühwarnsystem für weit verbreitete Schwachstellen.

Tools für das Schwachstellen-Management

Schwachstellen-Management-Tools sind für die Automatisierung und Optimierung der Arbeitsabläufe bei Schwachstellen unerlässlich. Die wichtigsten Vorteile sind:

Zen­tra­li­sier­te Da­ten

Konsolidiert Hinweise aus verschiedenen Quellen in einer einzigen Plattform.

Prio­ri­ti­sie­rung

Unterstützt die Fokussierung von kritischen Schwachstellen durch die Integration von CVSS-Scores.

Ef­fi­zi­enz­stei­ge­rung

Reduziert den manuellen Aufwand, so dass sich die Sicherheitsteams auf die Beseitigung von Mängeln konzentrieren können.

Er­kennt­nis­se aus dem 
OT-Schwach­stel­len-Re­port 2024

Die sich rasch verändernde Bedrohungslandschaft für kritische Infrastrukturen erfordert einen proaktiven, strukturierten und kooperativen Ansatz für das Schwachstellen-Management. Mit der zunehmenden Anzahl und Komplexität von Schwachstellen steigen auch die Risiken für kritische Infrastrukturen. Fortschrittliche Lösungen wie StationGuard GridOps ermöglichen Unternehmen ein effektives Schwachstellenmanagement durch die Kombination von Automatisierung, Genauigkeit und umsetzbaren Erkenntnissen.

Dieser Bericht unterstreicht die Bedeutung gemeinsamer Anstrengungen - über Branchen, Teams und Systeme hinweg - zur Sicherung von OT-Umgebungen. Nur durch die Priorisierung von Strategien zur Risikominderung und die Förderung der Zusammenarbeit können Unternehmen die kritischen Systeme schützen, die die moderne Gesellschaft antreiben.
 
 

In­for­ma­tio­nen über 
OMIC­RONs OT-Si­cher­heit


OMICRON: Sicherstellung der Datengenauigkeit mit innovativen Prozessen

Um die Richtigkeit der Schwachstellen und Security Advisories zu überprüfen, begutachten wir die von den Anbietern zur Verfügung gestellten CSAF-Dateien und PDFs und stellen sicher, dass beschädigte oder unvollständige Dateien korrekt angepasst werden:

Web Craw­ler des 
An­bie­ters

Die wichtigste und zuverlässigste Quelle für Security Advisories ist immer der Hersteller selbst. Bei den meisten von uns unterstützten Anbietern überprüfen wir regelmäßig deren Websites, um neu herausgegebene oder aktualisierte Hinweise herunterzuladen. Informationen, die direkt von den Herstellern zur Verfügung gestellt werden, sind im Vergleich zu Drittquellen in der Regel am genauesten.

Dritt­an­bie­ter-
Re­po­si­to­ri­en (CISA)

In Fällen, in denen die Anbieter selbst keine Security Advisories veröffentlichen, greifen wir auf vertrauenswürdige Drittanbieter-Repositorien zurück, wie z. B. die der Cybersecurity and Infrastructure Security Agency (CISA). Die CISA stellt ein zentrales Repository für Sicherheitshinweise und Schwachstellen zur Verfügung und ist damit eine unschätzbare Ressource für Sicherheitsexpert:innen. Ausgewählte Sicherheitshinweise für OT-Anbieter aus diesem Repository sind auch in unserer Schwachstellen-Datenbank enthalten.

OMICRON: Umfassende OT-Sicherheit mit StationGuard GridOps

StationGuard GridOps, das spezielle Schwachstellen-Management-Tool von OMICRON, wurde entwickelt, um den besonderen Herausforderungen von OT-Umgebungen gerecht zu werden. Es lässt sich direkt in Advisory Repositories von Herstellern und Drittanbietern integrieren und automatisiert die Erfassung und Kategorisierung von Schwachstellen. GridOps bietet anpassbare Dashboards, die Echtzeiteinblicke in Schwachstellentrends, Fortschritte bei der Schwachstellenbehebung und Konformität mit Standards wie CSAF bieten.

Durch den Einsatz von GridOps können Unternehmen den operativen Aufwand für das Schwachstellenmanagement minimieren. Das Tool stellt sicher, dass kritische Schwachstellen sofort erkannt und adressiert werden, so dass sich die Sicherheitsteams auf die Aufrechterhaltung der Widerstandsfähigkeit und Sicherheit ihrer OT-Umgebungen konzentrieren können.

 

Wich­ti­ge Be­grif­fe

Verschaffen Sie sich einen Überblick über die wichtigsten Begriffe der OT-Sicherheit:

Security Advisory

Ein Security Advisory (Sicherheitshinweis) ist eine offizielle Mitteilung eines Anbieters, einer Cybersicherheitsorganisation oder einer Regierungsbehörde, die Einzelheiten zu einem bestimmten Sicherheitsproblem enthält. Sie enthalten in der Regel Informationen über die Schwachstelle, die möglichen Auswirkungen und Empfehlungen zur Behebung des Problems. Security Advisories sollen die Benutzer:innen vor potenziellen Bedrohungen warnen und ihnen Hinweise zum Schutz ihrer Systeme geben.

Schwachstelle

Eine Schwachstelle ist ein Fehler oder eine Schwäche in einem System, einer Anwendung oder einem Netzwerk, die von Angreifenden ausgenutzt werden kann, um sich unbefugten Zugang zu verschaffen oder Schaden zu verursachen. Schwachstellen können in Software, Hardware oder sogar in betrieblichen Abläufen vorhanden sein und sind häufig Gegenstand von Security Advisories. Das Erkennen und Beheben von Schwachstellen ist ein wichtiger Bestandteil der Cybersicherheit, insbesondere in OT-Umgebungen, wo die Auswirkungen kritisch sein können.

OWASP

Die OWASP Top 10 dienen als weithin anerkannter Standard zur Identifizierung und Priorisierung kritischer Sicherheitsrisiken von Webanwendungen. Dies bietet Entwicklern einen Fahrplan für das Verständnis und die Behebung der dringendsten Schwachstellen. Indem sie ihre Maßnahmen zur Risikominderung an den OWASP Top 10 ausrichten, können Unternehmen ihre Gefährdung durch diese häufigen und schwerwiegenden Bedrohungen proaktiv verringern.

Common Vulnerabilities and Exposures (CVE)

CVE ist eine standardisierte Kennung für Sicherheitslücken. Von der MITRE Corporation verwaltet, wird jeder öffentlich bekannten Sicherheitslücke eine CVE-Nummer zugewiesen. Mithilfe dieser Nummer können Sicherheitsexpert:innen schnell und präzise über verschiedene Tools, Datenbanken und Diskussionen hinweg über bestimmte Schwachstellen kommunizieren. CVEs werden verwendet, um Schwachstellen konsequent zu verfolgen und zu beheben, und sind in der gesamten Branche weithin anerkannt. 9

Common Weakness Enumeration (CWE)

CWE ist eine Liste allgemeiner Software- und Hardwareschwächen, die zu Sicherheitslücken führen können. Während CVE spezifische Schwachstellen identifiziert, kategorisiert CWE die zugrunde liegenden Probleme, die zu diesen Schwachstellen führen können. So kann beispielsweise eine Pufferüberlaufschwachstelle (CVE) unter der CWE für unsachgemäße Eingabevalidierung kategorisiert werden. Das Verständnis der CWEs hilft bei der Identifizierung und Entschärfung der Ursachen von Sicherheitslücken. 10

Common Vulnerability Scoring System (CVSS) Score

CVSS ist ein standardisiertes Punktesystem zur Bewertung des Schweregrads von Sicherheitslücken. Die CVSS-Punktzahl reicht von 0 bis 10, wobei höhere Punktzahlen für schwerwiegendere Schwachstellen stehen. Die Punktzahl basiert auf mehreren Faktoren, u. a. darauf, wie leicht die Schwachstelle ausgenutzt werden kann, welche Auswirkungen ein Ausnutzen hat und wie komplex der Angriff ist. CVSS-Scores werden verwendet, um Prioritäten bei der Verwaltung von Schwachstellen zu setzen, und helfen Unternehmen, sich zuerst auf die kritischsten Probleme zu konzentrieren. 11

Common Security Advisory Framework (CSAF)

CSAF ist ein Branchenstandard für die Veröffentlichung von Sicherheitshinweisen. Es stellt sicher, dass die Hinweise strukturiert, konsistent und maschinenlesbar sind und erleichtert Unternehmen die Automatisierung von Prozessen zur Verwaltung von Sicherheitslücken. 12

News und Aktuelles

Fußnoten

  1. Bundesamt für Sicherheit in der Informationstechnik. "Ausgabe Q2/2023: Bekannt gewordene Schwachstellen (xlsx)." BSI, Q2 2023: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Cyber-Sicherheitslage/Lageberichte/Kennzahlen-Statistiken/kennzahlen-statistiken_node.html, aufgerufen am 20. November, 2024.

  2. R. R. Contreras. "COVID-19 and digitalisation." Eurofound, Sept 2021: https://www.eurofound.europa.eu/en/covid-19-and-digitalisation, aufgerufen am 1. Dezember, 2024.

  3. National Institute of Standards and Technolgy. "CVE-2021-44228 Detail." NIST, 12 Dec 2021: https://nvd.nist.gov/vuln/detail/CVE-2021-44228, aufgerufen am 20. November, 2024.

  4. L. H. Newman. "The Log4J Vulnerability Will Haunt the Internet for Years." WIRED, 13 Dec 2021: https://www.wired.com/story/log4j-log4shell/, aufgerufen am 20. November, 2024.

  5. VERVE. "2023 ICS Advsiory Report." VERVE Industrial, 2023: https://verveindustrial.com/resources/guide/2023-ics-advisory-report/, aufgerufen am 1. Dezember, 2024.

  6. The Mitre Corporation. "CWE-20: Improper Input Validation." Mitre: https://cwe.mitre.org/data/definitions/20.html, aufgerufen am 1. Dezember, 2024.

  7. The Mitre Corporation. "CWE-787: Out-of-bounds Write." Mitre: https://cwe.mitre.org/data/definitions/787.html, aufgerufen am 7. Dezember, 2024.

  8. U.S Department of Homeland Security. "Recommended Practice for Patch." Cybersecurity & Infrastructure Security Agency, Dec 2008: https://www.cisa.gov/sites/default/files/recommended_practices/RP_Patch_Management_S508C.pdf, aufgerufen am 15. November, 2024.

  9. The Mitre Corporation. "About the CVE Program." Mitre: https://www.cve.org/About/Overview, aufgerufen am 15. Dezember, 2024.

  10. The Mitre Corporation. "About CWE." Mitre, 22 Mar 2024: https://cwe.mitre.org/about/index.html, aufgerufen am 15. Dezember, 2024.

  11. Forum of Incident Response and Security Teams Inc.. "Common Vulnerability Scoring System SIG." First: https://www.first.org/cvss/, aufgerufen am 20. November, 2024.

  12. L. Rock, S. Hagen and T. Schmidt. "Common Security Advisory Framework Version 2.0." OASIS Common Security Advisory Framework: https://docs.oasis-open.org/csaf/csaf/v2.0/os/csaf-v2.0-os.html, aufgerufen am 20. November, 2024.