© JHVEPhoto – stock.adobe.com
Am 16. April schreckte die Meldung zur MITRE-Organisation die Cybersecurity Community auf: Die Finanzierung der CVE- und CWE- Programme läuft aus und damit auch das Fortbestehen der CVE- Datenbank. Insbesondere das Common Vulnerabilities and Exposures-Programm, welches eine weltweit eindeutige Bezeichnung von Schwachstellen sicherstellt, ist für die schnelle und wirksame Beseitigung von Sicherheitslücken in OT-Systemen essenziell.
Auch wenn aktuell die Finanzierung zumindest für die nächsten elf Monate gesichert ist, wird die Frage aufgeworfen: Wie zuverlässig und verfügbar sind die Informationen zu Schwachstellen in IT- und OT-Systemen? Insbesondere sollte sich die Frage gestellt werden, ob das Zurückgreifen auf eine einzige zentrale Instanz auf unsicherem Fundament eine gute Basis für die Sicherheit der eigenen kritischen Infrastruktur ist.
Bereits am gleichen Tag zeichneten sich glückicherweise mehrere Alternativen ab. Auch die ENSIA hat ihre EU Vulnerability Database online geschaltet. Aktuell läuft diese Datenbank noch in einem Beta Stadium. Diese Datenbank sichert für die Zukunft die Verfügbarkeit der Schwachstelleninformationen, aber verringert nicht die Komplexität, der die IT- und OT-Sicherheitsverantwortlichen gegenüberstehen.
Schwachstellenmanagement- und Threat Intelligence-Tools können diese Komplexität signifikant senken. Durch die Verwendung verschiedener Informationsquellen, inklusive der von den Herstellern direkt bereitgestellten Sicherheitshinweise (Security Advisories) können aktuelle und detaillierte Informationen nicht zur zu den Schwachstellen, sondern auch zu deren Kritikalität und den Gegenmaßnahmen bereitgestellt werden.
Die StationGuard Lösung verwendet in GridOps diese aufbereiteten Informationen zusammen mit einem automatisch generiertem Asset Inventar, welches die detaillierten Daten zu den vorhandenen OT-Systemen erfasst. Durch die präzise Zuordnung der Asset-Daten zu den Security Advisories werden nur die für die eigene OT-Infrastruktur relevanten Schwachstellen inklusive Gegenmaßnahmen aufgeführt. Das verringert den Aufwand für das Schwachstellenmanagement dramatisch. Anhand der Kritikalität der vorhandenen Schwachstellen kann dann das Patchen der OT-Systeme priorisiert und optimiert werden. Die StationGuard-Lösung arbeitet unabhängig von der CVE-Datenbank sowie anderen Diensten wie der NVD.
