Security: CERT@VDE wird erste deutsche Schaltzentrale für Sicherheitslücken

Das Sicherheits- und Computer-Notfallteam des Elektrotechnik- und IT-Verbands VDE spielt international seit wenigen Tagen eine wichtigere Rolle. Die Branchenvereinigung teilte am Freitag mit, dass das eigene Computer Emergency Response Team CERT@VDE zur zentralen Stelle im Kampf gegen IT-Sicherheitslücken im Bereich der Industrieautomation mit Fokus auf kleine und mittlere Unternehmen aufgestiegen sei. Dessen Arbeit zur Koordination von Security-Problemen in diesem Sektor erhält damit eine weltweite Bedeutung.

Sicherheitslücken in Industrieprodukten haben bereits etwa in der Strom- und Wasserversorgung, in Krankenhäusern oder in großen Fertigungsstätten für teils existenzielle Bedrohungen gesorgt. Wenn Angreifer solche Schwachstellen ausnutzen, kann das weitreichende und schwerwiegende Folgen für Mensch, Umwelt und Gesellschaft haben. Um das zu verhindern, müssen diese Lücken weltweit bekannt gemacht und behoben werden.

Schwachstellen-Datenbank

Dafür gibt es das CVE-System (Common Vulnerabilities and Exposures), das vor über 25 Jahren in den USA eingeführt wurde. Es fungiert wie eine große Datenbank, in der jede bekannte Sicherheitslücke eine eigene, eindeutige Nummer hat. Das soll dabei helfen, Missverständnisse bei der Behebung von Problemen zu vermeiden, da jeder genau weiß, welche Schwachstelle gemeint ist. Seit 1999 gilt das CVE-System als wichtiger globaler Standard, der IT-Sicherheitsexperten und Unternehmen hilft.

Doch nicht jeder soll einfach CVE-IDs vergeben können, um Chaos zu vermeiden. Dazu berechtigt sind nur bestimmte Organisationen und Firmen. Sie sind als „CVE Numbering Authorities (CNAs)“ bekannt. Diese teilen sich die Zuständigkeiten für verschiedene Produkte und Bereiche auf. CERT@VDE ist bereits seit 2020 eine solche CNA für seine Partner. Das Zentrum hat sich dafür im Rahmen von Prüfungen durch die US-Normungsbehörde NIST einen hohen Qualitätsstandard für seine CVEs erarbeitet. Die NIST betreibt auch die NVD (National Vulnerability Database), eine staatliche Datenbank, die das CVE-System um technische Details und Bewertungen ergänzt.

CERT@VDE übernimmt Spitzenposition

Über den normalen CNAs gibt es noch sogenannte Root-CNAs. Das sind die Schaltzentralen, die die Arbeit der untergeordneten Zulieferer koordinieren und überwachen. Zu diesen Root-CNAs gehören bereits große Namen wie MITRE, die US-Cybersicherheitsbehörde CISA, Google und Red Hat aus den USA, das japanische JPCERT/CC, das spanische INCIBE Cert sowie der französische Konzern Thales. Seit Mitte Juli dient nun CERT@VDE als die erste deutsche Root-CNA.

In dieser neuen Funktion wird das Notfallzentrum laut dem VDE das CVE-System für seine Partner in Deutschland strukturieren, beaufsichtigen und koordinieren. Das bedeutet konkret: Das CERT-Team sucht, selektiert und betreut neue CNAs aus dem Kreis ihrer Partner. Die Mitarbeiter schulen diese Instanzen und helfen ihnen beim Start. Sie sollen ferner sicherstellen, dass alle sich an die CVE-Regeln und -Prozesse halten. Weitere Aufgabe ist die Fortentwicklung von Abläufen und Standards für die Vergabe und Verwaltung von CVE-IDs. Bei Unklarheiten oder Streitigkeiten zwischen CNAs über Zuständigkeiten wird CERT@VDE vermitteln und die Qualität der CVE-Einträge prüfen.

Vorteile für deutsche Unternehmen und Kritik

Laut dem Abteilungsleiter von CERT@VDE, Andreas Harner, hat die Beförderung Vorteile für deutsche Firmen: Das Zentrum sei damit nicht nur die direkte Kontaktstelle in derselben Zeitzone für Mitstreiter in Mitteleuropa, sondern auch Teil des internationalen CVE-Systems. Angeschlossene könnten ihren Kunden so noch besser zeigen, dass sie ein ausgereiftes Sicherheitsmanagement haben. Zugleich behielten sie die Kontrolle darüber, wann und wie CVEs für Schwachstellen in ihren Produkten veröffentlicht werden.

Die CVE-Datenbank stand im Frühjahr wegen Unstimmigkeiten zwischen CISA und MITRE aufgrund Sparvorgaben aus dem Umfeld der Trump-Regierung kurzzeitig vor dem Aus. Die EU beteiligte sich an der Suche nach Alternativen. Das mit CVE eng verknüpfte Schwachstellenbewertungssystem CVSS (Common Vulnerability Scoring System) steht generell in der Kritik wegen seiner Anfälligkeit für Fehleinschätzungen. Die CISA gelobte voriges Jahr, den Informationsrückstau bei der von der NIST geführten Mutter aller Schwachstellendatenbanken mit einem flexibleren Ansatz anzugehen.

(vbr)