Zweites Konsortialtreffen beim VDE in Offenbach

13. September 2022

Am 13. September 2022 fand das zweite Konsortialtreffen des ZenSIM4.0-Projektes als Hybridveranstaltung statt. Durch Corona hatte sich ein Treffen immer wieder verzögert, konnte nun aber endlich beim Projektpartner CERT@VDE umgesetzt werden. Die Teilnehmer waren überwiegend anwesend (siehe Abbildung 1), so dass eine lebhafte Diskussion der Projektergebnisse erfolgen konnte. Am Ende waren sich alle Partner einig, dass noch einige Arbeiten bis zum ersten Meilenstein zu erledigen sind, aber man auf einem guten Weg ist.

Abbildung 1: Präsentation der Ergebnisse der Partner im Meeting-Raum des VDE

Abbildung 1: Präsentation der Ergebnisse der Partner im Meeting-Raum des VDE

Das Arbeitspaket AP2 (Anforderungsanalyse und Anwendungsszenarien) steht im ZenSIM4.0-Projekt knapp vor der Vollendung. Das CERT@VDE hat fünf Unternehmen befragt, um deren Anforderungen an ein Schwachstellenmanagement zu sammeln. Diese Anforderungen mündeten dann in ein Schwachstellen-Informationsservice (SIS). Unter https://cert.vde.com/de bietet das CERT@VDE bereits heute aktuelle Informationen über Sicherheitslücken, Gegenmaßnahmen und Warnungen (Advisories, Nachrichten, Bulletins) an. Für die Erstellung von Advisories werden menschenlesbare Formate benötigt, die über einen Trusted Provider abgesichert werden müssen. Allerdings sind dadurch keine Datenbank und keine Versionierung einsetzbar. Aktuell wird angestrebt einen Trusted Provider aufzubauen, das CSAF-Format zu etablieren und die Generierung von CSAF-Dokumenten durch die Hersteller voranzutreiben. Common Security Advisory Framework (CSAF) ist ein maschinenverarbeitendes Format, welches automatisierte Datenbankabgleiche ermöglicht. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet an einer CSAF-Lösung, um Anwendern das Auffinden sowie die Bewertung und Umsetzung von Security Advisories zu erleichtern. Man möchte die Zusammenarbeit zwischen CERT@VDE und BSI zukünftig verstärken und durch Workshops gemeinsame Lösungen erarbeiten. Das maschinenverarbeitbare Format für Security Advisories, das sogenannte Common Security Advisory Framework (CSAF) 2.0, wird einen entscheidenden Beitrag dazu leisten, dass Unternehmen den Überblick behalten und ihre Anlagen absichern können. Die Security Advisories können dabei automatisiert von den Herstellern abgerufen und mit der eigenen Inventardatenbank abgeglichen werden. Das erste Tool zum Erstellen von CSAF-Dokumenten (Secvisogram, https://secvisogram.github.io/) hat das BSI bereits veröffentlicht.

Abbildung 2: Simulationsumgebung der Hochschule Bremen bei der Live-Präsentation

Abbildung 2: Simulationsumgebung der Hochschule Bremen bei der Live-Präsentation

Die DECOIT® GmbH & Co. KG hat hingegen die vorhandene SIEM-Architektur weiter verfeinert und diese um Funktionalitäten wie SOAR (Security Orchestration, Automation and Response), Feedback, Analysemethoden und Playbooks ergänzt. Diese neuen Funktionen werden nun im anstehenden Arbeitspaket AP3 entsprechend entwickelt. Zudem ist man an der Entwicklung eines CSAF-Consumers und -Managementsystems dran. Hier müssen allerdings noch verschiedene Asset-Datenbanken miteinander abgeglichen werden, da sowohl Hersteller-Asset-Datenbanken existieren, als auch die hauseigene SIEM-Lösung ScanBox® (www.scanbox-product.de) eine Asset-Datenbank zusammenstellt. Ein erster Prototyp ist trotzdem bereits vorhanden und wartet auf die ersten Tests.

Abbildung 3: Vorstellung der Scanning-Tool-Evaluierung der Hochschule Bremen

Abbildung 3: Vorstellung der Scanning-Tool-Evaluierung der Hochschule Bremen

Die Hochschule Bremen hat ihre Simulationsumgebung weiter aufgebaut sowie Datenschutz und Rechtskonformität weiter untersucht. In der Simulationsumgebung lässt sich ein Industrienetz komplett darstellen und auf Sicherheitslücken untersuchen. Hierzu gab es eine Online-Vorführung (siehe Abbildung 2), die die Arbeitsweise und Funktionalität der Simulationsumgebung widerspiegelte. Zudem wurde eine ausgiebige Evaluierung von Scan-Tools durchgeführt, die nach Scan-Tiefe aussortiert wurden (siehe Abbildung 3). Im Bereich des Datenschutzes wurde die Pseudonymisierung innerhalb der Plattformarchitektur diskutiert. Diese kann bei Untersuchung von Sicherheitslücken oder längerer Aufbewahrung von Daten ein Problem darstellen. Allerdings gibt es bislang keine Pflicht zur Anonymisierung. Es wurde daher von dem assoziierten Partner Certavo GmbH ein Privacy Dashboard vorgeschlagen, das eine Einwilligung des Nutzers voraussetzt.

Abschließend wurden die offenen Aufgaben diskutiert und an die Partner vergeben. Das Projekt liegt etwas hinter seinem ursprünglichen Zeitplan zurück, was aber noch aufgefangen werden kann, wenn der erste Meilenstein nun nach der Sommerpause zügig erreicht wird.