Das BSI entwickelt derzeit zusammen mit nationalen und internationalen Partnern das sogenannte Common Security Advisory Framework (CSAF). Dabei handelt es sich um eine Sammlung von Programmen, welche Unternehmen dabei helfen sollen, ihre IT-Infrastrukturen effektiv gegen Cyberangriffe zu schützen.
Welche Vorteile bietet CSAF den Unternehmen?
Das maschinenlesbare Format des CSAF ermöglicht eine standardisierte und automatisierte Weitergabe von Informationen über IT-Schwachstellen an Unternehmen. Dies erleichtert den Unternehmen nicht nur die Verteilung, sondern auch die Implementierung von Sicherheitsupdates und Patches auf den eigenen IT-Systemen.
Die Anwendung des CSAF versetzt Unternehmen damit in die Lage, zukünftig sehr schnell auf IT-Sicherheitsvorfälle reagieren zu können und die eigenen IT-Systeme durch die Möglichkeit der Automatisierung kontinuierlich auf dem aktuellen Stand zu halten, was das Risiko von Sicherheitslücken erheblich verringert.
Auch die Nicht-Betroffenheit ist eine wertvolle Information
Das System bietet die Möglichkeit, sowohl die Betroffenheit als auch die Nicht-Betroffenheit eines Unternehmens von Sicherheitslücken zuverlässig zu ermitteln. Diese Funktionalität ist besonders wertvoll, da die Bestätigung, nicht von einer Schwachstelle betroffen zu sein, Unternehmen ermöglicht, die vorhandenen (meist sehr knappen) personellen IT-Ressourcen auf andere Bereiche zu konzentrieren, was die Betriebseffizienz steigert, ohne das Sicherheitsniveau zu senken.
Was kostet die Nutzung von CSAF?
Da das komplette CSAF-System unter einer Open Source Lizenz steht, fallen für die Nutzung dieser Werkzeuge keine Lizenzgebühren an.
CSAF ist als offizieller Standard anerkannt
Das internationale Konsortium "OASIS Open" hat das Common Security Advisory Framework bereits offiziell als Standard anerkannt. Die Einführung des CSAF-Standards wird die Kommunikation zwischen unterschiedlichen Systemen und Beteiligten im Sektor der Cybersicherheit nach Einschätzung des BSI signifikant verbessern.
Bereits erste Tools veröffentlicht
Das BSI und die internationale Gemeinschaft haben bereits erste Open-Source-Tools auf GitHub für das Erstellen, Bearbeiten, Verteilen und Anzeigen zur Verfügung gestellt. Auch die US-Partnerbehörde CISA (die Cybersecurity and Infrastructure Security Agency ist eine auf den Schutz kritischer Infrastrukturen und Informationstechnologie-Systeme spezialisierte Agentur der US-Bundesregierung) hat kürzlich ihre Unterstützung für CSAF bekundet.
Das BSI sowie diverse internationale und nationale Hersteller bieten schon erste CSAF-Dokumente an. Es besteht aber bei vielen Herstellern noch Nachholbedarf. Deshalb fordert das BSI die Nutzer und insbesondere die Beschaffungsteams auf, den Dialog mit den Herstellern zu suchen und die Bereitstellung von Security Advisories im CSAF-Format aktiv einzufordern.
Quintessenz dieser Information
Der vom Bundesamt für Sicherheit in der Informationstechnik veröffentlichte Lagebericht zur IT-Sicherheit in Deutschland (2023) weist aus, dass im Monat durchschnittlich 2.000 neue Schwachstellen in Softwareprodukten bekannt werden – wovon 15 Prozent als kritisch eingestuft wurden. Dies entspricht laut BSI einem Zuwachse von 24 Prozent gegenüber dem Vorjahr! Im Bericht kommt die Behörde zum Fazit: Die Bedrohung im Cyberraum ist so hoch wie nie zuvor.
Das Common Security Advisory Framework bietet einen bedeutenden Mehrwert für Unternehmen, indem es die Reaktionsgeschwindigkeit auf Sicherheitsvorfälle signifikant erhöht und eine automatisierte Aktualisierung der IT-Systeme ermöglicht. Die Implementierung des CSAF-Standards führt zu einer effizienteren Erkennung und Behebung von Sicherheitslücken und verbessert damit entscheidend die Transparenz und Nachvollziehbarkeit von Sicherheitsvorfällen.
Dadurch wird auch das Risiko von Datenschutzverletzungen signifikant reduziert und die von der DS-GVO geforderte Integrität sowie die Verfügbarkeit von personenbezogenen Daten sichergestellt. CSAF hilft den Unternehmen dabei, den gesetzlichen Anforderungen im Bereich des Datenschutzes und der Datensicherheit noch besser gerecht zu werden.
Das Wissen über dieses Projekt stellt somit eine wesentliche Grundlage für die zukünftige Sicherheitsstrategie im Bereich der technischen und organisatorischen Maßnahmen (TOM) von Unternehmen dar.
Pflichthinweis auf einen externen Link gemäß § 19 Abs. (3) TDDDG
Der folgende Link führt zu einer externen Webseite, die nicht von uns betrieben wird. Wir sind nicht verantwortlich für den Inhalt oder die Datenschutzpraktiken dieser externen Seite. Bitte beachten Sie die jeweiligen Datenschutzrichtlinien und Nutzungsbedingungen.
Externer Link zur Übersicht über die (bisherigen) Bestandteile von CSAF