Industrienetze unterscheiden sich stark von Unternehmensnetzwerken: Sie müssen nahezu 100 % verfügbar sein, nutzen spezielle Protokolle wie Modbus und laufen oft auf veralteten Systemen mit langer Lebensdauer. Früher waren sie durch Isolation geschützt, doch durch den Bedarf an Fernzugriffen steigt die Gefahr von Cyberangriffen. Daher ist Anomalieerkennung notwendig, wobei KI-Algorithmen helfen sollen, Alarme zu bewerten und Risiken sinnvoll einzuschätzen.

In einer zunehmend digitalisierten Welt hängt die Sicherheit kritischer Infrastrukturen maßgeblich davon ab, wie effizient Unternehmen auf neue Schwachstellen reagieren können. Professor Dr.-Ing. Kai-Oliver Detken zeigt in seinem Artikel in NET 09/2025, wie das Common Security Advisory Framework (CSAF) Unternehmen dabei hilft, Sicherheitsrisiken automatisiert zu bewerten und Gegenmaßnahmen schnell einzuleiten.

Unternehmen stehen heute vor der Herausforderung, sowohl ihre IT- als auch OT-Systeme vor Cyberangriffen zu schützen. Während große Konzerne meist über eigene CERTs (Computer Emergency Response Teams) oder PSIRTs (Product Security Incident Response Teams) verfügen, fehlt kleineren und mittleren Unternehmen häufig das nötige Personal und die Infrastruktur, um auf neue Bedrohungen angemessen zu reagieren. Dadurch haben viele KMUs keinen direkten Zugang zu sicherheitsrelevanten Informationen, die im Falle einer Schwachstelle entscheidend sein können.

Bisher wurden Sicherheitswarnungen – sogenannte Security Advisories – meist in menschenlesbarer Form veröffentlicht. Das erschwerte eine automatisierte Auswertung und führte oft zu Verzögerungen, bis Unternehmen reagieren konnten. CSAF hingegen standardisiert diese Informationen in einem maschinenlesbaren JSON-Format, sodass sie automatisch verarbeitet, analysiert und in bestehende Sicherheitssysteme integriert werden können.

Durch die Automatisierung können Warnungen schneller verteilt, Risiken effizienter bewertet und Sicherheitslücken rascher geschlossen werden. Zudem ermöglicht CSAF eine bessere Interoperabilität zwischen verschiedenen Tools und Organisationen. Der Standard wurde 2022 von der OASIS Open Organization offiziell verabschiedet und wird vom BSI (Bundesamt für Sicherheit in der Informationstechnik) aktiv unterstützt.

Ein praktisches Beispiel für die Anwendung dieses Standards liefert das Forschungsprojekt ZenSIM 4.0, das speziell für den Mittelstand im Industrie-4.0-Bereich entwickelt wurde. Ziel war es, eine Plattform zu schaffen, die Unternehmen beim Aufbau eines hochwertigen Incident-Managements unterstützt. Über diese Plattform können KMUs Informationen zu ihrer IT- und OT-Infrastruktur sowie zu vergangenen Sicherheitsvorfällen bereitstellen.

Ein zentrales Element des Projekts ist der CSAF-Demonstrator, der die Kommunikation zwischen Betreibern und CERTs automatisiert. Wenn ein Unternehmen einen Vorfall meldet, kann das CERT@VDE die Informationen automatisch verarbeiten und den betroffenen Hersteller warnen. Ist bereits ein Patch verfügbar, wird dieser direkt an den Betreiber weitergeleitet.

Die Integration von CSAF wurde im ZenSIM4.0-Projekt anhand des SIEM-Systems ScanBox gezeigt. Hier fungiert ein sogenannter CSAF-Aggregator als zentrale Sammelstelle für Advisories, die regelmäßig aktualisiert und mit den lokalen Asset-Daten eines Unternehmens abgeglichen werden. Erkennt das System eine Übereinstimmung zwischen einem bekannten Sicherheitsrisiko und einem vorhandenen Asset, wird automatisch ein Ticket erstellt, um die Schwachstelle zu beheben.

Durch automatisierte Prozesse wie CSAF lässt sich die wachsende Flut an Sicherheitsinformationen effizient bewältigen. Das ZenSIM4.0-Projekt zeigt, dass solche Lösungen bereits heute praxistauglich sind und insbesondere für KMUs den entscheidenden Unterschied zwischen Reaktion und Prävention ausmachen können.