Die Common Security Advisory Framework (CSAF) Community Days ist eine englischsprachige Veranstaltung, die der Diskussion von Tools, Best Practices, Innovationen und Erfolgsgeschichten im Zusammenhang mit CSAF gewidmet ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) lud zwischen dem 12.-13. Dezember 2024 dazu Praktiker, Entwickler, Hersteller, Verbraucher und Community-Mitglieder nach München ein, damit diese Vorträge und Demos rund um CSAF präsentieren können. Dies diente dazu den CSAF-Standard weiter bekanntzumachen und Networking-Möglichkeiten zwischen den Teilnehmern zu nutzen. Die DECOIT® war im Rahmen des ZenSIM4.0-Projektes ebenfalls mit eingeladen, um ihren im Projekt entwickelten CSAF-Demonstrator vorzustellen.

Durch die Teilnahme an den CSAF Community Days 2024 konnte die DECOIT® an der Diskussion über die Weiterentwicklung von Sicherheitspraktiken und -standards aktiv teilnehmen und ihren Standpunkt beitragen. Dr. Salva Daneshgadeh Cakmakci präsentierte den Vortrag „Demonstrator with CSAF Matching“, der die Arbeiten aus dem ZenSIM4.0-Projekt beschrieb. Die Präsentation begann daher mit einem Überblick über das BMBF-Projekt und dessen Ziele, gefolgt von einer eingehenden Analyse der Plattform-Architektur, die CSAF-Matching unterstützt, und der Funktionalität ihrer verschiedenen Komponenten. Die Präsentation endete mit einer Live-Demonstration des CSAF-Systems.

In dem ZenSIM4.0-Projekt wurde von der DECOIT® eine Proof-of-Concept SIEM-Lösung entwickelt, die auf ICS-Netzwerke zugeschnitten ist. Aufbauend auf der eigenen SIEM-Lösung ScanBox® für IT-Unternehmen wurde ein CSAF-Consumer mit mehreren zusätzlichen Komponenten in die Plattform integriert. Das Projekt realisierte dadurch vier primäre Anwendungsfälle:

1. Empfang von CSAF-Dokumenten von einem CSAF-Aggregator
2. Abgleich von CSAF-Dokumenten mit unternehmerischen Assets
3. Gemeinsame Nutzung von Indicators of Compromises (IoCs) im Zusammenhang mit erkannten Angriffen durch das SIEM-System mit Behörden
4. Übermittlung verdächtiger IP-Adressen an Data Clearing House (Advanced Cyber Defence Centre)

Ein Schwerpunkt der Präsentation war die Erstellung von Warnmeldungen als Tickets für das Sicherheitspersonal. Diese Tickets enthalten detaillierte Informationen über die entdeckten Schwachstellen, z.B. Ursache, Kritikalität, Risiko und Status sowie ein angehängtes Playbook. Dieses Playbook leitet die Sicherheitsteams bei der effektiven Reaktion auf die Schwachstellen und der Minderung der damit verbundenen Risiken an.

Eine andere Präsentation von Siemens berichtete über das Projekt „Experiences in Consuming CSAFs & what is still missing“. Dieser Ansatz beleuchtete auch die Herausforderungen von CSAF-Matching-Algorithmen und betonte die entscheidende Rolle von Remediation-Daten. Ihr Schwerpunkt lag jedoch auf der Nutzung von CSAF-Daten in einem Asset-Schwachstellen- Management-System und betonte die Notwendigkeit einer besseren Strukturierung der Remediation-Felder in zukünftigen CSAF-Versionen. Siemens sprach sich für den Einsatz mehrerer Scanner aus, um umfassendere Informationen über Anlagen sammeln zu können. Die auffallenden Ähnlichkeiten zwischen diesem Ansatz und unserem unterstrich den Bedarf einer einheitlichen Standardisierung und der notwendigen Zusammenarbeit in diesem Bereich. Beide Projekte stimmen darin überein, dass sie die Bedeutung von Remediation-Daten als effektive Reaktionsstrategien im IT-Sicherheitsumfeld priorisieren.

Die Teilnahme der DECOIT® an den CSAF Community Days spiegelte unser Engagement für die Zukunftsgestaltung der Cybersicherheit wider. Auch ein anderer Projektpartner, das VDE CERT war nach München eingeladen worden, um über die eigenen CSAF-Provider-Ergebnisse zu sprechen. Damit waren das Projekt ZenSIM4.0, das Ende November 2024 offiziell beendet wurde, maßgeblich an der internationalen Veranstaltung beteiligt.

Unsere Präsentation finden Sie wie gewohnt in unserem Download-Bereich.