Zentrales Security Incident Management für KMU - Projekttreffen beim VDE in Offenbach
Am 13. September 2022 fand das zweite Konsortialtreffen des ZenSIM4.0-Projektes als Hybridveranstaltung statt. Im Rahmen von ZenSIM 4.0 (zensim-project.de) wird eine für KMU aus dem Industrie4.0-Umfeld spezifische Plattform entwickelt, die den unterstützten Einstieg in ein hochqualitatives Incident Management vermittelt. Mittels der Plattform können KMU Informationen zu ihrer IT- und OT-Infrastruktur und ihren schützenswerten Informationen (Assets), ihren bereits verwendeten Sicherheitsmaßnahmen sowie in der Vergangenheit ereigneten Sicherheitsvorfällen bereitstellen. Durch Corona hatte sich ein Treffen immer wieder verzögert, konnte nun aber endlich beim Projektpartner CERT@VDE umgesetzt werden. Die Teilnehmer waren überwiegend anwesend (siehe Abbildung 1), so dass eine lebhafte Diskussion der Projektergebnisse erfolgen konnte. Am Ende waren sich alle Partner einig, dass noch einige Arbeiten bis zum ersten Meilenstein zu erledigen sind, aber man auf einem guten Weg ist.
Das Arbeitspaket AP2 (Anforderungsanalyse und Anwendungsszenarien) steht im ZenSIM4.0-Projekt knapp vor der Vollendung. Das CERT@VDE hat fünf Unternehmen befragt, um deren Anforderungen an ein Schwachstellenmanagement zu sammeln. Diese Anforderungen mündeten dann in ein Schwachstellen-Informationsservice (SIS). Unter https://cert.vde.com/de bietet das CERT@VDE bereits heute aktuelle Informationen über Sicherheitslücken, Gegenmaßnahmen und Warnungen (Advisories, Nachrichten, Bulletins) an. Für die Erstellung von Advisories werden menschenlesbare Formate benötigt, die über einen Trusted Provider abgesichert werden müssen. Allerdings sind dadurch keine Datenbank und keine Versionierung einsetzbar. Aktuell wird angestrebt einen Trusted Provider aufzubauen, das CSAF-Format zu etablieren und die Generierung von CSAF-Dokumenten durch die Hersteller voranzutreiben. Common Security Advisory Framework (CSAF) ist ein maschinenverarbeitendes Format, welches automatisierte Datenbankabgleiche ermöglicht. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) arbeitet an einer CSAF-Lösung, um Anwendern das Auffinden sowie die Bewertung und Umsetzung von Security Advisories zu erleichtern. Man möchte die Zusammenarbeit zwischen CERT@VDE und BSI zukünftig verstärken und durch Workshops gemeinsame Lösungen erarbeiten. Das maschinenverarbeitbare Format für Security Advisories, das sogenannte Common Security Advisory Framework (CSAF) 2.0, wird einen entscheidenden Beitrag dazu leisten, dass Unternehmen den Überblick behalten und ihre Anlagen absichern können. Die Security Advisories können dabei automatisiert von den Herstellern abgerufen und mit der eigenen Inventardatenbank abgeglichen werden. Das erste Tool zum Erstellen von CSAF-Dokumenten (Secvisogram, https://secvisogram.github.io/) hat das BSI bereits veröffentlicht.
Die DECOIT® GmbH hat hingegen die vorhandene SIEM-Architektur weiter verfeinert und diese um Funktionalitäten wie SOAR (Security Orchestration, Automation and Response), Feedback, Analysemethoden und Playbooks ergänzt. Diese neuen Funktionen werden nun im anstehenden Arbeitspaket AP3 entsprechend entwickelt. Zudem ist man an der Entwicklung eines CSAF-Consumers und -Managementsystems dran. Hier müssen allerdings noch verschiedene Asset-Datenbanken miteinander abgeglichen werden, da sowohl Hersteller-Asset-Datenbanken existieren, als auch die hauseigene SIEM-Lösung ScanBox® (www.scanbox-product.de) eine Asset-Datenbank zusammenstellt. Ein erster Prototyp ist trotzdem bereits vorhanden und wartet auf die ersten Tests.
Die Hochschule Bremen hat ihre Simulationsumgebung weiter aufgebaut sowie Datenschutz und Rechtskonformität weiter untersucht. In der Simulationsumgebung lässt sich ein Industrienetz komplett darstellen und auf Sicherheitslücken untersuchen. Hierzu gab es eine Online-Vorführung (siehe Abbildung 2), die die Arbeitsweise und Funktionalität der Simulationsumgebung widerspiegelte. Zudem wurde eine ausgiebige Evaluierung von Scan-Tools durchgeführt, die nach Scan-Tiefe aussortiert wurden (siehe Abbildung 3). Im Bereich des Datenschutzes wurde die Pseudonymisierung innerhalb der Plattformarchitektur diskutiert. Diese kann bei Untersuchung von Sicherheitslücken oder längerer Aufbewahrung von Daten ein Problem darstellen. Allerdings gibt es bislang keine Pflicht zur Anonymisierung. Es wurde daher von dem assoziierten Partner Certavo GmbH ein Privacy Dashboard vorgeschlagen, das eine Einwilligung des Nutzers voraussetzt.
Abschließend wurden die offenen Aufgaben diskutiert und an die Partner vergeben. Das Projekt liegt etwas hinter seinem ursprünglichen Zeitplan zurück, was aber noch aufgefangen werden kann, wenn der erste Meilenstein nun nach der Sommerpause zügig erreicht wird.