Datum 08.12.2020

Das Security-Unternehmen Forescout veröffentlicht am 08.12.2020 die Untersuchung AMNESIA:33, die 33 Schwachstellen in vier verschiedenen Open Source Netzwerk-Stacks beinhaltet. Ein Netzwerk-Stack bezeichnet jene Software, die ankommende und ausgehende Datenpakete zur Kommunikation im Netzwerk verarbeitet.

Das BSI wurde am 2. September 2020 von der amerikanischen Partnerbehörde CISA (Cybersecurity & Infrastructure Security Agency) gebeten, bei einem größeren Coordinated Vulnerability Disclosure (CVD)-Prozess das Schließen von Schwachstellen zu unterstützen. Das BSI hat dabei die Federführung für die geografische Region Europa übernommen und wurde dabei von anderen europäischen CERTs (u. a. der Schweiz und den Niederlanden) unterstützt.

"Wir haben als BSI 31 Unternehmen kontaktiert, davon 14 in Deutschland. All jene Unternehmen, die sich auf unseren Hinweis zurückmeldeten, konnten wir im CVD-Prozess unterstützen. Dennoch gibt es eine Anzahl von Unternehmen, die nicht reagiert haben. Die betreffenden Schwachstellen in den Netzwerk-Stacks, welche in unterschiedlichsten Produkten Anwendung finden können, sind teilweise kritisch. Betroffen sein können Unternehmen, darunter auch Betreiber Kritischer Infrastrukturen sowie Privatanwenderinnen und -anwender von IoT-Geräten", so Arne Schönbohm, Präsident des BSI.

Aus Sicht des BSI-Präsidenten macht AMNESIA:33 zwei Dinge deutlich: "Zum einen zeigt es, wie ein verantwortlicher Umgang mit Schwachstellen über Landesgrenzen hinweg funktionieren kann. Wirtschaft und Cyber-Sicherheitsbehörden arbeiten hier Hand in Hand, um das Ausnutzen von Schwachstellen zu verhindern. Zum anderen verdeutlicht der Vorfall aber auch die Komplexität heutiger vernetzter IT-Systeme und -Infrastrukturen. Diese bestehen zum Teil aus zahlreichen Einzelkomponenten. Dies macht es für Anwenderinnen und Anwender einschließlich Kritischer Infrastrukturen sehr schwierig, einen schnellen Überblick über vorhandene Updates und Security Advisories für mögliche Schwachstellen in den Produkten zu bekommen."

Zusammen mit nationalen und internationalen Partnern arbeitet das BSI deshalb an einer Lösung, Anwendern die Umsetzung von Security Advisories zu erleichtern. Das maschinenverarbeitbare Format für Security Advisories CSAF 2.0 wird einen entscheidenden Beitrag dazu leisten, dass Unternehmen den Überblick behalten und ihre Anlagen absichern können. Die Security Advisories können dabei automatisiert von den Herstellern abgerufen und mit der eigenen Inventardatenbank abgeglichen werden. Mit diesem ganz praktischen Ansatz trägt das BSI dazu bei, die Informationssicherheit in den Unternehmen zu erhöhen und die Digitalisierung in Deutschland erfolgreich zu gestalten.