14 Sicherheitsinfos verwalten

Die Verwaltung der Sicherheitsinfos bietet einen zentralen Zugang zu einer Vielzahl von Sicherheitsinformationen bezüglich der Informationstechnologie (IT), einschließlich der folgenden Kategorien:

Vulnerability Tests (VT)
VTs prüfen das Zielsystem auf potentielle Schwachstellen.
Common Vulnerabilities and Exposures (CVE)
CVEs sind Schwachstellen, die von den Herstellern oder Sicherheitsforschern veröffentlich wurden.
Common Platform Enumeration (CPE)
CPE bietet standardisierte Namen für Produkte, die in der IT genutzt werden.
Open Vulnerability Assessment Language (OVAL) Definitionen
OVAL bietet eine standardisierte Sprache zum Prüfen von Schwachstellen. OVAL-Definitionen nutzen diese Sprache, um Schwachstellen zu entdecken.
CERT-Bund-Advisories
CERT-Bund-Advisories werden vom CERT-Bund, dem Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik (BSI), veröffentlicht. Die Hauptaufgabe des CERT-Bunds ist der Betrieb eines Warn- und Informationsdiensts, welcher Informationen über neue Schwachstellen und Sicherheitsrisiken sowie über Bedrohungen für IT-Systeme herausgibt.
DFN-CERT-Advisories
DFN-CERT-Advisories werden vom DFN-CERT, dem Computer Emergency Response Team des Deutschen Forschungsnetzes (DFN), veröffentlicht.

CVEs und CPEs werden vom National Institute of Standards and Technology (NIST) als Teil der National Vulnerability Database (NVD) veröffentlicht und zugänglich gemacht (siehe Kapitel 14.2).

Bemerkung

Greenbone bietet alle Sicherheitsinfodaten zusätzlich online über das SecInfo-Portal an. Das SecInfo-Portal stellt alle Sicherheitsinfos, welche im folgenden Kapitel beschrieben werden, und den CVSS-Rechner bereit.

Zugang zum SecInfo-Portal ist durch Aktivierung eines Gastzugangs umgesetzt (siehe Kapitel 9.1.3).

14.1 Vulnerability Tests (VT)

VTs sind Prüfroutinen, die von der Appliance genutzt werden. Sie sind Teil des Greenbone Enterprise Feeds, welcher regelmäßig aktualisiert wird. VTs enthalten Informationen über das Entwicklungsdatum, die betroffenen Systeme, die Auswirkungen von Schwachstellen und die Beseitigung.

Listenseite

Alle vorhandenen VTs können angezeigt werden, indem Sicherheitsinfos > NVTs in der Menüleiste gewählt wird.

Für alle VTs werden die folgenden Informationen angezeigt:

Name
Name des VTs.
Familie
VT-Familie, zu der der VT gehört.
Erstellt
Datum und Zeit der Erstellung.
Modifiziert
Datum und Zeit der letzten Veränderung.
CVE
CVE, die mithilfe des VTs geprüft wird.
Art der Lösung solution_type

Lösung für die Schwachstelle. Die folgenden Lösungen sind möglich:

  • st_vendorfix Eine Herstellerlösung ist verfügbar.
  • st_workaround Eine Problemumgehung ist verfügbar.
  • st_mitigation Eine Schadensminderung ist verfügbar.
  • st_willnotfix Es ist kein Fix verfügbar oder wird verfügbar sein.
  • st_nonavailable Es ist keine Lösung vorhanden.
Schweregrad
Der Schweregrad der Schwachstelle (CVSS, siehe Kapitel 14.2.4) wird als Balken angezeigt, um die Analyse der Ergebnisse zu unterstützen.
QdE

QdE ist kurz für Qualität der Erkennung und gibt an, wie verlässlich die Erkennung einer Schwachstelle ist.

Mit der Einführung von QdE wurde der Parameter Paranoid in der Scan-Konfiguration (siehe Kapitel 10.9) ersatzlos entfernt. In der Vergangenheit nutzte eine Scan-Konfiguration mit diesem Parameter nur VTs mit einer QdE von mindestens 70 %. Nun werden alle VTs einer Scan-Konfiguration genutzt und ausgeführt.

Bemerkung

Durch Klicken auf export unterhalb der Liste von VTs können mehrere VTs zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche VTs exportiert werden.

Detailseite

Durch Klicken auf den Namen eines VTs werden Details des VTs angezeigt. Durch Klicken auf details wird die Detailseite des VTs geöffnet.

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen VTs anzeigen.
  • export Den VT als XML-Datei exportieren.
  • new_note Eine neue Notiz für den VT erstellen (siehe Kapitel 11.7.1).
  • new_override Eine neue Übersteuerung für den VT erstellen (siehe Kapitel 11.8.1).
  • results Die zugehörigen Ergebnisse anzeigen.
  • vulnerability Die zugehörige Schwachstelle anzeigen.

14.2 Security Content Automation Protocol (SCAP)

Das National Institute of Standards and Technology (NIST) bietet die National Vulnerability Database (NVD) an. Die NVD ist ein Datenspeicher für das Schwachstellenmanagement der US-Regierung. Das Ziel ist die standardisierte Bereitstellung von Daten für eine automatisierte Bearbeitung. Damit wird das Schwachstellenmanagement unterstützt und die Implementierung von Compliance-Richtlinien verifiziert.

Die NVD liefert verschiedene Datenbanken, einschließlich der Folgenden:

  • Checklisten
  • Schwachstellen
  • Fehlkonfigurationen
  • Produkte
  • Gefährdungsmaße

Die NVD nutzt das Security Content Automation Protocol (SCAP). SCAP ist eine Kombination aus unterschiedlichen interoperablen Standards. Viele Standards wurden aus öffentlichen Diskussionen entwickelt oder abgeleitet.

Die öffentliche Teilnahme der Gemeinschaft bei der Entwicklung ist ein wichtiger Aspekt für die Annahme und Verteilung von SCAP-Standards. SCAP ist aktuell in Version 1.3 definiert und enthält die folgenden Komponenten:

  • Sprachen
    • XCCDF: Extensible Configuration Checklist Description Format
    • OVAL: Open Vulnerability and Assessment Language
    • OCIL: Open Checklist Interactive Language
    • Asset Identification
    • ARF: Asset Reporting Format
  • Sammlungen
    • CCE: Common Configuration Enumeration
    • CPE: Common Platform Enumeration
    • CVE: Common Vulnerabilities and Exposure
  • Maße
    • CVSS: Common Vulnerability Scoring System
    • CCSS: Common Configuration Scoring System
  • Integrität
    • TMSAD: Trust Model for Security Automation Data

OVAL, CCE, CPE und CVE sind Warenzeichen des NIST.

Die Greenbone Enterprise Appliance nutzt OVAL, CVE, CPE und CVSS. Durch die Nutzung dieser Standards wird die Interoperabilität mit anderen Systemen gewährleistet. Zusätzlich erlauben die Standards den Vergleich von Ergebnissen.

Schwachstellen-Bewertungssysteme wie die Greenbone Enterprise Appliance können entsprechend durch NIST validiert werden. Die Greenbone Enterprise Appliance wurde hinsichtlich SCAP Version 1.0 validiert.

14.2.1 CVE

In der Vergangenheit entdeckten und meldeten unterschiedliche Organisationen Schwachstellen zur gleichen Zeit und benannten diese mit unterschiedlichen Namen. Dies führte dazu, dass die gleiche Schwachstelle von mehreren Scannern unter unterschiedlichen Namen gemeldet wurde, was die Kommunikation und den Vergleich der Ergebnisse erschwerte.

Um das zu beheben, gründete MITRE das Common Vulnerabilities and Exposure (CVE) Projekt. Jeder Schwachstelle wird eine eindeutige Kennzeichnung zugeordnet, die aus dem Veröffentlichungsjahr und einer einfachen Nummer besteht. Diese Kennzeichnung dient als zentrale Referenz.

Die CVE-Datenbank von MITRE ist keine Schwachstellendatenbank. CVE wurde entwickelt, um die Schwachstellendatenbank mit anderen Systemen zu verbinden und den Vergleich von Sicherheitswerkzeugen und -diensten zu ermöglichen.

Die CVE-Datenbank enthält keine detaillierten, technischen Informationen oder Informationen bezüglich der Risiken, Auswirkungen oder Beseitigung einer Schwachstelle. Eine CVE enthält nur die Kennzeichnungsnummer mit dem Status, einer kurzen Beschreibung und Referenzen zu Berichten und Advisories.

Die NVD bezieht sich auf die CVE-Datenbank und ergänzt den Inhalt mit Informationen bezüglich der Beseitigung, des Schweregrads, der möglichen Auswirkung und der betroffenen Produkte einer Schwachstelle. Greenbone bezieht sich auf die CVE-Datenbank der NVD. Gleichzeitig kombiniert die Appliance die Informationen, die VTs und die CERT-Bund-/DFN-CERT-Advisories.

Listenseite

Alle vorhandenen CVEs können angezeigt werden, indem Sicherheitsinfos > CVEs in der Menüleiste gewählt wird.

Spalten wie Schweregrad können aus einem der folgenden Gründe N/A anzeigen:

  • Die CVE wurde veröffentlicht, aber es wurde vom NVD noch keine Schwachstellenanalyse/Schweregradbewertung vorgenommen. Dies kann von einigen Tagen bis zu einigen Wochen dauern.

    Solche CVEs können erkannt werden, wenn der zugehörigen Eintrag durchsucht wird. Solange dort Undergoing Analysis angezeigt wird, wird für die CVE in den Spalten N/A gezeigt.

  • Es gibt immer eine Verzögerung von 1 – 2 Werktagen zwischen der Schwachstellenanalyse/Schweregradbewertung und der Zeit, zu der die aktualisierte Information in den Sicherheitsinfos angezeigt wird.

Die Spalte CVSS Base Vector zeigt den CVSS-Vektor, der für die Berechnung des Schweregrads einer CVE verwendet wird. Dieser Vektor enthält die für die CVE definierte CVSS-Version.

Durch Klicken auf den Vektor wird die Seite CVSSv2/CVSSv3 Base Score Calculator geöffnet. Die Felder des entsprechenden Rechners sind bereits ausgefüllt, je nachdem, welche CVSS-Version zur Berechnung des Schweregrads der CVE verwendet wird.

Bemerkung

Durch Klicken auf export unterhalb der Liste von CVEs können mehrere CVEs zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche CVEs exportiert werden.

Detailseite

Durch Klicken auf den Namen einer CVE werden Details der CVE angezeigt. Durch Klicken auf details wird die Detailseite der CVE geöffnet (siehe Abb. 14.1).

_images/cve_detailspage-de.png

Abb. 14.1 Detailseite einer CVE

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die CVE.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen CVEs anzeigen.
  • export Die CVE als XML-Datei exportieren.

14.2.2 CPE

Die Common Platform Enumeration (CPE) ist CVE nachempfunden. Es ist ein gegliedertes Benennungsschema für Anwendungen, Betriebssysteme und Hardwaregeräte.

Die CPE wurde von MITRE eingeführt und wird von NIST als Teil der NVD gewartet. NIST wartet bereits seit mehreren Jahren das offizielle CPE-Wörterbuch und die CPE-Spezifikationen. CPE basiert auf der allgemeinen Syntax des Uniform Resource Identifiers (URI).

_images/cpe_name_structure.png

Abb. 14.2 Namensstruktur eines CPE-Namens

Die Kombination von CPE- und CVE-Standards ermöglicht den Rückschluss auf vorhandene Schwachstelle beim Entdecken einer Plattform oder eines Produkts.

CPE besteht aus den folgenden Komponenten:

  • Naming
    Die Naming-Spezifikation beschreibt die logische Struktur von sogenannten well-formed names (WFNs), ihre Verbindung zu URIs und formatierten Zeichenketten sowie ihre Umwandlung.
  • Name Matching
    Die Name-Matching-Spezifikation beschreibt die Methoden, um WFNs mit anderen zu vergleichen. Dies ermöglicht die Überprüfung, ob sich einige oder alle WFNs auf das gleiche Produkt beziehen.
  • Dictionary
    Das Wörterbuch ist ein Verzeichnis von CPE-Namen und -Metadaten. Jeder Name definiert eine einzige Klasse von IT-Produkten. Die Dictionary-Spezifikation beschreibt die Prozesse zum Nutzen des Wörterbuchs, z. B. das Suchen nach einem bestimmten Namen oder nach Einträgen, die zu einer allgemeineren Klasse gehören.
  • Applicability Language
    Die Applicability-Language-Spezifikation beschreibt die Erstellung komplexer, logischer Ausdrücke mithilfe von WFNs. Diese Anwendbarkeitsangaben können zum Taggen von Checklisten, Richtlinien oder anderen Dokumenten und damit für die Beschreibung, für welche Produkte die Dokumente relevant sind, genutzt werden.

Listenseite

Alle vorhandenen CPEs können angezeigt werden, indem Sicherheitsinfos > CPEs in der Menüleiste gewählt wird.

Bemerkung

Durch Klicken auf export unterhalb der Liste von CPEs können mehrere CPEs zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche CPEs exportiert werden.

Detailseite

Durch Klicken auf den Namen einer CPE werden Details der CPE angezeigt. Durch Klicken auf details wird die Detailseite der CPE geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die CPE.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen CPEs anzeigen.
  • export Die CPE als XML-Datei exportieren.

14.2.3 OVAL-Definitionen

Die Open Vulnerability and Assessment Language (OVAL) ist ein Projekt von MITRE und wird vom Centre of Internet Security (CIS) gepflegt.

OVAL ist eine Sprache zum Beschreiben von Schwachstellen, Konfigurationseinstellungen (Compliance), Patches und Anwendungen (Bestand).

Die XML-basierten Definitionen erlauben die einfache Verarbeitung durch automatisierte Systeme und beschreiben die Erkennung einzelner Systeme und Schwachstellen.

Beispiel: Die OVAL-Defintion 22272 hat die folgende Struktur:

<definition id="oval:org.mitre.oval:def:22272" version="4" class="vulnerability">
  <metadata>
    <title>Vulnerability in Google Chrome before 32.0.1700.76 on Windows allows
           attackers to trigger a sync with an arbitrary Google account by
           leveraging improper handling of the closing of an untrusted signin
           confirm dialog</title>
    <affected family="windows">
      <platform>Microsoft Windows 2000</platform>
      <platform>Microsoft Windows XP</platform>
      <platform>Microsoft Windows Server 2003</platform>
      <platform>Microsoft Windows Server 2008</platform>
      <platform>Microsoft Windows Server 2008 R2</platform>
      <platform>Microsoft Windows Vista</platform>
      <platform>Microsoft Windows 7</platform>
      <platform>Microsoft Windows 8</platform>
      <platform>Microsoft Windows 8.1</platform>
      <platform>Microsoft Windows Server 2012</platform>
      <platform>Microsoft Windows Server 2012 R2</platform>
      <product>Google Chrome</product>
    </affected>
    <reference source="CVE" ref_id="CVE-2013-6643"
     ref_url="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6643"/>
    <description>The OneClickSigninBubbleView::WindowClosing function in
      browser/ui/views/sync/one_click_signin_bubble_view.cc in Google
      Chrome before 32.0.1700.76 on Windows and before 32.0.1700.77 on Mac
      OS X and Linux allows attackers to trigger a sync with an arbitrary
      Google account by leveraging improper handling of the closing of an
      untrusted signin confirm dialog.</description>
    <oval_repository>
      <dates>
        <submitted date="2014-02-03T12:56:06">
          <contributor organization="ALTX-SOFT">Maria Kedovskaya</contributor>
        </submitted>
        <status_change date="2014-02-04T12:25:48.757-05:00">DRAFT</status_change>
        <status_change date="2014-02-24T04:03:01.652-05:00">INTERIM</status_change>
        <status_change date="2014-03-17T04:00:17.615-04:00">ACCEPTED</status_change>
      </dates>
      <status>ACCEPTED</status>
    </oval_repository>
  </metadata>
  <criteria>
    <extend_definition comment="Google Chrome is installed"
     definition_ref="oval:org.mitre.oval:def:11914"/>
    <criteria operator="AND" comment="Affected versions of Google Chrome">
      <criterion comment="Check if the version of Google Chrome is greater than
        or equals to  32.0.1651.2" test_ref="oval:org.mitre.oval:tst:100272"/>
      <criterion comment="Check if the version of Google Chrome is less than
        or equals to  32.0.1700.75" test_ref="oval:org.mitre.oval:tst:99783"/>
    </criteria>
  </criteria>
</definition>

Die Information wird von der Web-Oberfläche grafisch verarbeitet und leicht lesbar dargestellt.

Listenseite

Alle vorhandenen OVAL-Definitionen können angezeigt werden, indem Sicherheitsinfos > OVAL-Definitionen in der Menüleiste gewählt wird.

Bemerkung

Durch Klicken auf export unterhalb der Liste von OVAL-Definitionen können mehrere OVAL-Definitionen zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche OVAL-Definitionen exportiert werden.

Detailseite

Durch Klicken auf den Namen einer OVAL-Definition werden Details der OVAL-Definition angezeigt. Durch Klicken auf details wird die Detailseite der OVAL-Definition geöffnet (siehe Abb. 14.3).

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über die OVAL-Definition.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen OVAL-Definitionen anzeigen.
  • export Die OVAL-Definition als XML-Datei exportieren.
_images/oval_detailspage-de.png

Abb. 14.3 Detailseite einer OVAL-Definition

14.2.4 CVSS

Um die Interpretation von Schwachstellen zu unterstützen, wurde das Common Vulnerability Scoring System (CVSS) entwickelt. Das CVSS ist ein Industriestandard zum Beschreiben des Schweregrads eines Sicherheitsrisikos in Computersystemen.

Sicherheitsrisiken werden mithilfe unterschiedlicher Kritierien bewertet und verglichen. Dies ermöglicht das Erstellen einer Prioritätenliste von Gegenmaßnahmen.

Das CVSS wurde von der CVSS Special Interest Group (CVSS-SIG) des Forum of Incident Response and Security Teams (FIRST) entwickelt. Die aktuelle CVSS-Scoreversion ist 3.1.

Der CVSS-Score unterstützt Base-Score-Metrics, Temporal-Score-Metrics und Environmental-Score-Metrics.

Base-Score-Metrics
Base-Score-Metrics prüfen die Nutzbarkeit einer Schwachstelle und ihre Auswirkung auf das Zielsystem. Zugang, Komplexität und Anforderungen der Authentifizierung werden eingestuft. Zusätzlich bewerten die Maße, ob die Vertraulichkeit, Integrität oder Verfügbarkeit gefährdet ist.
Temporal-Score-Metrics
Temporal-Score-Metrics prüfen, ob ein vollständiger Beispielcode existiert, der Anbieter einen Patch anbietet und die Schwachstelle bestätigt. Der Score ändert sich stark im Laufe der Zeit.
Environmental-Score-Metrics
Environmental-Score-Metrics beschreiben den Effekt einer Schwachstelle innerhalb einer Organisation. Sie berücksichtigen Schaden, Verteilung der Ziele, Vertraulichkeit, Integrität und Verfügbarkeit. Die Beurteilung hängt stark von der Umgebung, in der das gefährdete Produkt genutzt wird, ab.

Da im Allgemeinen lediglich die Base-Score-Metrics aussagekräftig sind und dauerhaft bestimmt werden können, stellt die Appliance sie als Teil der Sicherheitsinfodaten bereit.

Der CVSS-Rechner kann geöffnet werden, indem Hilfe > CVSS-Rechner in der Menüleiste gewählt wird (siehe Abb. 14.4). Es wird sowohl der Rechner für CVSS-Version 2.0 als auch der Rechner für CVSS-Version 3.0/3.1 angezeigt.

_images/cvss_calc-de.png

Abb. 14.4 CVSS-Rechner zum Berechnen von Schweregraden

14.2.4.1 CVSS-Version 2.0

Die folgende Formel wird vom CVSS-Rechner für Version 2.0 genutzt:

BaseScore = roundTo1Decimal( ( ( 0.6 * Impact ) +
            ( 0.4 * Exploitability ) - 1.5 ) * f( Impact ) )

„Impact“ wird wie folgt berechnet:

Impact = 10.41 * (1 - (1 - ConfImpact) *
         (1 - IntegImpact) * (1 - AvailImpact))

„Exploitability“ wird wie folgt berechnet:

Exploitability = 20 * AccessVector * AccessComplexity * Authentication

Bemerkung

Die Funktion f( Impact ) ist 0, falls „Impact“ 0 ist.

In allen anderen Fällen ist der Wert 1,176.

Die anderen Werte sind Konstanten:

  • Zugangsvektor („AccessVector“)
    • Lokal: 0,395
    • Angrenzend: 0,646
    • Netzwerk: 1,0
  • Zugangskomplexität („AccessComplexity“)
    • Hoch: 0,35
    • Mittel: 0,61
    • Niedrig: 0,71
  • Authentifizierung („Authentication“)
    • Mehrfach (benötigt mehrere Instanzen für die Authentifizierung): 0,45
    • Einzeln (benötigt eine einzelne Instanz für die Authentifizierung): 0,56
    • Keiner (benötigt keine Authentifizierung): 0,704
  • Vertraulichkeit („ConfImpact“)
    • Keiner: 0,0
    • Partiell: 0,275
    • Vollständig: 0,660
  • Integrität („IntegImpact“)
    • Keiner: 0,0
    • Partiell: 0,275
    • Vollständig: 0,660
  • Verfügbarkeit („AvailImpact“)
    • Keiner: 0,0
    • Partiell: 0,275
    • Vollständig: 0,660

14.2.4.2 CVSS-Version 3.0/3.1

Die folgende Formel wird vom CVSS-Rechner für Version 3.0/3.1 genutzt:

* If Impact <= 0, BaseScore = 0

* If Scope is "Unchanged":
   BaseScore = Roundup (Minimum ((Impact + Exploitability), 10))

* If Scope is "Changed":
   BaseScore = Roundup (Minimum (1.08 * (Impact + Exploitability), 10))

„ISS“ (Impact Sub-Score) wird wie folgt berechnet:

ISS = 1 - ((1 - Confidentiality) * (1 - Integrity) * (1 - Availability))

„Impact“ wird wie folgt berechnet:

* If Scope is "Unchanged":
   Impact = 6.42 * ISS

* If Scope is "Changed":
   Impact = 7.52 * (ISS - 0.029) - 3.25 * (ISS - 0.02)¹⁵

„Exploitability“ wird wie folgt berechnet:

Exploitability = 8.22 * Attack Vector * Attack Complexity
                 * Privileges Required * User Interaction

Die anderen Werte sind Konstanten:

  • Angriffsvektor („Attack Vector“)
    • Netzwerk: 0,85
    • Angrenzend: 0,62
    • Lokal: 0,55
    • Physisch: 0,2
  • Angriffskomplexität („Attack Complexity“)
    • Niedrig: 0,77
    • Hoch: 0,44
  • Benötigte Privilegien („Privileges Required“)
    • Keine: 0,85
    • Niedrig: 0,62 ( oder 0,68, falls Reichweite „Verändert“ ist)
    • Hoch: 0,27 (oder 0,5, falls Reichweite „Verändert“ ist)
  • Nutzerinteraktion („User Interaction“)
    • Keine: 0,85
    • Benötigt: 0,62
  • Vertraulichkeit („Confidentiality“)
    • Keiner: 0,0
    • Niedrig: 0,22
    • Hoch: 0,56
  • Integrität
    • Keiner: 0,0
    • Niedrig: 0,22
    • Hoch: 0,56
  • Verfügbarkeit („Availability“)
    • Keiner: 0,0
    • Niedrig: 0,22
    • Hoch: 0,56

14.3 CERT-Bund-Advisories

Der CERT-Bund, das Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik (BSI), ist ein zentraler Kontaktpunkt für vorbeugende und reaktionsfähige Maßnahmen, die sicherheitsbezogene Computervorfälle betreffen.

Mit der Intention, Schäden zu vermeiden und potentielle Verluste einzugrenzen, umfasst die Arbeit des CERT-Bunds das Folgende:

  • Erstellen und Veröffentlichen von Empfehlungen für vorbeugende Maßnahmen
  • Aufzeigen von Schwachstellen in Hardware- und Softwareprodukten
  • Vorschlagen von Maßnahmen, die bekannte Schwachstellen behandeln
  • Unterstützen von Einrichtungen des öffentlichen Rechts beim Reagieren auf IT-Sicherheitsvorfälle
  • Vorschlagen unterschiedlicher Schadensminderungsmaßnahmen
  • Enge Zusammenarbeit mit dem Nationalen IT-Lagezentrum und dem Nationalen IT-Krisenreaktionszentrum

Die Dienste des CERT-Bunds sind hauptsächlich für Bundesbehörden verfügbar und beinhalten das Folgende:

  • 24-Stunden-Rufbereitschaft in Zusammenarbeit mit dem IT Situation Centre
  • Analyse eingehender Vorfallberichte
  • Erstellen von Empfehlungen, die von Vorfällen abgeleitet wurden
  • Unterstützung von Bundesbehörden während IT-Sicherheitsvorfällen
  • Betreiben eines Warn- und Informationsdiensts
  • Aktives Benachrichtigen der Bundesverwaltung im Falle drohender Gefahr

CERT-Bund bietet einen Warn- und Informationsdienst (WID) an. Derzeit bietet dieser Dienst zwei verschiedene Arten von Informationen:

Advisories
Dieser Informationsdienst ist nur für Bundesbehörden als nichtöffentliche Liste verfügbar. Die Advisories beschreiben aktuelle Informationen über sicherheitskritische Vorfälle in Computersystemen und detaillierte Maßnahmen zum Beseitigen von Sicherheitsrisiken.
Kurzinformationen
Kurzinformationen sind die kurze Beschreibung aktueller Informationen bezüglich Sicherheitsrisiken und Schwachstellen. Diese Information ist nicht immer verifiziert und könnte unvollständig oder sogar ungenau sein.

Der Greenbone Enterprise Feed enthält die CERT-Bund-Kurzinformationen. Es sind sowohl die Informationen im alten Format (bis Juni 2022) als auch die Informationen im neuen Format (ab Juni 2022) enthalten.

  • Zwischen beiden Formaten gibt es nur sehr geringe Unterschiede in den Advisory-Metadaten. Die Formate können für alle Anwendungsfälle austauschbar verwendet werden.
  • Informationen des alten Formats folgen dem Schema CB-KJJ/ID, z. B. CB-K22/0704.
  • Informationen des neuen Formats folgen dem Schema WID-SEC-JJJJ-ID, z.B. WID-SEC-2022-0311.

Listenseite

Alle vorhandenen CERT-Bund-Advisories können angezeigt werden, indem Sicherheitsinfos > CERT-Bund-Advisories in der Menüleiste gewählt wird.

Bemerkung

Durch Klicken auf export unterhalb der Liste von CERT-Bund-Advisories können mehrere CERT-Bund-Advisories zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche CERT-Bund-Advisories exportiert werden.

Detailseite

Durch Klicken auf den Namen eines CERT-Bund-Advisorys werden Details des CERT-Bund-Advisorys angezeigt. Durch Klicken auf details wird die Detailseite des CERT-Bund-Advisorys geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über das CERT-Bund-Advisory.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen CERT-Bund-Advisories anzeigen.
  • export Das CERT-Bund-Advisory als XML-Datei exportieren.

14.4 DFN-CERT-Advisories

Während die einzelnen VTs, CVEs, CPEs und OVAL-Definitionen vorrangig erstellt wurden, um von Computersystemen verarbeitet zu werden, veröffentlicht das DFN-CERT regelmäßig neue Advisories.

Das DFN-CERT ist für hunderte Universitäten und Forschungsinstitute, die mit dem Deutschen Forschungsnetz (DFN) verbunden sind, verantwortlich. Zusätzlich stellt es entscheidende Sicherheitsdienste für die Regierung und die Industrie bereit.

Ein Advisory beschreibt besonders kritische Risiken, die eine schnelle Reaktion erfordern. Der DFN-CERT-Advisory-Dienst enthält die Kategorisierung, Verteilung und Bewertung von Advisorythemen durch verschiedene Softwarehersteller und -händler. Die Greenbone Enterprise Appliance erhält die Advisories und speichert sie als Referenz in der Datenbank.

Listenseite

Alle vorhandenen DFN-CERT-Advisories können angezeigt werden, indem Sicherheitsinfos > DFN-CERT-Advisories in der Menüleiste gewählt wird.

Bemerkung

Durch Klicken auf export unterhalb der Liste von DFN-CERT-Advisories können mehrere DFN-CERT-Advisories zur gleichen Zeit exportiert werden. Die Drop-down-Liste wird genutzt, um auszuwählen, welche DFN-CERT-Advisories exportiert werden.

Detailseite

Durch Klicken auf den Namen eines DFN-CERT-Advisories werden Details des DFN-CERT-Advisories angezeigt. Durch Klicken auf details wird die Detailseite des DFN-CERT-Advisories geöffnet.

Die folgenden Register sind verfügbar:

Informationen
Allgemeine Informationen über das DFN-CERT-Advisory.
Benutzer-Tags
Zugewiesene Tags (siehe Kapitel 8.4).

Die folgenden Aktionen sind in der linken oberen Ecke verfügbar:

  • help Das entsprechende Kapitel im Anwenderhandbuch öffnen.
  • list Die Listenseite mit allen DFN-CERT-Advisories anzeigen.
  • export Das DFN-CERT-Advisory als XML-Datei exportieren.