"Wissen ermöglicht erst ein IT-Risiko-Manage­ment"

10. November 2020, 09:30
image

Hersteller können Lücken offenlegen, ignorieren oder still schliessen. Das führt zu Kritik am CVE-System. Zu recht? 7 Schweizer Experten nehmen Stellung.

Das "CVE"-System (Common Vulnerabilities and Exposures, bzw. Schwachstellen-IDs) und insbesondere die Rolle der CVE Numbering Authorities (CNA), stehen aktuell in der Kritik. Auslöser war ein kritischer Text auf 'The Daily Swig' mit dem Titel "Kann es die Security tatsächlich behindern, wenn Anbieter ihre eigenen Schwachstellen-IDs vergeben dürfen?", der auch via Twitter viral ging. Auf Kritik stiess VMware, eine von 144 Firmen, die eine CNA ist, und damit das Recht hat, eine neue Schwachstelle in seinen Produkten mit einer offiziellen CVE-Nummer und einer Risikoeinschätzung bei der international beachteten Aufsichtsorganisation Mitre zu versehen. Die Lücke ist damit offiziell anerkannt und identifizierbar.
VMware hat zwar CNA-Status, aber schloss offenbar eine Schwachstelle mit einem "Silent Fix", ohne sie allgemein einsehbar zu publizieren. Dies ist gemäss Mitre ein regelkonformes Vorgehen und VMware ist keineswegs allein. Darum die Frage: Ist die harsche Kritik im Text nicht ein Sturm im Wasserglas?
Das Thema CVE/CNA beschäftigt Schweizer Security-Experten. Dies zeigen die ungewöhnlich ausführlichen, differenzierten und raschen Reaktionen des Security-Experten-Verbands ISSS sowie von renommierten Experten von Infoguard, Ispin, Switch und Zühlke sowie dem unabhängigen Consultant Christoph Jaggi.

"Transparenz und Vollständigkeit sind unverzichtbar"

Marcel Zumbühl und Arié Malz, Co-Präsidenten des ISSS, erläutern die Sprengkraft des aktuellen Systems im Risikomanagement jeder Firma: "Die CVE-Inventarisierung von Verwundbarkeiten ist ein essenzielles Hilfsmittel bei der Erkennung von Schwachstellen. Dies können Fehler in der Konfiguration, aber auch Sicherheitslücken in der Software sein. Der CVE-Katalog hilft dem Betreiber, die aktuellen Schwachstellen seiner digitalen Infrastrukturen zu erkennen: Für welche Verwundbarkeiten in meinen Systemen gibt es noch keine Patches? Welche Sicherheitslücken nehme ich in Kauf, wenn ich aus übergeordneten Gründen die Patches nicht einspielen kann? Sind meine Systeme mit den neuesten Patches aktualisiert? Das Wissen um die Schwachstellen ermöglicht erst ein IT-Risikomanagement."
"Gerade bei der Risikobewirtschaftung helfen die Ratings der CVE dem Betreiber, beim Patchen priorisieren zu können", fügen die Experten von ISSS weiter an. "Zudem wird die CVE-Datenbank oft für die Bewertung von Herstellern und Produkten beigezogen. So lassen sich Schlüsse ziehen, welche Hersteller und Produkte besonders gefährdet oder anfällig sind. Aus diesen Gründen sind Transparenz und Vollständigkeit unverzichtbar."
Dieser Ansicht ist auch Christoph Jaggi, der sich als unabhängiger Consultant seit Jahren speziell mit Netzwerksicherheit beschäftigt und sich international mit seiner Layer 2-Verschlüsselungs-Übersicht einen Namen gemacht hat.

System ist "nicht perfekt, aber zuverlässig"

Derselbe Wunsch treibt auch Martin Leuthold, Head of Network & Security von Switch, an, der grundsätzlich festhält: "Was Mitre macht mit der Publikation von CVE und auch mit weiteren Arbeiten (wie z.B. dem ATT&CK-Framework) ist wertvoll, um global die IT-Sicherheit zu erhöhen und um Cybercrime zu bekämpfen. Der Ansatz ist pragmatisch und orientiert sich am Machbaren. Und freiwillige Disclosure über CVE ist machbar."
"Wie so viele der grundlegenden Konzepte des Internets ist CVE nicht perfekt, funktioniert aber insgesamt sehr zuverlässig und ist deshalb kaum wegzudenken", sagt Reto Zeidler, Chief Managed Services Officer von Ispin, und erinnert an das Community-Prinzip als erfolgreiches Grundkonzept des Internets an sich. Angesichts der rasch gewachsenen Anzahl von Rechnern aller Art und der parallel wachsenden Anzahl Sicherheitslücken sagt er: "Hier stellen sich tatsächlich ein paar sehr grundlegende Fragen zur Sicherheit und unserem Umgang damit – nicht nur technischer, sondern auch ethischer und gesetzlicher Natur."

Unternehmen sind interessiert, Lücken nicht öffentlich zu machen

Umberto Annino, Principal Cyber Security Consultant bei Infoguard, kann die Kritik am gültigen CVE- und CNA-System nachvollziehen und teilt sie: "Es ermöglicht den Herstellern, die Lücke nach 'Gutdünken' und subjektiv zu beurteilen und entsprechend den Schweregrad festzulegen, oder eine Lücke eben gar nicht zu melden."
Raphael Reischuk, Head of Cyber Security Services bei Zühlke ortet ein grosses Problem bei den "zahlreichen Anreize und Interessen, die die verschiedenen Stakeholder umtreiben. Schwachstellen sind von zum Teil immensem Wert, erstens, weil sie selten sind und mit einem gewissen Prestige einhergehen (wie viele Menschen auf der Welt sind in der Lage diese zu finden?), und zweitens, weil die Kenntnis über junge (und unbekannte) Schwachstellen enormes Potenzial freisetzen kann. Diese Potenzial wird vor allem von Hackern, Geheimdiensten und der Strafverfolgung ausgeschöpft."
Er präzisiert: "Die betroffenen Unternehmen, Dienstleistungen und Systeme haben verständlicherweise ein Interesse daran, dass Schwachstellen nicht an die Öffentlichkeit gelangen. Besteht Gewissheit darüber, dass Schwachstellen nicht veröffentlicht werden, so scheuen Unternehmen häufig die Kosten, die für die Behebung der Schwachstellen anfallen. Dies wiederum gibt den Insidern ein längeres Angriffsfenster", so Reischuk, der auch Mitglied der Schweizer Akademie der technischen Wissenschaften SATW ist.
Wenn nun eine CNA die Lücke selbst aufdeckt, schliesst und nicht meldet, sei folgendes Szenario möglich, wie Arié Malz (Fachreferent IKT und Digitalisierung im Generalsekretariat Finanzdepartement beim Bund) und Marcel Zumbühl (CISO der Post) in der Funktion als Co-Präsidenten des ISSS schreiben: "Der Nutzer, der seine Systeme nicht bzw. zeitlich stark verzögert aktualisiert, kann das zusätzliche Risiko nicht erkennen und entsprechend handeln. Im vorliegenden Fall schliesst dies VMware ausdrücklich aus, da in allen VCenter-Systemen die Lücke geschlossen sei. Angesichts der Mitre-Regelung stellt sich die Risikofrage trotzdem: Kann ein CNA immer und in allen Fällen ausschliessen, dass nicht aktualisierte Systeme immer noch im Betrieb sind?"
Zwischenfazit: Manche IT-Anbieter lassen auch Marketing- und Sales-Überlegungen in ihre Offenlegungspolitik einfliessen. Die IT-Anwender sehen sich mit jeder publizierten Lücke mit Risiken, unvorhergesehenen Kosten, Unsicherheiten und möglichen technologischen Problemen beim Einspielen von Patches konfrontiert. Es ist ein Geflecht an Interessen und Risiken, dass die Problemlösung nicht einfach macht.
Was wäre eine Lösung? Mitre reformieren? Durch eine andere Organisation ersetzen? Die CNA abschaffen oder die Kriterien für die Aufnahme transparenter und enger fassen? Eine Haftpflicht für Hersteller? Vollständige Transparenz?

Unabhängige Alternativen sind denkbar

"Die Diskussion um das CVE-System ist dabei in etwa so, als würde man die Ursache für schlechtes Wetter in erster Linie beim Meteorologen suchen", sagt Ispin-Experte Zeidler. Reformbedarf bestehe jedenfalls, sagt Leuthold von Switch, aber das ist einfacher gesagt als getan: "Klar ist alles, was die Transparenz erhöht, wünschbar. Mitre muss aus meiner Sicht abwägen, ob der bessere Weg ist, viele grosse Lieferanten als CNA einbinden zu können und damit eine wesentlich bessere Abdeckung an publizierten Schwachstellen zu erreichen, oder ob sie die Regeln verschärfen (z.B. zu einem "Must Disclose" für CNA) wollen, und dann riskieren, dass weniger Unternehmen bereits sind als CNA mitzuarbeiten. Es ist nicht klar ersichtlich welche Strategie oder welche Kombination zur optimalen Entwicklung führt."
Christoph Jaggi hält eine ganz neue Lösung für bedenkenswert: "Es könnte für Sicherheitsforscher sinnvoll sein, eine Meldeeinrichtung für entdeckte Schwachstellen zu haben, die unabhängig von Anbietern und Staaten ist. Dies würde es ermöglichen, ein öffentliches Repository für bekannte Schwachstellen zu haben. Das Repositorium würde nur einen begrenzten Umfang haben, um die Sicherheit im Allgemeinen nicht zu gefährden. Aber es würde deutlich zeigen, welche Anbieter Probleme haben und in welchem Bereich. Dies würde viel Transparenz schaffen und wahrscheinlich zu einer besseren Sicherheit führen."
Annino kann sich eine unabhängige Stelle ebenso vorstellen wie eine Optimierung des CVE-Systems: "Eine gute Lösung wäre eine Selbstverpflichtung, regelmässig Schwachstellen zu melden, indem man zB ein internes "Register" führt, das dann (automatisiert bzw. über eine Schnittstelle) ans CVE-System eingespiesen wird. Das würde aber bedingen, dass sich jemand Unabhängiges diese Einträge anschaut und eine Zweitmeinung abgibt. Oder man deklariert 'Selbst-Einstufungen' entsprechend besser, was dann aber nicht gegen nicht-gemeldete Vulnerabilities hilft."
Der Verband ISSS hält eine Reform für nötig: "Die Mitre-Regelung trägt sicher zu Effizienz der CVE-Inventarisierung bei. Allerdings ist die Information Security Society Switzerland (ISSS) der Meinung, dass die nach wie vor mangelnde Industrialisierung der IKT-Sicherheit nach mehr 'need to share' und weniger 'need to know' verlangt. Dieses Grundprinzip sollte auch in die Mitre-Regelung einfliessen."
Reischuk erklärt mit Bezug auf die "Gewaltentrennung" zwischen Hersteller, Kunden und Öffentlichkeit: "Es wäre im Sinne der allgemeinen Sicherheit, in diesem Ökosystem die Regeln neu zu definieren. Bloss: wer könnte dies tun? Wer könnte hier einen Beitrag leisten?"

Wird die Schweizer Lösung soeben aufgebaut?

Die SATW sieht das geplante nationale Schweizer Prüfinstitut als guten Lösungsbeitrag. Die Neutralität des Instituts und die Verpflichtung zur Geheimhaltung könnte die gesellschaftlichen Abhängigkeiten zu den Herstellern reduzieren. Forscher könnten Schwachstellen melden, die heute nicht von den CNAs akzeptiert werden, so die SATW. "Damit würde man den Forschern, die kritische Schwachstellen melden, Gehör verschaffen und kommerzielle Anreize der Hersteller unterordnen. Verpflichten kann man selbstverständlich niemanden, aber das ist hier – im Gegensatz zur Meldepflicht von Vorfällen – nicht das Problem: genügend gutmütige 'Hacker' sind willens, Schwachstellen zu melden, sofern die Kommunikation mit CNAs und Herstellern nicht so mühsam ist wie bis anhin", erklärt Zühlke-Experte Reischuk.
Diese Einschätzung teilt auch Denis Kolegov, Security-Forscher an der Universität Tomsk, der inside-it.ch einen Blick hinter die Kulissen ermöglichte, wie diese Kommunikation ablaufen kann, wenn man einem Hersteller eine Lücke meldet.
Dieses geplante Schweizer Institut ist nicht Theorie und mehr als nur ein breit abgestützter Papiertiger. Es hat soeben eine Anschubfinanzierung des Kantons Zug erhalten.
Aber sollen oder müssen nun verärgerte und verunsicherte Security-Forscher, Anbieter, Anwender oder der Gesetzgeber auf eine schnelle Lösung, beziehungsweise auf die Entschärfung einer tickenden Zeitbombe drängen? "CVE schafft dabei eine gemeinsame Sprache zur raschen und effizienten Verbreitung und Einordnung von Systemschwachstellen. Davon profitieren die Anwender, aber auch die Hersteller", hält der Ispin-Experte fest.
Nein, sagt Leuthold: "Wie schnell wir ans Ziel gelangen, ist für mich eine Frage der Gesamtoptimierung, und nicht nur eine Frage der Zeit. Darum ist es wichtig, dass das Thema auf dem Tisch liegt und dass kontinuierlich Druck da ist, damit die CNA sich Richtung immer mehr Transparenz bewegen. Zuviel Druck kann aber der Sache auch mehr schaden als sie nützt. Ich würde daher davon abraten das Thema zu stark zu dramatisieren."

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

EPD-Infoplattform von eHealth Suisse gehackt

Unbekannte haben von der Website Patientendossier.ch Nutzerdaten abgegriffen. Das BAG erstattet Anzeige, gibt aber Entwarnung.

publiziert am 30.9.2022 3