ISO/IEC 29147 & 30111: Schwachstellen professionell managen

In einer zunehmend vernetzten Welt, in der Unternehmen und Anwender auf die Sicherheit und Integrität von IT-Systemen und Software angewiesen sind, stellen Schwachstellen eine ernstzunehmende Bedrohung dar. Sicherheitslücken in Produkten und Diensten können schwerwiegende Folgen haben, vom Verlust sensibler Daten über finanzielle Schäden bis hin zu Reputationsverlusten. Um diesen Risiken zu begegnen, ist ein systematischer und standardisierter Ansatz im Umgang mit Schwachstellen unerlässlich.

An dieser Stelle kommen die internationalen Normen ISO/IEC 29147 („Vulnerability disclosure“) und ISO/IEC 30111 („Vulnerability handling processes“) ins Spiel. Diese beiden Normen der International Organization for Standardization (ISO) und der International Electrotechnical Commission (IEC) bieten Anbietern von Produkten und Diensten umfassende Leitlinien und Best Practices für den gesamten Lebenszyklus des Schwachstellenmanagements.

Die ISO/IEC 29147 konzentriert sich dabei auf die Schnittstelle zwischen Anbietern und Personen, die Sicherheitslücken melden. Sie definiert Anforderungen, wie Anbieter Meldungen entgegennehmen, mit Meldern kommunizieren und Informationen über Schwachstellen und Abhilfemaßnahmen veröffentlichen sollten. Die ISO/IEC 30111 ergänzt diese Norm, indem sie den internen Prozess der Verifizierung, Analyse und Behebung von gemeldeten Sicherheitslücken beschreibt.

Zusammen bilden die beiden Normen einen Rahmen für ein effektives Schwachstellenmanagement. Sie fördern eine konstruktive Zusammenarbeit zwischen Anbietern, Sicherheitsforschern und Anwendern mit dem gemeinsamen Ziel, Schwachstellen schnell zu erkennen, zu beheben und die Sicherheit von Systemen kontinuierlich zu verbessern.

Die Anwendung der ISO/IEC 29147 und ISO/IEC 30111 bietet Anbietern zahlreiche Vorteile. Durch klar definierte Prozesse und Verantwortlichkeiten können Schwachstellen effizient und koordiniert behandelt werden. Eine transparente Kommunikation schafft Vertrauen bei Anwendern und Sicherheitsforschern. Gleichzeitig können Anbieter durch die strukturierte Erfassung und Analyse von Schwachstellen wertvolle Erkenntnisse gewinnen, um die Sicherheit ihrer Produkte und Dienste proaktiv zu verbessern.

im Folgenden stellen wir kurz die Inhalte und Anforderungen der ISO/IEC 29147 und ISO/IEC 30111 vor. Wir beleuchten die Rollen und Verantwortlichkeiten der beteiligten Akteure, die Phasen des Schwachstellenmanagements und die Best Practices für eine effektive Umsetzung.

Zusammenspiel von ISO/IEC 29147 und ISO/IEC 30111

Die ISO/IEC 29147 und die ISO/IEC 30111 sind zwei eng miteinander verbundene Normen im Bereich der Informationssicherheit, die sich mit dem Umgang mit Sicherheitslücken in Produkten und Diensten beschäftigen.

Die ISO/IEC 29147 („Vulnerability disclosure“) gibt Anbietern Leitlinien an die Hand, wie sie Berichte über mögliche Sicherheitslücken von externen Personen oder Organisationen entgegennehmen und Informationen über Abhilfemaßnahmen an betroffene Nutzer weitergeben sollten. Die Norm beschreibt Best Practices für die Kommunikation zwischen Anbietern und Personen, die Sicherheitslücken melden.

Die ISO/IEC 30111 („Vulnerability handling processes“) ergänzt die ISO/IEC 29147, indem sie Anbietern einen Prozess vorgibt, wie gemeldete Sicherheitslücken intern untersucht, bewertet und behoben werden sollten. Sie behandelt die Abläufe, die stattfinden, nachdem eine Schwachstelle von einem externen Reporter oder intern gemeldet wurde.

Während sich die ISO/IEC 29147 also auf die Schnittstelle zwischen Anbietern und Personen konzentriert, die Sicherheitslücken melden, befasst sich die ISO/IEC 30111 mit den internen Prozessen des Anbieters zur Verifizierung, Priorisierung und Behebung von Schwachstellen.

Das Zusammenspiel ist wie folgt: Die ISO/IEC 29147 definiert Anforderungen, wie Anbieter Schwachstellenberichte entgegennehmen und darüber kommunizieren. Sobald ein Bericht eingeht, greifen die Prozesse aus der ISO/IEC 30111, um die Schwachstelle zu analysieren und zu beheben. Am Ende dieses Prozesses steht wiederum die Veröffentlichung von Informationen über die Schwachstelle und verfügbare Patches oder Workarounds, was durch die ISO/IEC 29147 abgedeckt ist.

Zusammenhang zwischen ISO/IEC 29147 und ISO/IEC 30111
Zusammenhang zwischen ISO/IEC 29147 und ISO/IEC 30111

Beide Normen zusammen ermöglichen ein strukturiertes Schwachstellen-Management für Anbieter von der Meldung bis zur Behebung. Sie tragen dazu bei, Sicherheitslücken zügig zu schließen und Informationen darüber kontrolliert zu kommunizieren, um Schaden zu minimieren. Die Normen sind wichtige Bausteine, um Vertrauen zwischen Anbietern, Sicherheitsforschern und Nutzern zu fördern und die Sicherheit von Systemen zu erhöhen.

Zusammenhang zwischen IEC 62443-4-1 und ISO/IEC 29147 / ISO/IEC 30111

Die IEC 62443-4-1 ist eine internationale Norm, der Anforderungen an die Entwicklung sicherer Produkte für industrielle Automatisierungs- und Steuerungssysteme (IACS) definiert. Obwohl der Fokus der IEC 62443-4-1 auf dem speziellen Kontext von IACS liegt, gibt es einige Berührungspunkte und Synergien mit den Normen ISO/IEC 29147 und ISO/IEC 30111 zum Schwachstellenmanagement.

Ein zentraler Aspekt der IEC 62443-4-1 ist die Forderung nach einem strukturierten Prozess zum Management von Schwachstellen in IACS-Produkten. Hier kann die Anwendung der Best Practices aus der ISO/IEC 29147 und der ISO/IEC 30111 dazu beitragen, die Anforderungen der IEC 62443-4-1 zu erfüllen und ein effektives Schwachstellenmanagement zu etablieren.

Durch die Kombination der spezifischen Anforderungen der IEC 62443-4-1 mit den bewährten Verfahren zum Schwachstellenmanagement aus der ISO/IEC 29147 und der ISO/IEC 30111 können Hersteller von IACS-Produkten ein hohes Maß an Sicherheit und Vertrauen schaffen. Die Anwendung dieser Normen trägt dazu bei, potenzielle Schwachstellen frühzeitig zu erkennen, effektiv zu beheben und proaktiv an der Verbesserung der Produktsicherheit zu arbeiten.

ISO/IEC 29147 – Leitlinien für die Offenlegung von Schwachstellen

Die ISO/IEC 29147 ist eine internationale Norm, der Anbietern von Produkten und Diensten Leitlinien für den Umgang mit Schwachstellenmeldungen und die Offenlegung von Sicherheitslücken bietet. Die Norm beschreibt Best Practices für die Kommunikation zwischen Anbietern und Personen, die Sicherheitslücken melden, sowie für die Veröffentlichung von Informationen über Schwachstellen und verfügbare Abhilfemaßnahmen.

Begriffe der ISO/IEC 29147

Die Norm definiert zunächst wichtige Begriffe und Konzepte im Kontext der Schwachstellenoffenlegung. Hierzu gehören unter anderem:

  • Schwachstelle (Vulnerability): Eine Schwachstelle ist eine Eigenschaft eines Systems oder Produkts, die gegen eine Sicherheitsrichtlinie verstößt und von Angreifern ausgenutzt werden kann.
  • Anbieter (Vendor): Der Anbieter ist die Organisation oder Person, die für die Behebung einer Schwachstelle verantwortlich ist, z.B. der Hersteller oder Dienstanbieter.
  • Melder (Reporter): Ein Melder ist eine Person oder Organisation, die den Anbieter über eine mögliche Schwachstelle informiert. Dies können unabhängige Sicherheitsforscher, Anwender oder auch andere Anbieter sein.
  • Koordinator (Coordinator): Ein Koordinator ist eine unabhängige Partei, die zwischen Meldern und Anbietern vermittelt und den Prozess der Schwachstellenoffenlegung unterstützt.

Empfang von Schwachstellenberichten

Ein wesentlicher Teil der ISO/IEC 29147 befasst sich mit dem Prozess, wie Anbieter Meldungen über mögliche Sicherheitslücken entgegennehmen sollten. Die Norm fordert Anbieter auf, klare und leicht zugängliche Mechanismen für die Entgegennahme von Berichten bereitzustellen, beispielsweise dedizierte E-Mail-Adressen, Web-Formulare oder Bug-Tracking-Systeme.

Anbieter sollten die eingegangenen Berichte zeitnah bestätigen und den Meldern eine Tracking-Nummer oder einen Identifier zuweisen, um den Status verfolgen zu können. Die Kommunikation zwischen Anbieter und Melder sollte über sichere Kanäle erfolgen, um die Vertraulichkeit der Informationen zu schützen.

Veröffentlichung von Sicherheitshinweisen

Sobald eine gemeldete Schwachstelle verifiziert und behoben wurde, sollten Anbieter Informationen darüber in Form von Sicherheitshinweisen (Advisories) veröffentlichen. Die ISO/IEC 29147 gibt Empfehlungen, welche Angaben in diesen Hinweisen enthalten sein sollten, darunter:

  • Eine Beschreibung der Schwachstelle und der betroffenen Produkte oder Versionen
  • Eine Bewertung des Risikos und der möglichen Auswirkungen
  • Informationen über verfügbare Patches, Updates oder Workarounds zur Behebung oder Minderung der Schwachstelle
  • Eindeutige Identifier wie CVE-Nummern zur Referenzierung der Schwachstelle
  • Kontaktinformationen für den Anbieter

Die Sicherheitshinweise sollten über die Website des Anbieters und weitere etablierte Kanäle veröffentlicht werden, um eine breite Information der Anwender zu gewährleisten. Die Norm empfiehlt außerdem die Verwendung standardisierter Formate wie CVRF (Common Vulnerability Reporting Format), um die Verarbeitung durch Sicherheitstools und -datenbanken zu erleichtern.

Koordination

In vielen Fällen sind von einer Schwachstelle mehrere Anbieter oder Produkte betroffen, etwa wenn eine Sicherheitslücke in einer weit verbreiteten Software-Bibliothek oder einem Protokoll entdeckt wird. Für solche Fälle gibt die ISO/IEC 29147 Empfehlungen zur Koordination zwischen den beteiligten Parteien.

Anbieter sollten mit anderen betroffenen Anbietern zusammenarbeiten, um ein koordiniertes Vorgehen bei der Behebung und Offenlegung der Schwachstelle sicherzustellen. Häufig übernimmt ein Koordinator die Vermittlung zwischen den Parteien. Ziel ist es, dass Patches und Sicherheitshinweise möglichst zeitgleich veröffentlicht werden, um Angreifern keinen Vorsprung zu geben.

Disclosure Policy

Ein zentraler Aspekt der ISO/IEC 29147 ist die Forderung an Anbieter, eine öffentliche „Vulnerability Disclosure Policy“ zu formulieren. Dieses Dokument soll den Prozess der Schwachstellenmeldung und -veröffentlichung transparent und nachvollziehbar beschreiben.

Eine solche Policy sollte mindestens folgende Punkte abdecken:

  • Kontaktmöglichkeiten und bevorzugte Kanäle für die Meldung von Schwachstellen
  • Erwartungen an den Inhalt und die Form von Schwachstellenberichten
  • Zeitrahmen, in denen der Anbieter auf Meldungen reagiert und Schwachstellen behebt
  • Kriterien für die Veröffentlichung von Sicherheitshinweisen
  • Umgang mit vertraulichen Informationen und Schutz der Anonymität von Meldern, falls gewünscht

Durch eine klare Disclosure Policy schaffen Anbieter Vertrauen und ermutigen Sicherheitsforscher und Anwender, Schwachstellen verantwortungsvoll zu melden. Sie ist ein wichtiges Signal für die Sicherheitskultur eines Anbieters.

Fazit

Die ISO/IEC 29147 bietet Anbietern einen umfassenden Leitfaden für den Umgang mit Schwachstellenmeldungen und die verantwortungsvolle Offenlegung von Sicherheitslücken. Durch die Umsetzung der Best Practices der Norm können Anbieter die Zusammenarbeit mit Sicherheitsforschern und Anwendern verbessern, Schwachstellen effektiv schließen und letztlich die Sicherheit ihrer Produkte und Dienste erhöhen.

Die Norm betont die Bedeutung klarer Kommunikation, sicherer Meldeprozesse und der Koordination zwischen den beteiligten Parteien. Eine öffentliche Disclosure Policy ist ein Schlüsselelement, um Transparenz und Vertrauen zu schaffen.

Insgesamt trägt die ISO/IEC 29147 dazu bei, eine konstruktive Sicherheitskultur zu etablieren, in der Schwachstellen nicht als Bedrohung, sondern als Chance zur kontinuierlichen Verbesserung verstanden werden. Sie ist damit ein wertvolles Instrument für Anbieter aller Branchen und Größen, die die Sicherheit ihrer Produkte und Dienste ernst nehmen.

ISO/IEC 30111 – Prozesse zur Behandlung von Schwachstellen

Während die ISO/IEC 29147 den Rahmen für die Meldung und Offenlegung von Schwachstellen definiert, beschreibt die ISO/IEC 30111 die internen Prozesse, die Anbieter etablieren sollten, um gemeldete Sicherheitslücken effektiv zu verifizieren, zu analysieren und zu beheben. Die Norm gibt Empfehlungen für das Schwachstellenmanagement von der Entgegennahme eines Berichts bis zur Bereitstellung von Patches und Workarounds.

Grundsätze und Verantwortlichkeiten

Zunächst betont die Norm die Bedeutung der Unterstützung durch das Top-Management und die Festlegung klarer Richtlinien und Verantwortlichkeiten für das Schwachstellenmanagement. Die Behandlung von Sicherheitslücken erfordert die Zusammenarbeit verschiedener Bereiche wie Entwicklung, Sicherheit (Cybersecurity), Support und Kommunikation und sollte in den Risikomanagementprozess des Anbieters integriert werden.

Ein zentrales Element ist die Einrichtung eines „Product Security Incident Response Teams“ (PSIRT) oder einer vergleichbaren Struktur, die als zentrale Anlaufstelle für Schwachstellenmeldungen dient und den Prozess koordiniert.

Vorbereitung

Bevor Schwachstellen effektiv behandelt werden können, sind laut ISO/IEC 30111 einige Vorbereitungen erforderlich. Dazu gehören unter anderem:

  • Schulung und Sensibilisierung der Mitarbeiter zum Thema Schwachstellenmanagement
  • Bereitstellung sicherer Kommunikationskanäle und Systeme zur Erfassung und Verfolgung von Schwachstellenberichten
  • Etablierung von Kooperationen mit externen Sicherheitsforschern, anderen Anbietern und Koordinatoren
  • Identifizierung der Produkte und Komponenten, die in den Geltungsbereich des Schwachstellenmanagements fallen

Entgegennahme und Erfassung

Wenn ein Schwachstellenbericht eingeht, fordert die ISO/IEC 30111 eine zeitnahe Dokumentation und Bestätigung an den Melder. Der Bericht sollte auf Vollständigkeit geprüft und mit einer eindeutigen Kennung versehen werden, um den gesamten Prozess nachvollziehbar zu machen. Von Beginn an sollten Berichte vertraulich behandelt werden, um eine unbeabsichtigte Offenlegung der Schwachstelle zu vermeiden.

Verifizierung und Analyse

Nach der Erfassung eines Berichts folgt die Phase der Verifizierung und Analyse. Hierbei geht es darum, die gemeldete Schwachstelle zu reproduzieren, die betroffenen Produkte und Versionen zu identifizieren und die möglichen Auswirkungen und den Schweregrad zu bewerten. Häufig arbeiten die PSIRT-Mitarbeiter dabei eng mit den Entwicklungsteams zusammen.

Teil der Analyse sollte auch eine Untersuchung der zugrundeliegenden Ursachen (Root Cause Analyse) sein, um ähnliche Schwachstellen in Zukunft zu vermeiden. Basierend auf den Ergebnissen der Analyse wird entschieden, ob und mit welcher Priorität die Schwachstelle behoben wird. In einigen Fällen kann sich herausstellen, dass es sich nicht um eine sicherheitsrelevante Schwachstelle handelt, sondern beispielsweise nur um einen Funktionsfehler. Auch in diesem Fall sollte der Melder über das Ergebnis informiert werden.

Entwicklung und Test von Patches

Wurde eine Schwachstelle verifiziert und eine Behebung als notwendig erachtet, beginnt die Phase der Entwicklung und des Testens von Patches oder Updates. Die ISO/IEC 30111 betont, dass dieser Prozess sorgfältig geplant und durchgeführt werden sollte, damit Patches nicht nur die eigentliche Schwachstelle schließen, sondern auch gründlich getestet und unbeabsichtigte Nebeneffekte oder Kompatibilitätsprobleme vermieden werden.

In einigen Fällen kann es sinnvoll sein, zunächst einen Workaround oder eine teilweise Behebung bereitzustellen, insbesondere wenn die Entwicklung eines vollständigen Patches längere Zeit in Anspruch nimmt.

Bereitstellung von Patches und Informationen

Sobald ein Patch oder Update entwickelt und getestet wurde, geht es im nächsten Schritt um die Bereitstellung für betroffene Anwender. Dies sollte koordiniert mit der Veröffentlichung von Informationen über die Schwachstelle geschehen, wie es die ISO/IEC 29147 beschreibt.

Post-Release-Aktivitäten

Mit der Veröffentlichung von Patches und Sicherheitshinweisen ist der Prozess des Schwachstellenmanagements nicht abgeschlossen. Die ISO/IEC 30111 empfiehlt eine Reihe von Post-Release-Aktivitäten:

  • Überwachung der erfolgreichen Installation von Patches
  • Kontinuierliche Aktualisierung der Sicherheitshinweise und Informationen, falls erforderlich
  • Überprüfung und Verbesserung des Schwachstellenmanagementprozesses basierend auf den gesammelten Erfahrungen
  • Integration der Erkenntnisse in den Software Development Life Cycle (SDLC), um die Sicherheit zukünftiger Produkte zu verbessern

Ein kontinuierlicher Austausch mit Sicherheitsforschern und Anwendern auch nach der Behebung einer Schwachstelle hilft, Vertrauen aufzubauen und die Effektivität des Schwachstellenmanagements zu steigern.

Fazit

Die ISO/IEC 30111 bietet Anbietern einen strukturierten Prozess zur Behandlung von Schwachstellen, von der ersten Meldung bis zur Bereitstellung von Patches und darüber hinaus. Die Norm unterstreicht die Bedeutung von klaren Verantwortlichkeiten, sicheren Kommunikationskanälen und der sorgfältigen Analyse und Behebung von Sicherheitslücken.

Durch die Anwendung der Best Practices aus der ISO/IEC 30111 können Anbieter nicht nur effektiv auf Schwachstellenmeldungen reagieren, sondern auch wertvolle Erkenntnisse für die proaktive Verbesserung ihrer Produkte und internen Prozesse gewinnen. Ein gut funktionierendes Schwachstellenmanagement trägt so nachhaltig zur Stärkung der Sicherheit bei.

Insgesamt bildet die ISO/IEC 30111 gemeinsam mit der ISO/IEC 29147 einen umfassenden Rahmen für den professionellen Umgang mit Schwachstellen. Anbieter, die diese Normen in ihrer Organisation verankern, demonstrieren ihr Engagement für die Sicherheit ihrer Produkte und Dienste und übernehmen Verantwortung gegenüber ihren Anwendern und der gesamten IT-Community.