14.12.2022
CSAF … Was? Wieder eine Abkürzung, die Ihnen nichts sagt?! CSAF ist die Abkürzung für „Common Security Advisory Framework“, zu Deutsch „eine Rahmenvereinbarung für gemeinsame Sicherheitsempfehlungen“. Und das heißt: Im professionellen und insbesondere industriellen Umfeld führen automatisierte Software-Updates oft zu unerwünschten Einschränkungen der Funktionalität. Bei Webseiten ist das Design verrutscht, beim Computer funktionieren manche Softwareprogramme nicht mehr einwandfrei usw. Mühevolles Replizieren und Ausmerzen der Fehler ist notwendig. Im schlimmsten Fall wird wieder zur alten Version zurückgesetzt. Als Eigenentwicklung sind übrigens Datenräume von dataroomX® von diesen Funktionsstörungen nicht betroffen.
Sicherheitsupdates sofort einspielen
Dennoch empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun sicherheitsrelevante Patches und Updates so schnell wie möglich, unter Abwägung des jeweiligen Risikos, einzuspielen. Dazu sind Administratoren oftmals auf vielfältige herstellerspezifische Informationsquellen (z. B. Webseite, Mail, RSS-Feed, Twitter) und Datenformate (z. B. HTML, PDF, Text) angewiesen. Daraus folgt im Ernstfall umfangreiche Handarbeit, die wertvolle Ressourcen kostet. Um dies zu vereinfachen, spezifiziert das Common Security Advisory Framework ein Format für maschinen-verarbeitbare Security Advisories und deren Verteilung.
Version 2 läuft „stabil“
Das internationale Konsortium für Open Source und Standards „OASIS Open“ hat heute das Common Security Advisory Framework (offiziell als Standard angenommen. Damit erreicht das in der Version 2.0 vorliegende Framework die höchstmögliche Form der Ratifizierung. Gleichzeitig wird die Version als „stabil“ erklärt. Änderungen erfordern eine neue Version. Mit CSAF entfällt der menschliche Aufwand für das Auffinden und Abrufen von aktuellen Sicherheitsinformationen von Softwareprodukten – der Abgleich gegen die eigene Inventardatenbank auf Betreiberseite kann ebenfalls weitestgehend automatisiert werden.
Manuelles Schwachstellenmanagement war gestern
Gleiches gilt für die Hersteller, die einen Abgleich gegen die in ihren Produkten eingesetzten Softwareversionen und deren Bibliotheken vornehmen können. Vor allem in weitreichenden Fällen, wie Log4Shell, zeigt sich, was bei den alltäglichen Schwachstellen im Hintergrundrauschen untergeht: Manuelles Schwachstellenmanagement skaliert nicht und wird daher nicht selten weggelassen. Nicht migrierte Schwachstellen sind jedoch eine Einladung für Angreifende – insbesondere dann, wenn bereits öffentlich Exploits zur Verfügung stehen.
Auch Support wird entlastet
Die Automatisierung ermöglicht die Zeitspanne, die Informationen zu Schwachstellen und migrierenden Maßnahmen brauchen, um durch eine Lieferkette zu laufen, erheblich zu reduzieren. Für Hersteller ergibt sich ein weiterer Vorteil: Mit dem Profil VEX (Vulnerability Expolitability eXchange) in CSAF können Kunden informiert werden, wenn Produkte nicht betroffen sind oder gerade noch untersucht werden. Dies kann nicht zuletzt in weitreichenden Fällen genutzt werden, um den Support zu entlasten, mehr Personal für die Analysen einzusetzen und die neuesten Erkenntnisse schnell zu verteilen. Das gleiche Verfahren lässt sich auch für False Positives beispielsweise bei Schwachstellenscannern einsetzen. Das BSI und die internationale Community haben bereits Tools zum Erzeugen, Bearbeiten, Verteilen und Betrachten als Open Source auf GitHub bereitgestellt.
#bsi #csaf #exploits #log4shell #oasisopen #security #sicherheitsstandard Zurück zur ÜbersichtDarum Datenraum dataroomX®:
- Deutscher Datenraum-Anbieter
- Deutscher Serverstandort
- Hochsichere Datenräume
- ISO-zertifiziertes Rechenzentrum
- DSGVO-konform
- BGH-konform
- Alle Preise Flattarife
- Zahlung per Rechnung
- Sofort nutzbar
- Kunden-Testsieger
- Notarielle Versiegelung
- Monatlich kündbar
- Einfache Bedienung
- Berufs-/Betriebshaftpflicht
- Mehrfach international ausgezeichnet:
– Beste virtuelle Datenraum-Software 2025
– Bestes Preis-Leistungsverhältnis virtueller Datenräume 2024
– Bester virtueller Datenraum-Anbieter 2023
– Bester Anbieter von Geheimhaltungslösungen 2023
Kontakt:
info@dataroomx.de
+49 651/84031-100
Kontaktformular
Preise:
- Datenräume ab 190 € monatl.
- Notar-Versiegelung: ab 320 €
(Alle Preise zzgl. 19% MwSt.)
Unser Autor:
Alexander F. Birkel (geboren 1983) verantwortet seit 2021 den Fachblog von dataroomX®, der Plattform für hochsichere Datenräume. Mit einem Doppelstudium der Betriebswirtschaftslehre und Rechtswissenschaften sowie einem Schwerpunkt im internationalen Wirtschaftsrecht und Finanzmanagement legte er den Grundstein für seine Karriere in der Welt der Unternehmensübernahmen.
Vor seinem Einstieg bei dataroomX® war Alexander zehn Jahre in der M&A- und Private-Equity-Branche tätig – zunächst als Analyst bei einer führenden Investmentboutique in Frankfurt, später als Deal Manager für ein internationales Beteiligungsunternehmen mit Fokus auf Mid-Cap-Transaktionen im deutschsprachigen Raum. Er begleitete dort zahlreiche Due-Diligence-Prozesse, Management-Buy-outs und strategische Beteiligungen.
Heute bringt Alexander seine Erfahrung aus der Praxis in die digitale Welt ein. Im dataroomX®-Blog analysiert er aktuelle Entwicklungen rund um digitale Due Diligence, regulatorische Anforderungen (z. B. NIS-2, DSGVO), Datenschutz, Legal Tech und sichere Cloud-Infrastrukturen. Seine Artikel zeichnen sich durch eine prägnante Sprache, hohe fachliche Tiefe und einen klaren Mehrwert für Entscheider aus.
Schwerpunktthemen:
M&A-Prozesse · Private Equity · Due Diligence · digitale Datenräume · Compliance · Datensicherheit · europäische IT-Souveränität