Norm für Schwachstellen-Kommunikation in Arbeit

Hersteller forcieren Security-Standards

12.03.2004
MÜNCHEN (ave) - Unzureichende Technikstandards und mangelhafte Interoperabilität stehen einem effektiven Schutz der IT im Weg. Die Sicherheitsbranche reagiert nun mit zwei Initiativen.

So hat eine Gruppe von zwölf Herstellern die Gründung der "Cyber Security Industry Alliance (CSIA - http://www.csialliance.org/index.html) bekannt gegeben. Ziel ist es, sich gemeinsam für einen besseren Schutz der IT-Infrastruktur einzusetzen. Zu den CSIA-Gründungsmitgliedern gehören Anbieter wie Bindview, Computer Associates, Entrust, Internet Security Systems, Network Associates, Symantec und RSA.

Schwergewichte wie Microsoft, IBM oder Cisco Systems sucht man bisher vergebens. Paul Kurtz, der als Executive Director die CSIA leiten soll, beteuert jedoch, dass die Non-Profit-Organisation offen sei für jedes Unternehmen. Kurtz hat Erfahrung mit der Thematik: Er war zuletzt Special Assistant des US-Präsidenten für den Schutz kritischer Infrastrukturen im Homeland Security Council (HSC) des Weißen Hauses. Davor fungierte er als Senior Director für National Security des Büros für Cyberspace Security.

Eine endgültige Agenda der Allianz soll in den nächsten Wochen verabschiedet werden. Kurtz zufolge ist geplant, angesichts von "immer ernsthafteren Bedrohungen für die IT-Infrastruktur" ein besseres Bewusstsein für Security-Themen zu schaffen. "Die Sicherung des Cyberspace verlangt die Mitarbeit auf allen Ebenen, über alle Plattformen und Systeme hinweg", sagte der Manager anlässlich der Vorstellung. Die Kommunikation mit Regierungen und Standardisierungsgremien spiele hierbei eine wichtige Rolle. Auf internationaler Ebene wolle man sich darum bemühen, wichtige Spezifikationen voranzutreiben.

Nach Ansicht von Art Coviello, CEO von RSA Security, leidet die Sicherheitsindustrie derzeit an ihrer Zersplitterung. Es sei an der Zeit, "mit einer Stimme zu sprechen". Nur so sei es möglich, Einfluss auf wichtige Entscheidungen zu nehmen und den Schutz der öffentlichen und unternehmensinternen IT-Infrastrukturen voranzubringen.

Unklar ist bislang, welche Rolle Anwender in diesem Szenario spielen werden. Man wolle sich auch für die Belange von Unternehmen und Privatanwendern einsetzen, beteuerte Kurtz. Es sei jedoch im Moment noch zu früh, um zu sagen, inwiefern sie ein Mitspracherecht haben werden oder wie sie konkret von der Arbeit der CSIA profitieren könnten.

Auch die Bemühungen um die Application Vulnerability Description Language (AVDL), eine übergreifende Technik zur Beschreibung von Schwachstellen, belegen, dass die Security-Branche durchaus in der Lage ist, an einem Strick zu ziehen. Die Organization for the Advancement of Structured Information Standards (Oasis) hat jetzt Version 1.0 dieses Standards vorgelegt. Die AVDL soll auf Basis von XML ein Format zur Beschreibung von neu entdeckten Schwachstellen bieten.

Neutrale Schnittstellen

Dadurch seien Sicherheitskomponenten von verschiedenen Herstellern in der Lage, Daten untereinander auszutauschen, erläutert John Pescatore, Vice President Security Research bei Gartner. Unternehmen könnten sich schneller vor neuen Gefahren schützen, weil sich bestimmte Abläufe automatisieren ließen. Ein Schwachstellen-Scanner könnte dann beispielsweise Informationen direkt an eine Firewall senden, die daraufhin ohne weiteres Zutun des Administrators Aktionen einleitet, um eine eventuell vorhandene Lücke zu schließen. "Es geht darum, Alerts automatisch zu verarbeiten und so das IT-Personal zu entlasten", erklärt Jan Bialkowski, CTO von Netcontinuum und Mitvorsitzender des Vulnerability Description Language Technical Committee bei Oasis.

Angriffe nachbilden

Während es sich bei AVDL aber nur darum handelt, Informationen über Schwachstellen weiterzugeben, zielt WAS-XML (Web Application Security XML) darauf ab, einen Angriff nachzubilden, um darauf aufbauend Systeme standardisiert zu überprüfen und Reports dazu zu erstellen. John Dias, Senior Security Analyst beim Lawrence Livermore National Laboratory, sieht AVDL als das "Transportmittel für WAS-XML".

Die führenden Hersteller beginnen, die Vorteile solcher Standards zu erkennen und die Verfahren zu implementieren. Dias zufolge müssten nun Computer Emergency Response Teams (Certs) Druck auf diese Branchengrößen ausüben, damit sie AVDL und WAS-XML unterstützen.