CSAF: Automatisierte Schwachstellenverwaltung mit maschinenlesbaren Security Advisories

Die zunehmende Komplexität von IT-Landschaften und die wachsende Zahl an Schwachstellen stellen Unternehmen, Behörden und Dienstleister vor große Herausforderungen. Klassische, manuell ausgewertete Security Advisories sind nicht mehr ausreichend, um Risiken zeitnah zu bewerten und Maßnahmen einzuleiten. CSAF adressiert diese Herausforderungen, indem es ein standardisiertes, quelloffenes und maschinenverarbeitbares Format für Sicherheitsinformationen bereitstellt. Der Prozess von der Veröffentlichung einer Schwachstelle bis zur Installation eines Updates wird dadurch beschleunigt und transparenter gestaltet.

Warum CSAF? Ausgangslage und zentrale Probleme

In den letzten Jahren hat sich die Zahl an Schwachstellenmeldungen vervielfacht. Gleichzeitig werden Security Advisories in unterschiedlichsten Formaten, über verschiedene Kanäle und oft mit sehr unterschiedlicher Informationsqualität veröffentlicht. Für Betreiber bedeutet dies: Sie müssen regelmäßig verschiedenste Webseiten, E-Mail-Benachrichtigungen oder RSS-Feeds prüfen, um relevante Sicherheitsinformationen zu finden. Dieser Prozess ist fehleranfällig, zeitintensiv und bindet wertvolle Fachkräfte.

Ein weiteres Problem entsteht bei der Prüfung, ob eine veröffentlichte Schwachstelle das eigene Unternehmen oder Produktportfolio betrifft. Die dazu notwendigen Informationen sind häufig unstrukturiert, uneinheitlich und lassen sich kaum automatisiert abgleichen. Gerade bei einer wachsenden Anzahl an Produkten und Systemen ist ein manueller Prozess nicht mehr skalierbar.

CSAF begegnet diesen Problemen mit einem offenen, international standardisierten Format. Security Advisories werden als strukturierte JSON-Dokumente bereitgestellt, die sich automatisiert verarbeiten und mit Asset-Datenbanken oder Software Bills of Materials (SBOMs) abgleichen lassen. Dadurch sinkt der manuelle Aufwand erheblich, und die Fachkräfte können sich auf die eigentliche Risikobewertung und Umsetzung von Maßnahmen konzentrieren.

Entstehung und Weiterentwicklung von CSAF

CSAF wurde als quelloffenes Framework entwickelt, um die Kommunikation über Schwachstellen zu vereinheitlichen und zu automatisieren. Internationale Kooperationen und führende Cybersicherheitsbehörden wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) haben die Entwicklung maßgeblich unterstützt. Die Veröffentlichung als OASIS-Standard im November 2022 markierte einen Wendepunkt: Seitdem ist CSAF 2.0 der maßgebende Standard, an dem sich auch die deutsche TR-03191 orientiert.

Der Standard wird laufend weiterentwickelt und an neue technologische Anforderungen angepasst. Durch die breite Unterstützung aus Wirtschaft, Verwaltung und Forschung ist ein wachsendes Ökosystem aus Tools und Best Practices entstanden, das die Einführung von CSAF für Unternehmen und öffentliche Einrichtungen erleichtert.

Technische Grundlagen von CSAF 2.0

Im Zentrum von CSAF steht das JSON-Format. Jede Schwachstellenmeldung wird als maschinenlesbares Dokument mit klar definierten Pflicht- und optionalen Datenfeldern erstellt. Diese Struktur ermöglicht es automatisierten Systemen, Advisories zu erfassen, zu analysieren und mit eigenen IT-Assets abzugleichen.

Jedes CSAF-Dokument enthält Metadaten, Produktinformationen sowie detaillierte Angaben zur Schwachstelle, inklusive CVE-Nummern und CVSS-Bewertungen. Die Produktidentifikation erfolgt über einen sogenannten Product Tree, der mindestens die Hierarchie Hersteller/Produktname/Produktversion abbildet. Für komplexere Szenarien – etwa bei einer Kombination aus Hardware und Software – können zusätzliche Identifikatoren wie Hash-Werte oder Seriennummern ergänzt werden.

Die TLP-Klassifizierung (Traffic Light Protocol) ist fester Bestandteil jedes Dokuments und legt die Vertraulichkeit fest. Öffentliche Advisories sind in der Regel als TLP:WHITE oder TLP:CLEAR gekennzeichnet.

Profile und Anwendungsfälle: Flexibilität für unterschiedliche Szenarien

CSAF ist modular aufgebaut und kennt verschiedene Profile für unterschiedliche Anwendungssituationen. Das klassische Security Advisory Profile wird genutzt, um Schwachstellen und deren Behebung zu kommunizieren. Hier müssen neben CVE- und CVSS-Informationen auch explizit die betroffenen und die behobenen Produktversionen genannt werden. Dies bildet die Basis für automatisierte Patch-Prozesse und eine nachvollziehbare Schwachstellenhistorie.

Das VEX-Profil (Vulnerability Exploitability eXchange) ermöglicht es Herstellern, Betroffenheit oder Nicht-Betroffenheit von Produkten bei einer Schwachstelle transparent zu machen. Gerade bei breit publizierten Schwachstellen hilft dies, unnötige Supportanfragen zu vermeiden und Ressourcen zu schonen.

Weitere Profile wie das Security Incident Response Profile oder das Informational Advisory Profile decken die strukturierte Kommunikation bei akuten Sicherheitsvorfällen oder bei Konfigurationsproblemen ab. So kann CSAF flexibel an unterschiedlichste Informationsbedarfe angepasst werden.

BSI TR-03191: Deutsche Anforderungen und regulatorischer Rahmen

Die Technische Richtlinie TR-03191 des BSI setzt die Anforderungen an CSAF für den deutschen Markt verbindlich um. Sie schreibt die Nutzung von CSAF ab Version 2.0 vor und definiert klare Vorgaben für Dokumentation, Produktidentifikation und Distribution. So müssen beispielsweise für jede Schwachstelle eine CVE-Nummer und ein entsprechender CVSS-Score veröffentlicht werden. Die betroffenen und behobenen Produktversionen sind explizit auszuweisen.

Ein besonderes Augenmerk liegt auf der Produktstruktur: Die einzelnen Versionen müssen so angegeben sein, dass ein automatischer Abgleich mit Asset-Datenbanken möglich ist. Bei der Pflicht zur Bereitstellung von SBOMs sind Hash-Werte der Komponenten zu ergänzen, um die Vergleichbarkeit weiter zu erhöhen.

Für Betreiber kritischer Infrastrukturen und andere regulierte Unternehmen schafft die TR-03191 klare Leitlinien, wie CSAF-Dokumente zu erstellen, zu signieren und zu verteilen sind. ROLIE-Feeds und kryptografische Signaturen sichern die Authentizität und Integrität der Advisories.

CSAF Trusted Provider und Distribution

Hersteller oder Anbieter, die Security Advisories veröffentlichen, werden im CSAF-Kontext als Trusted Provider bezeichnet. Sie sind dafür verantwortlich, CSAF-Dokumente öffentlich oder geschützt bereitzustellen, stets mit aktueller Signatur und nachvollziehbarer Versionshistorie. Automatisierte Abrufmechanismen – etwa über ROLIE-Feeds – sorgen dafür, dass alle autorisierten Nutzer stets auf dem neuesten Stand sind.

Die Signatur jedes Dokuments muss mindestens 30 Tage gültig sein, empfohlen werden 90 Tage. Veränderungen am Inhalt sind nur erlaubt, wenn ein neuer Zeitstempel und eine aktualisierte Revision History gesetzt werden. So bleibt die Nachvollziehbarkeit jederzeit gewährleistet.

Secvisogram: Praktisches Werkzeug für CSAF-Dokumente

Mit Secvisogram stellt das BSI ein Open-Source-Tool bereit, mit dem sich CSAF-Dokumente komfortabel erstellen, validieren und verwalten lassen. Die grafische Benutzeroberfläche führt die Nutzer durch den Erstellungsprozess, prüft die Konformität mit dem CSAF-Standard und gibt Hinweise zu fehlenden oder fehlerhaften Angaben.

Secvisogram unterstützt verschiedene Profile, erlaubt den Import und Export von Dokumenten und erleichtert damit die Integration in bestehende Workflows. Die Validierung gegen das CSAF-Schema und die Konsistenzprüfung sorgen dafür, dass veröffentlichte Advisories höchsten Qualitätsanforderungen genügen.

CVE und CVSS: Eindeutige Identifikation und Bewertung von Schwachstellen

Ein zentraler Baustein der CSAF-Strategie ist die Integration von CVE-Nummern und CVSS-Bewertungen. Jede Schwachstelle erhält eine eindeutige CVE-ID, die weltweit als Referenz dient. Der CVSS-Score ermöglicht eine objektive Einschätzung der Kritikalität und hilft, Maßnahmen zu priorisieren.

Die strukturierte Einbindung dieser Informationen in CSAF-Dokumente erlaubt den automatisierten Abgleich mit Asset-Management-Systemen und unterstützt die zielgenaue Steuerung von Patch-Prozessen. So werden Risiken besser beherrschbar und die Umsetzung von Maßnahmen lässt sich transparent dokumentieren.

SBOM und CSAF: Synergie im Schwachstellenmanagement

Mit der zunehmenden Verbreitung von Software Bills of Materials (SBOM) wächst das Potenzial für eine noch präzisere Betroffenheitsanalyse. CSAF-Dokumente können mit SBOM-Daten verknüpft werden, etwa über Hash-Werte oder spezifische Produktidentifikatoren. So lässt sich automatisiert prüfen, ob und welche Komponenten eines Systems tatsächlich von einer Schwachstelle betroffen sind.

Gerade in komplexen Anwendungslandschaften mit zahlreichen Abhängigkeiten ermöglicht diese Kombination eine effiziente, transparente und skalierbare Schwachstellenbewertung.

Implementierung in der Praxis: Erfolgsfaktoren und Herausforderungen

Die Einführung von CSAF beginnt mit einer klaren strategischen Planung und der Einbindung aller relevanten Stakeholder – von der Entwicklung über das IT-Management bis zum Support. Eine schrittweise Umsetzung, beginnend mit Pilotprojekten, hat sich bewährt. Wichtig sind daneben Schulungen, um die beteiligten Teams mit den Anforderungen und Tools vertraut zu machen.

Technisch empfiehlt sich die Integration von CSAF in bestehende Systeme wie Vulnerability-Management-Plattformen, Asset-Datenbanken oder SIEM-Lösungen. Offene Schnittstellen und die Nutzung standardisierter Tools wie Secvisogram erleichtern die Umsetzung.

In der Praxis profitieren sowohl Hersteller als auch Betreiber von klaren Prozessen, automatisierten Workflows und einer nachvollziehbaren Dokumentation. Typische Stolpersteine liegen in der Qualitätssicherung der Dokumente, der Kompatibilität mit Legacy-Systemen und der fortlaufenden Anpassung an neue Anforderungen. Hier helfen Best Practices, Peer Reviews und der Austausch mit der CSAF-Community.

Vorteile für Hersteller, Betreiber und die Gesellschaft

Hersteller können ihre Kunden schneller und gezielter informieren, reduzieren Supportanfragen und steigern ihre Reputation durch transparente Kommunikation. Betreiber sparen Zeit bei der Recherche und Bewertung von Schwachstellen, identifizieren Risiken schneller und können Maßnahmen priorisieren. Für Sicherheitsforscher und CSIRTs entsteht eine einheitliche Datenbasis, die Analysen, Koordination und Reaktionszeiten verbessert.

Gesamtgesellschaftlich trägt CSAF zu einer messbaren Verbesserung der Cybersicherheit bei, indem Informationen schneller, strukturierter und nachvollziehbarer zur Verfügung stehen.

Ausblick und Empfehlungen

CSAF ist heute das Rückgrat für modernes, automatisiertes Schwachstellenmanagement. Die Standardisierung durch OASIS, die regulatorische Unterstützung etwa durch das BSI und ein wachsendes Tool-Ökosystem machen die Einführung zunehmend einfacher. Mit der weiteren Verbreitung von SBOM, KI-gestützten Analysen und neuen Integrationsmöglichkeiten entwickelt sich CSAF stetig weiter.

Herstellern wird empfohlen, sich frühzeitig als Trusted Provider aufzustellen und ihre Prozesse zu automatisieren. Betreiber profitieren von der Einrichtung automatisierter Consumer-Systeme. Regulatoren und Berater sollten die weitere Verbreitung und Standardisierung aktiv fördern. Die Community lebt vom Austausch, von Interoperabilitätstests und kontinuierlicher Verbesserung.

(Disclaimer: Dieser Artikel basiert auf Inhalten aus dem <kes>-Archiv sowie externen Fachquellen. Er wurde mithilfe von KI erstellt und durch die Redaktion geprüft.)

Literaturverzeichnis

Common Security Advisory Framework (CSAF): https://www.csaf.io/