Cisco setzt bei Fehlersuche auf Industriestandards

Das hauseigene Product Security Incident Response Team (PSIRT) benutzt jetzt das Common Vulnerability Scoring System (CVSS). Das ist ein konzernübergreifendes Scoring-System, mit dem die Auflistung und Bewertung erkannter Gefahren vereinheitlicht werden soll.

Das wurde bekannt, weil die Techniker kürzlich ein an den Bestimmungen des CVSS ausgerichtetes Scoring über eine Schwachstelle in der Software ‘Cisco Clean Access’ verbreiteten – diese ist inzwischen nach Konzernangaben geschlossen. Sie war besonders heikel, da die Software – bestehend aus ‘Clean Access Server’ und ‘Clean Access Manager’ – infizierte Systeme und Bereiche oder Eindringlinge in einer IT-Umgebung identifizieren, isolieren und beheben kann.

Für das CVSS ist es ein enormer Schritt, dass einer der größten Netzwerkkonzerne den Scoring-Standard nicht nur wie bisher unterstützt, sondern aktiv einsetzt. Hierbei werden die Gefahren herstellerneutral nach 10 Punkten abgetastet und bewertet. Andere Partner wie Skype, Qualys und Nessus haben zusammen mit der US-Behörde ‘National Infrastructure Advisory Council’ diese Regeln festgelegt, die Anwendern und Herstellern eine bessere Orientierung geben sollen.

Doch ganz einhellig ist die Begeisterung nicht: Einer der Erstnutzer, der Datenbankkonzern Oracle, hatte mit CVSS-Ratings keine guten Erfahrungen gemacht, was die langsame Akzeptanzkurve der Ratings teilweise erklären könnte: Oracle hatte für die eigenen Produkte CVSS-Kriterien angelegt und war in die Kritik geraten, weil die Fehler angeblich als zu harmlos dargestellt wurden. Nicht nur Oracle, auch das Scoring-System war damals unter Beschuss geraten.

Doch für Serviceprovider und Systemhäuser gibt es nach wie vor wenig Alternativen. Ihre Arbeit erfordert, die unterschiedlichen Fehler-Scorings entweder selbst zu vergleichen, eigene Tests durchzuführen oder aber sehr viel Zeit im Gespräch mit den Kunden zu verbringen, um die Sorgen auszuräumen. Unterschiedliche Scorings der Hersteller stiften Verwirrung. Daher haben sich die ersten Partner und Fachhändler in den USA geradezu enthusiastisch geäußert.

Auch Russell Smoak vom PSIRT betonte, dass die Einführung des CVSS dazu diene, die Fehlertabellen von Cisco zu entrümpeln und klarer zu machen – selbstverständlich um die Kunden zu bewegen, die Cisco-Listen zu bevorzugen. Auch intern sollen für die verschiedenen Scoring-Listen für ‘My Self -Defending Network’ und anderes auf Basis von CVSS vereinheitlicht werden. Partner wie Nokias neue Tochter Intellisync seien allerdings frei darin, die öffentliche Bewertung der Listen selbst vorzunehmen, so Smoak.

Silicon-Redaktion

Recent Posts

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

In Deutschland hat das Zahlungsverhalten 2024 eine deutliche Entwicklung hin zu Sofortüberweisungen und Instant Payment…

2 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

2 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

3 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

3 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

4 Tagen ago

KI-Bluff bei AIOps erkennen

Die Auswahl einer Lösung sollte anhand von echten Leistungsindikatoren erfolgen, um echte KI von Behauptungen…

4 Tagen ago