Neuer TeleTrusT-Arbeitskreis „Schwachstellenmanagement“
Im Ergebnis einer Beteiligungsumfrage wurde ein neuer TeleTrusT-Arbeitskreis „Schwachstellenmanagement“ etabliert: Vorschlagender und Leiter des Arbeitskreises ist Dr. Gunther Schlöffel, TeleTrusT-Mitglied pen.sec AG.
Identifizierte (technische) Schwachstellen können hinsichtlich ihrer Schwere zum Beispiel mittels des international bekannten Common Vulnerablity Scoring Systems (CVSS) bewertet werden, so Dr. Gunther Schlöffel. Bei der Bewertung gebe es allerdings Raum zur Interpretation, sodass verschiedene Personen manchmal zu ziemlich unterschiedlichen Ergebnissen kommen. Darüber hinaus sollte eine (zum Beispiel mithilfe eines Penetrationstests) erkannte Schwachstelle neben dem CVSS-Wert um eine weitere Beschreibung ergänzt werden, um angemessene Maßnahmen zur wirksamen Behandlung der Schwachstelle ableiten, priorisieren, umsetzen und überprüfen zu können.
Ein Standardschema würde die Grundlage dafür legen, dass Beschreibungen von Schwachstellen vergleichbar werden. Diese Vergleichbarkeit könnte sich schließlich auch in die Bereiche und Prozesse fortsetzen, wo mit dem Ergebnis von Schwachstellenbewertungen gearbeitet wird (z. B. Risikobewertungen, KPIs). Mögliches Ziel des neuen Arbeitskreises könne dementsprechend ein Prüfschema zur einheitlichen Protokollierung/Berichterstattung von Schwachstellen sein, das auch als Vorbereitung zur Risikobewertung nutzbar wäre.