CISA verschärft Patch-Vorgaben für Bundesbehörden mit risikobasiertem Modell

Zusammenfassung

Die US-Behörde CISA hat ihre verbindlichen Vorgaben zum Schwachstellen-Management für Bundesbehörden grundlegend überarbeitet. Die neue Richtlinie BOD 26-04, die in dieser Woche veröffentlicht wurde, ersetzt zwei ältere Anweisungen zur Behebung von Schwachstellen in zivilen Bundesbehörden der Exekutive. Künftig gilt ein risikobasiertes Modell: Besonders gefährliche Schwachstellen müssen innerhalb von drei Tagen behoben werden, während weniger kritische Fälle formell aufgeschoben werden dürfen. CISA begründet den Schritt auch mit der wachsenden Rolle KI-gestützter Bedrohungen, die das Auffinden und Ausnutzen von Softwarefehlern beschleunigen. Die Priorisierung stützt sich auf vier Kriterien: ob eine Schwachstelle im KEV-Katalog von CISA aufgeführt ist, ob das betroffene System öffentlich erreichbar ist, ob sich alle Schritte eines Angriffs automatisieren lassen und ob eine erfolgreiche Ausnutzung teilweise oder vollständige Kontrolle über das betroffene System ermöglicht. Behörden müssen bei Fällen in der höchsten Risikostufe nicht nur schnell patchen, sondern auch forensisch prüfen, ob betroffene Systeme bereits kompromittiert wurden.

Mit BOD 26-04 führt CISA ein gestuftes Modell zur Behebung von Schwachstellen ein. Für zivile Bundesbehörden der Exekutive gilt bei besonders kritischen Fällen nun eine Frist von drei Tagen. Trifft eine Schwachstelle nur auf einen Teil der Kriterien zu, sieht die Richtlinie längere Fristen vor. Schwachstellen mit niedrigerer Priorität dürfen aufgeschoben werden.

CISAs amtierender stellvertretender Exekutivdirektor für Cybersicherheit, Chris Butera, beschrieb die neue Vorgabe in einem Blogbeitrag und bei einem Medienbriefing als Ansatz, mit dem Behörden „intelligenter statt härter patchen“ sollen. KI helfe inzwischen sowohl Forschern als auch Angreifern dabei, Softwarefehler deutlich schneller zu finden. Verteidiger könnten es sich daher nicht leisten, wochenlang mit dem Schließen von Lücken zu warten, die inzwischen in großem Maßstab autonom ausnutzbar seien.

Nach Angaben von Butera soll das risikobasierte Modell die gefährlichsten Schwachstellen nach vorn ziehen und zugleich Flexibilität bei weniger gravierenden Problemen schaffen. In einer ersten Analyse bei einer großen zivilen Behörde seien nur 1 Prozent der Schwachstellenfälle in die Drei-Tage-Kategorie gefallen, während mehr als 60 Prozent bis zum nächsten System-Upgrade zurückgestellt worden seien. Die stärkere Abstufung sorge dafür, dass die kritischsten Lücken zuerst und schneller behandelt würden.

Zur Unterstützung der Behörden will CISA seinen Katalog der Known Exploited Vulnerabilities aktuell halten und neue Einträge so schnell wie möglich melden. Über das Vulnrichment Program will die Behörde außerdem angereicherte Metadaten zu Schwachstellen an die CVE-Datenbank liefern, darunter Angaben zur Automatisierbarkeit von Exploits und zu den technischen Auswirkungen. Innerhalb von 60 Tagen will CISA ein standardisiertes Datenschema für die Kennzeichnung von Assets veröffentlichen. Hinzu kommen laufend Ergebnisse aus Cyberhygiene-Scans, Berichte zum Stand der Behebung und Leitlinien für die forensische Triage. Außerdem kündigt CISA jährliche Überprüfungen der Fristen und eine fortlaufende Bewertung neuer Angreiferfähigkeiten an.

Ferhat Dikbiyik, Forschungs- und Intelligence-Chef bei Black Kite, nannte die Richtlinie die „bedeutendste Entwicklung im föderalen Schwachstellenmanagement seit dem Start des KEV-Katalogs im Jahr 2021“. Besonders zukunftsgerichtet sei die ausdrückliche Berücksichtigung KI-gestützter Exploit-Automatisierung als Priorisierungsfaktor. CISA richte seine Politik damit auf eine Bedrohungslage aus, in der Angreifer Schwachstellen bewaffnen, bevor Patches verfügbar sind.

Die Richtlinie gilt ab sofort. Bundesbehörden müssen ihre Richtlinien zum Schwachstellen-Management überprüfen und anpassen, darunter KEV-basierte Prozesse, Rollen und Zuständigkeiten, Mechanismen zur Durchsetzung und Validierung sowie interne Vorgaben zur Nachverfolgung und Berichterstattung, die CISA überprüft. Für die Aktualisierung ihrer Prozesse im Sinne einer kontinuierlichen Behebung auf Basis von CVE-Datenbank und KEV-Katalog haben sie 60 Tage Zeit. Alle nötigen Maßnahmen, um die vorgegebenen Fristen praktisch einhalten zu können, müssen innerhalb von 180 Tagen umgesetzt werden.

Ensar Seker, CISO bei SOCRadar, bewertet die Drei-Tage-Frist für Behebung und Triage als aggressiv, aber notwendig. Besonders hervor hob er die forensische Triage, weil Organisationen eine Schwachstelle oft nur patchen, ohne zu klären, ob sie vor der Behebung bereits ausgenutzt wurde. Ob Behörden die Frist einhalten können, hänge laut Seker stark von Transparenz über ihre Assets und ihrer operativen Reife ab.

Alfred Huger, Mitgründer und Chief Product Officer bei Command Zero, sagte, CISA erkenne damit endlich an, dass ein KEV auf einem Internet-angebundenen System und ein KEV tief im internen Netz nicht dieselbe Dringlichkeit hätten. Entscheidend sei das Wort „automatisierbar“: CISA räume damit ein, dass Angreiferwerkzeuge inzwischen schneller skalieren als menschliche Patch-Prozesse. David Lindner, CISO bei Contrast Security, verwies zugleich auf eine zentrale Voraussetzung des Modells: CISA müsse für jede CVE verlässlich aktuelle und vollständige Angaben zur Exploit-Automatisierung und zu den technischen Auswirkungen liefern. Genau an dieser Datenqualität gebe es derzeit noch Zweifel.

CISA verschärft Patch-Vorgaben für Bundesbehörden mit risikobasiertem Modell

Ähnliche Artikel

Neueste Artikel