Cisco setzt bei Fehlersuche auf Industriestandards

EnterpriseSicherheit

Cisco Systems will sich nicht mehr nur auf die eigene Erfahrung verlassen, wenn es um die Fehlerquellen in den Cisco-Produkten geht. Der Konzern setzt dafür nun einen industrieweiten Standard ein, der kürzlich sehr umstritten war.

Das hauseigene Product Security Incident Response Team (PSIRT) benutzt jetzt das Common Vulnerability Scoring System (CVSS). Das ist ein konzernübergreifendes Scoring-System, mit dem die Auflistung und Bewertung erkannter Gefahren vereinheitlicht werden soll.

Das wurde bekannt, weil die Techniker kürzlich ein an den Bestimmungen des CVSS ausgerichtetes Scoring über eine Schwachstelle in der Software ‘Cisco Clean Access’ verbreiteten – diese ist inzwischen nach Konzernangaben geschlossen. Sie war besonders heikel, da die Software – bestehend aus ‘Clean Access Server’ und ‘Clean Access Manager’ – infizierte Systeme und Bereiche oder Eindringlinge in einer IT-Umgebung identifizieren, isolieren und beheben kann.

Für das CVSS ist es ein enormer Schritt, dass einer der größten Netzwerkkonzerne den Scoring-Standard nicht nur wie bisher unterstützt, sondern aktiv einsetzt. Hierbei werden die Gefahren herstellerneutral nach 10 Punkten abgetastet und bewertet. Andere Partner wie Skype, Qualys und Nessus haben zusammen mit der US-Behörde ‘National Infrastructure Advisory Council’ diese Regeln festgelegt, die Anwendern und Herstellern eine bessere Orientierung geben sollen.

Doch ganz einhellig ist die Begeisterung nicht: Einer der Erstnutzer, der Datenbankkonzern Oracle, hatte mit CVSS-Ratings keine guten Erfahrungen gemacht, was die langsame Akzeptanzkurve der Ratings teilweise erklären könnte: Oracle hatte für die eigenen Produkte CVSS-Kriterien angelegt und war in die Kritik geraten, weil die Fehler angeblich als zu harmlos dargestellt wurden. Nicht nur Oracle, auch das Scoring-System war damals unter Beschuss geraten.

Doch für Serviceprovider und Systemhäuser gibt es nach wie vor wenig Alternativen. Ihre Arbeit erfordert, die unterschiedlichen Fehler-Scorings entweder selbst zu vergleichen, eigene Tests durchzuführen oder aber sehr viel Zeit im Gespräch mit den Kunden zu verbringen, um die Sorgen auszuräumen. Unterschiedliche Scorings der Hersteller stiften Verwirrung. Daher haben sich die ersten Partner und Fachhändler in den USA geradezu enthusiastisch geäußert.

Auch Russell Smoak vom PSIRT betonte, dass die Einführung des CVSS dazu diene, die Fehlertabellen von Cisco zu entrümpeln und klarer zu machen – selbstverständlich um die Kunden zu bewegen, die Cisco-Listen zu bevorzugen. Auch intern sollen für die verschiedenen Scoring-Listen für ‘My Self -Defending Network’ und anderes auf Basis von CVSS vereinheitlicht werden. Partner wie Nokias neue Tochter Intellisync seien allerdings frei darin, die öffentliche Bewertung der Listen selbst vorzunehmen, so Smoak.