Zurück

Schwachstellenmanagement für IoT-Produkte im Energiesektor

log4j hat Bedarf für Management von Schwachstellen entlang der gesamten Softwarelieferkette aufgezeigt, ganz besonders im KRITIS-Umfeld.

Dieser Vortrag ist ein Erfahrungsbericht, wie das Schwachstellenmanagement im Rahmen einer IoT-Entwicklung gelöst werden kann. Er umfasst die Inventarisierung von Softwarekomponenten sowie Methoden zur Bewertung von Schwachstellen und zeigt, mit welchen Prozessen Schwachstellen behoben und kommuniziert werden können.

Diskutierte Hilfsmittel hierzu sind u.a. Common Platform Enumerators (CPEs) und Common Vulnerability Enumerators (CVEs), das Common Vulnerability Scoring System (CVSS), Software Bill of Materials (SBOM), das Common Security Advisory Framework (CSAF) und die Bedeutung offener Austauschformate und Werkzeuge.

Vorkenntnisse

Besucher haben ein Verständnis über die Anforderungen an Schwachstellenmanagement entlang der Software Supply Chain, kennen den Aufbau von IoT-Produkten und ihren Komponenten und wissen, dass Kunden über Schwachstellen informiert werden müssen.

Lernziele

Aus dem "Wir müssen was tun." und dem "Was müssen wir tun?" werden Anstöße für ein "Wie machen wir das?" gegeben.

Speaker

Hubert Feyrer ist Cyber Security-Experte bei der Maschinenfabrik Reinhausen. Nach einem Studium in technischer Informatik und Promotion in Informationswissenschaften war er u.a. tätig als Systembetreuer, Hard- und Softwareentwickler, IT-Leiter sowie als Chief Information Security Officer (CISO).

Thilo Böhm ist Security-Architekt im Bereich der IoT-Entwicklung.