Erhöhung der Schwachstellentransparenz mit Lieferanten-ADP

Seit 2024 hat die Cybersecurity and Infrastructure Security Agency (CISA) das Programm „Vulnrichment“ eingeführt, um CVE-Daten mit zusätzlichen Informationen anzureichern. Das Ziel ist es, zusätzlichen Kontext zu bieten und Verteidigern dabei zu helfen, das spezifische Risiko dieser Sicherheitslücken einzuschätzen. Jeder CVE von cve.org oder Github hat einen Authorized Data Publisher (ADP) -Container, in dem diese Daten gespeichert werden.

Als nächste Stufe befürwortete Siemens PSIRT eine weitere Erweiterung dieser Situation: Die Lieferanten-ADP (SADP), das in den letzten Monaten erprobt und schließlich im April 2026 eingeführt wurde. Die SADP ist praktisch, wenn ein Lieferant wie Siemens Informationen zu einer Sicherheitslücke hinzufügen möchte, die ihren Ursprung in einer Upstream-Abhängigkeit hat.

Als Beispiel können wir nehmen CVE-2025-2884. Diese Sicherheitslücke hat ihren Ursprung in TCG TPM2.0 und hat einen CVSS-Score von 6,6. Siemens hat dafür eine Empfehlung veröffentlicht, nämlich SSA-628843 um Kunden und Anbieter von Sicherheitsscannern darüber zu informieren, dass bestimmte Siemens-Produkte diese Komponente verwenden und die Sicherheitslücke übernehmen. Manche Leute folgen jedoch nicht direkt den Siemens-Sicherheitshinweisen und entnehmen ihre Informationen z. B. von cve.org — und sie können jetzt auch informiert werden.

Mit dem aktuellen SADP-Ansatz erwarten wir, dass Schwachstellen-Scanner die „True-Positive-Raten“ für betroffene Siemens-Produkte erhöhen können. In Zukunft, wenn Siemens expandiert und Produktdaten, die als „bekannt nicht betroffen“ gelten, in SADP einbezieht (Informationen, die derzeit nur über Sicherheitshinweise und CSAF verfügbar sind), erwarten wir, dass die Zahl der „Fehlalarme“ sinken wird. „Fehlalarme“ treten auf, wenn anfällige Komponenten in einem System installiert sind, die Sicherheitslücke jedoch nicht ausgenutzt werden kann.