Erhöhung der Schwachstellentransparenz mit Lieferanten-ADP

Seit 2024 hat die Cybersecurity and Infrastructure Security Agency (CISA) das Programm „Vulnrichment“ eingeführt, um CVE-Daten mit zusätzlichen Informationen anzureichern. Das Ziel ist es, zusätzlichen Kontext zu bieten und Verteidigern dabei zu helfen, das spezifische Risiko dieser Sicherheitslücken einzuschätzen. Jeder CVE von cve.org oder Github hat einen Authorized Data Publisher (ADP) -Container, in dem diese Daten gespeichert werden.

Als nächste Stufe befürwortete Siemens PSIRT eine weitere Erweiterung: Das Supplier-ADP (SADP), das in den letzten Monaten erprobt und schließlich im April 2026 eingeführt wurde. Die SADP ist praktisch, wenn ein Lieferant wie Siemens Informationen zu einer Sicherheitslücke hinzufügen möchte, die ihren Ursprung in einer Upstream-Abhängigkeit hat.

Als Beispiel können wir CVE-2025-47809 nehmen. Diese Sicherheitslücke hat ihren Ursprung in Wibu CodeMeter und hat einen CVSS-Score von 8,2. Siemens hat dafür zwei Hinweise veröffentlicht, nämlich SSA-201595 und SSA-331739, um Kunden und Anbieter von Sicherheitsscannern darüber zu informieren, dass bestimmte Siemens-Produkte diese Komponente verwenden und die Sicherheitslücke erben. Einige Leute folgen jedoch nicht direkt den Siemens-Sicherheitshinweisen und beziehen ihre Informationen z. B. von cve.org — und sie können jetzt auch informiert werden.

Mit dem aktuellen SADP-Ansatz erwarten wir, dass Schwachstellen-Scanner die „True-Positive-Raten“ für betroffene Siemens-Produkte erhöhen können. In Zukunft, wenn Siemens auch Produkte veröffentlicht, von denen bekannt ist, dass sie nicht betroffen sind, gehen wir davon aus, dass die Zahl der „Fehlalarme“ sinken wird. „Fehlalarme“ treten auf, wenn anfällige Komponenten in einem System installiert sind, die Sicherheitslücke jedoch nicht ausgenutzt werden kann.