Bundesamt für Sicherheit in der Informationstechnologie (BSI)
Fachexperte Schwachstellenkoordinierung und -management
Tassilo Thieme arbeitet im Referat „Grundsatz und Warn- und Informationsdienst (WID)“ im Fachbereich CERT-Bund des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sein Fokus liegt auf der Koordinierung von Schwachstellenmeldungen die durch externe Sicherheitsforschenden an das BSI gemeldet werden. Dabei unterstütz er die Etablierung des sog. Coordinated Vulnerability Disclosure (CVD)-Prozess im BSI und vertritt dabei das BSI im CVD-Prozess zwischen Sicherheitsforschenden und Herstellern.
Tassilo Thieme hat seinen Master in Wirtschaftsinformatik an der Hochschule Wismar abgeschlossen, mit dem Fokus auf der Entwicklung eines Coordinated Vulnerability Disclosure Prozesses für kleine und mittelständische IT-Unternehmen.
Schwachstellen existieren in fast allen Produkten. Da diese oftmals erst entdeckt werden, wenn das Produkt bereits auf dem Markt ist, hat der Prozess der Schwachstellenbehandlung eine besondere Bedeutung. Das BSI gibt einen kurzen Überblick, wie Hersteller mit Schwachstellen umgehen sollten und wie Hersteller sich auf Schwachstellenmeldungen vorbereiten können sowie welche Prozesse und Tools dabei helfen. Zusätzlich stellt das BSI das Common Security Advisory Framework (CSAF) vor, dass es Herstellern erlaubt, Informationen über Schwachstellen und deren Behebung (Security Advisories) maschinenlesbar an ihre Kunden zu verteilen. Dadurch werden Betreiber in die Lage versetzt, Entscheidungen im Schwachstellenbehandlungsprozess und Patch- und Updatemanagement risikobasiert zu treffen, weil die notwendigen Informationen bereitstehen.