Thomas Schmidt

Thomas Schmidt arbeitet im Referat „Industrielle Steuerungs- und Automatisierungssysteme“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Sein Fokus liegt auf der Automatisierung von Security Advisories auf beiden Seiten – sowohl bei Herstellern und CERTs als auch bei Betreibern. Herr Schmidt ist einer der führenden Köpfe des OASIS Open CSAF Technical Committee, und eine Schlüsselfigur, die diese Arbeit mit der CISA SBOM zusammenbringt.

Um die Sicherheit von ICS und des zughörigen Ökosystems nachhaltig zu erhöhen, unternimmt das BSI viele Aktivitäten, einschließlich dem Aufbau vertrauensvoller Beziehungen zu Herstellern und Betreibern. Es nimmt ebenfalls an Standardisierungsaktivitäten teil (ISA99 und IEC 62443) und arbeitet mit Lehre und Forschung zusammen, um die Ausbildung in ICS Cybersicherheit zu stärken.

Thomas Schmidt hat seinen Master in IT-Sicherheit an der Ruhr-Universität Bochum abgeschlossen, der einen Forschungsaufenthalt am SCADA Security Laboratory of Queensland University of Technology (Brisbane, Australien) einschloss.

Vorsicht, Schwachstelle! – Ein Crashkurs zum richtigen Umgang mit Sicherheitslücken

Schwachstellen existieren in fast allen Produkten. Da diese oftmals erst entdeckt werden, wenn das Produkt bereits auf dem Markt ist, hat der Prozess der Schwachstellenbehandlung eine besondere Bedeutung. Das BSI gibt einen kurzen Überblick, wie Hersteller mit Schwachstellen umgehen sollten und wie Hersteller sich auf Schwachstellenmeldungen vorbereiten können sowie welche Prozesse und Tools dabei helfen. Zusätzlich stellt das BSI das Common Security Advisory Framework (CSAF) vor, dass es Herstellern erlaubt, Informationen über Schwachstellen und deren Behebung (Security Advisories) maschinenlesbar an ihre Kunden zu verteilen. Dadurch werden Betreiber in die Lage versetzt, Entscheidungen im Schwachstellenbehandlungsprozess und Patch- und Updatemanagement risikobasiert zu treffen, weil die notwendigen Informationen bereitstehen.