Was ist Schwachstellen- management und warum wird es immer wichtiger?
IT-Knowledge Base: Für IT-Interessierte & Unternehmen, die auf der Suche nach einem Managed Services Provider sind.
Schwachstellen begegnen uns überall: Zuhause, bei unseren Autos, bei anderen, bei uns selbst. Und auch in der IT-Welt ist das Wort ein Begriff: In diesem Kontext bezeichnet es Fehler, die dafür sorgen, das Dritte Schadcode in Rechner oder ganze System einschleusen können. Laut einer Umfrage des Digitalverbands Bitkom verursachen Cyberangriffe einen Schaden von 102, 9 Milliarden € jährlich. Befragt wurden Geschäftsführer deutscher Unternehmen. 2016/17 belief sich der Schaden auf 55 Milliarden €. Der Schaden ist fast doppelt so hoch wie noch vor zwei Jahren. Für Unternehmen ist es daher sehr wichtig Schwachstellen zu finden und sie zu beheben. Schwachstellenmanagement ist der Schlüssel dafür.
Definition – Was ist ein Schwachstellenmanagement?
Schwachstellenmanagement oder auch Vulnerability Management ist ein Oberbegriff für das Sicherheitsmanagement im Unternehmen. Die Hauptaufgabe ist es, IT-Systeme auf bekannte technische Schwachstellen zu prüfen. Außerdem gehört die regelmäßige Prüfung des Netzwerks und das Erkennen von Anomalien dazu. Veränderungen im Serververhalten oder Netzwerkknoten sind Beispiele für Anomalien. Sie weisen oft darauf hin das böswillige Attacken, wie bspw. Malware, vorliegen. Die Schwachstellenanalyse kann manuell durchgeführt werden, allerdings ist das in größeren Unternehmen meistens ein zu großer Aufwand. Es gibt Unternehmen, die über einen eigenen IT-Security-Consultant verfügen, der sich ausschließlich um die IT-Security kümmert. Für das Schwachstellenmanagement gibt es verschiedene Tools, um die Analysen nicht manuell selbst durchführen zu müssen. Die Tools scannen Geräte bzw. komplette IT-Systeme und ermitteln welche Systeme Schwachstellen aufweisen. Der Verantwortliche kann dann entsprechend agieren und die Sicherheitslücken schließen. Außerdem können solche Tools verwendet werden, um unbekannte Geräte zu finden. Besonders interessant ist das für Infrastrukturen, die keinen Netzwerkzugriffschutz implementiert haben, da eine große Gefahr besteht, dass unerwünschte Geräte sich mit dem Firmennetzwerk verbinden. Die vielen Bedrohungen entwickeln sich stetig weiter, deshalb muss auch das Schwachstellenmanagement im Unternehmen immer auf dem neusten Stand sein und ständig aktualisiert werden.
Abgrenzung Patch-Management
Übersetz bedeutet Patch „flicken“ und beschreibt in der IT-Welt die Notwendigkeit Updates und Hotfixes auf Systeme aufzuspielen. Der Bedarf nach einem Patch hat verschiedene Ursachen. Die Industrie unterscheidet drei daher Patch-Typen:
• Bugfix: Unter diesem Begriff ist die Behebung von Fehlern zu verstehen, die im Programm-Quellcode auftreten.
• Hotfix: Dieser Begriff bezeichnet die unaufschiebbare Behebung von Fehlern im Anwendungsprogramm.
• Update: Ein Update wird als klassische Form der Aktualisierung angesehen. Es beinhaltet meistens Funktionserweiterungen oder sorgt für die Behebung von Fehlern. Im besten Fall gehört Patch-Management im Unternehmen zur Standardroutine und läuft automatisiert ab. Natürlich trägt ein Patch auch maßgeblich zur Sicherheit bei. Vulnerability- Management geht allerdings noch einige Schritte weiter. Die Umgebung wird permanent analysiert und es wird nicht nur überprüft, ob Patches eingespielt sind, sondern wie aktiv sie sind . Patch-Management ist also nur ein kleiner Teil vom Schwachstellenmanagement.
Zero-Day-Exploit
Die regelmäßige Überprüfung ist auch wichtig im Hinblick auf Zero-Day-Exploits. Der Begriff beschreibt einen Angriff, der am selben Tag erfolgt an dem eine Schwachstelle entdeckt wird. Es vergehen somit null Tage zwischen dem Entdecken der Sicherheitslücke und dem ersten Angriff. Wenn ein potenzielles Security-Problem gefunden wird, kontaktiert die Person oder das Unternehmen in der Regel den Softwarehersteller. Somit hat der Hersteller Zeit den Code zu bereinigen und einen Patch oder ein Update zur Verfügung zur stellen, bevor ein Dritter die Sicherheitslücke entdeckt. Wenn mögliche Angreifer von der Schwachstelle erfahren, benötigen sie meistens Zeit, um diese auszunutzen und es besteht die Chance, dass ein Security-Update schneller verfügbar ist. Allerdings entdecken manchmal Cyberkriminelle die Sicherheitslücke zuerst, ohne dass einem anderen Akteur das Risiko bekannt ist. In diesem Fall ist es für die betroffene Person oder das Unternehmen sehr schwierig den Angriff abzuwehren. Allerdings lässt sich das Risiko durch verschiedene Präventivmaßnahmen gegen Zero-Day-Exploits minimieren:
1. Virtuelle vLANs verwenden, damit Inhalte individueller Datenübertragung geschützt werden können: Ein Virtual Local Area Network teilt ein physisches Netzwerk in logische Segmente auf. Die unterteilten Netzwerke fassen Server und Workstations zusammen. Unternehmen verwenden es oftmals, um Mitarbeitern bestimmte Abteilungsbereiche wie bspw. die Produktion oder das Marketing zuzuordnen. Der Vorteil ist, dass die Performance dadurch verbessert wird. Außerdem erhöht die flexiblere Zuordnung die Skalierbarkeit und die Sicherheit nimmt zu, da virtuelle Netzwerke robuster sind.
2. Ein IDS (Intrusion Detection System) einsetzen: IDS beschreibt ein Gerät oder eine Software-Anwendung, die den Administrator informiert, falls eine Security- oder Policy-Verletzung vorliegt. Außerdem wird das System aktiv, wenn ein IT-Netzwerk in irgendeiner Form kompromittiert ist.
3. Netzwerk-Zugriffskontrollen nutzen, um zu verhindern das unautorisierte Geräte sich mit dem Netzwerk verbinden können.
4. Wireless LAN Access Points (Wlan AP) absichern und ein Security-Mechanismus nutzen, um sich vor Angriffen über WLAN zu schützen.
Wie entstehen Sicherheitslücken?
Schwachstellen in der Informationstechnik sind mögliche Sicherheitslücken. Sie können auf Computern, Servern, Betriebssystemen, Anwendungen, Firmware und Netzwerkcomputern auftreten. Doch wie entstehen die gefährlichen Sicherheitslücken überhaupt? Meistens entstehen sie durch einen Fehler der Programmierung oder Codierung. Informatiker gehen davon aus, dass pro tausend Zeilen Software-Code 5 bis 20 Bugs vorkommen. Außerdem kann ein unzureichender Schutz die Ursache dafür sein. Die Sicherheitslücken werden erst zum Risiko, wenn darüber Schadcode ausgeführt werden kann. Die Folgen sind vielfältig: Datenklau- und Manipulation, Spionage der Anwender oder eine erpresserische Verschlüsselung von Daten sind nur einige Beispiele. Die Fehler entstehen meistens aufgrund von hohem Zeitdruck und zu knappen Budgets. Außerdem sind Softwaresysteme sehr komplex und es ist kaum vermeidbar, dass es zu Schwierigkeiten kommt. Ohne eine Qualitätskontrolle und Sicherheitsüberprüfung bleiben Programmierfehler oft unentdeckt. Deshalb ist ein Sicherheitskonzept im Unternehmen essentiell.
PDCA-Zyklus
Wie bei vielen Managementsystemen folgt die Implementierung von Schwachstellenmanagement dem PDCA-Zyklus (Plan, Do, Check, Act). Hier ist der Ablauf kurz erklärt:
Plan
Im ersten Schritt wird geplant, welche Systeme einbezogen werden sollen. Durch die Festlegung bestimmter Netzwerksegmente oder IP-Adressen kann dies beispielsweise geschehen. Wenn die Ziele definiert sind, werden im nächsten Schritt die Scans der Geräte bzw. des kompletten IT-Systems geplant. Festgelegt wird die Art der Scans und der zeitliche Ablauf. Besonders einfach lassen sie sich in „sichere“ und „unsichere“ Scans einteilen. Sichere Scans fügen dem System keinen Schaden zu, ein unsicherer Scan kann allerdings den Betrieb negativ beeinflussen.
Do
Sobald die Ziele und der Umfang der Scans definiert sind, können sie ausgeführt werden. Die Tests zur Schwachstellanalyse beruhen auf bekannten Sicherheitslücken. Common Vulnerabilities and Exposures heißen die Datenbanken, in denen die Schwachstellen veröffentlicht werden. Bei den Scans wird untersucht, ob es Schwachstellen in der Software oder der Konfiguration gibt.
Check
Anschließend werden die Ergebnisse ausgewertet. Ein Vergleich vom erwarteten Zustand der Systeme zum ermittelten Zustand wird durchgeführt und entsprechende Maßnahmen zur Korrektur werden beschlossen.
Act
In der letzten Phase wird die geplante Korrektur umgesetzt und es wird geprüft, ob diese zu einer Verbesserung des Ergebnisses beitragen kann. Die Problemlösung kann im einfachsten Fall das Einspielen eines Patches sein. Im Anschluss kehrt man in die Planungsphase zurück und beginnt von vorne.Wrapping Up
Effektives Schwachstellenmanagement
Ein Vulnerability Management-Tool ermittelt bestehende Auffälligkeiten und die Security-Teams schützen die Unternehmens-IT. Im Idealfall deckt das Tool mehrere Bereiche ab und führt regelmäßige Audits durch. Aufgrund der vielen bekannten Sicherheitslücken ist es für Unternehmen häufig schwierig, alle Schwachstellen zu beheben. Insbesondere Probleme mit geringer Priorität werden häufig über einen längeren Zeitraum aufgeschoben. Cyber-Kriminelle nutzen die dadurch entstehende Verwundbarkeit oft gezielt aus. Die folgenden Handlungsempfehlungen können daher beim Schwachstellenmanagement als Orientierung dienen:
• Häufige und frühzeitige Scans
Ein Unternehmen sollte frühzeitig und häufig nach Schwachstellen scannen. So simpel es klingt, aber wenn ein Problem nicht erfasst wird, kann es auch nicht behoben werden. Falls nicht genügend Daten vorhanden sind, kann keine Identifikation für die Behebung der Gefahren für das eigene Netzwerk erfolgen. Insbesondere bei der Entwicklung von eigener Software ist es wichtig, so früh wie möglich mit dem Scannen zu beginnen, um die Sicherheit zu erhöhen und potenzielle Gefahrenbehebungskosten zu minimieren.
• Verständliche und prozessfähige Daten
Wenn ein Unternehmen Scan-Daten gesammelt hat, reicht es nicht aus, sie in einer Auflistung an alle Stakeholder zu senden. Es ist schwierig eine Rangliste festzulegen, wenn alle Schwachstellen als großes Risiko identifiziert werden. Deshalb müssen die Ergebnisse so aufbereitet werden, dass sie für alle Beteiligten leicht verständlich und nachvollziehbar sind, sowohl für die Sicherheitsabteilung als auch für Entscheider. Im Report sollte enthalten sein, wie lange das Problem besteht, wie kritisch es ist und was dagegen unternommen werden muss.
• Der richtige Kontext
Damit die Probleme verstanden und behoben werden können benötigt es Einiges an Informationen, die übermittelt werden müssen: Welche Netzwerkteile könnten betroffen sein? Gibt es einen Patch und kann er ausgerollt werden? Können die Risiken eingedämmt werden? All das sind mögliche Fragen, die beantwortet werden müssen.
Warum ist Schwachstellenmanagement so wichtig?
Die Zahl der Breaches in IT-Systeme steigt stärker mehr an und Netzwerkschwachstellen nehmen überhand. Immer mehr Angriffe zielen auf finanzielle Bereicherung ab und die Professionalität unter Hackern steigt. Schwachstellen und Risiken, die schon längst bekannt sind, werden oft von Cyber-Kriminellen ausgenutzt. Es kommt nicht selten vor das sie Schwachstellen ausnutzen, die seit Wochen, Monaten oder sogar Jahren bekannt sind aber die Unternehmen sich nicht darum gekümmert haben. Dann haben Cyberkriminelle leichtes Spiel. Schwachstellen-Management ist aber nicht nur aufgrund der vielen Gefahren so wichtig: Um das Datenschutzniveau der europäischen Datenschutzgrundverordnung (DSGVO) zu gewährleisten, müssen Sicherheitslücken laufend erkannt werden. Wenn ein IT-Sicherheitsteam mit Schwachstellen chronisch überfordert ist und nicht feststellen kann welche sofort behoben werden müssen, ist das Risiko von Datenschutzverletzungen besonders hoch. Und das kann das betreffende Unternehmen sehr teuer zu stehen kommen.
Auch das CSI (Center of Internet Security) stuft die Bewertung und Beseitigung von Schwachstellen als viertwichtigste Praxis ein, um Sicherheitsrisiken zu vermeiden. Trotzdem geben laut einer Umfrage Umfrage des SANS-Institute nur 10 Prozent der Befragten an, dass sie kritische Sicherheitslecks innerhalb von 24 Stunden schließen können. Nach Angaben des Instituts erreicht das Risiko einer Sicherheitsbedrohung nach einer Woche ein moderates und nach einem Monat ein hohes Niveau.
Sie sind auf der Suche nach einem IT-Dienstleister, der Ihr Schwachstellenmanagement betreut? Sprechen Sie uns gerne an!