www.Security-Insider.

de Eine Publikation von:

Netzwerk-Security & -Monitoring

eBOOK

Jedes Netzwerk ist von Cyber-Attacken bedroht

Wie Schwachstellen im Netzwerk entdeckt werden
Netzwerk-Monitoring und -Sicherheit als Daueraufgabe

Powered by:
 Inhalt
3 Wenn Angreifer ihre Netze auswerfen
Netzwerk-Risiken

6 Wie Schwachstellen im Netzwerk

entdeckt werden können
Löcher im Netz

8 Netzwerk-Monitoring und Netzwerk­

sicherheit als Daueraufgabe
Damit die Angreifer ins Netz gehen

9 Netzwerk-Änderungen im Blick
behalten
Wenn Netze neu geknüpft werden

11 10 Schritte zum effektiven Vulnerability

Management
Schwachstellen-Management mit Tenable

Powered by:
Tenable Network Security GmbH
Prielmayerstr. 3, 80335 München
Telefon +49 (0)221 8282-9194
E-Mail sales-de@tenable.com
Web www.tenable.com
Vogel IT-Medien GmbH
August-Wessels-Str. 27, 86156 Augsburg
Telefon +49 (0) 821/2177-0
E-Mail redaktion@security-insider.de
Web www.Security-Insider.de
Geschäftsführer: Werner Nieberle
Chefredakteur: Peter Schmitz, V.i.S.d.P.,
peter.schmitz@vogel-it.de
Erscheinungstermin: März 2016
Titelbild: Jürgen Fälchle - Fotolia.com
Haftung: Für den Fall, dass Beiträge oder Informa­ tionen
unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim
Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich
gekennzeichnet sind, ist der jeweilige Autor verantwortlich.
Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.
Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur
mit schriftlicher Genehmigung der Redaktion.
Nachdruck und elektronische Nutzung: Wenn Sie Beiträge
dieses eBooks für eigene Veröffent­li­chun­gen wie Sonderdru-
cke, Websites, sonstige elektroni­sche Medien oder Kunden-
zeitschriften nutzen möchten, erhalten Sie Informationen so-
wie die erforderlichen Rechte über www.mycontentfactory.de,
Tel. +49 (0) 931/418-2786.

2 Security-Insider.de | Netzwerk-Security & -Monitoring

Netzwerk-Risiken
Wenn Angreifer ihre
Netze auswerfen
Die EU-Sicherheits-
agentur ENISA
veröffentlichte die
Cyber-Bedrohungs-
landschaft 2015 mit den
15 wichtigsten Cyber-
Bedrohungen. Diese
gelten nicht nur dem
Internet, sondern jedes
Netzwerk ist in Gefahr.
(Bild: ENISA)
3 Security-Insider.de | Netzwerk-Security & -Monitoring
Bei Cyber-Bedrohungen denken viele Unternehmen zuerst an das
Internet. Doch jedes Netzwerk ist durch Cyber-Attacken bedroht. Eine
Risikoanalyse als Basis der Netzwerksicherheit darf nicht fehlen.
Mehr Fokus auf die Netzwerke
Sowohl der Bericht zur Lage der IT-Sicher-
heit in Deutschland 2015 des Bundesam-
tes für Sicherheit in der Informationstech-
nik (BSI) als auch der Bericht ENISA Threat
Landscape 2015 (ETL 2015) der EU-Agen-
tur für Netz- und Informationssicherheit
betonen die steigenden Risiken im Cyber-
Raum. Was gerne vergessen wird, ist der
tatsächliche Umfang des sogenannten
Cyber-Raumes. So umfasst der Cyber-
Raum sämtliche mit dem Internet und ver-
gleichbaren Netzen verbundene Informati-
onstechnik und schließt darauf basierende
Kommunikation, Anwendungen, Prozesse
und verarbeitete Informationen mit ein.
Wenn es also um zunehmende Cyber-­
Bedrohungen geht, ist nicht nur das Inter-
net betroffen, sondern alle Netzwerke sind
durch Cyber-Attacken bedroht. Gleichzei-
tig sind Netzwerke von einer Vielzahl an
Schwachstellen betroffen, bedingt durch
das Zusammenwirken vieler, verschiedener
Hardware- und Softwarekomponenten bei
dem Aufbau, dem Betrieb und der Wartung
von Netzwerken. Wie eine entsprechende
Abfrage bei dem Warn- und Informations-
dienst CERT-Bund zeigt, gibt es durchaus
Hunderte akuter Netzwerkschwachstel-
len, die behoben und abgesichert werden
müssen.
Trotzdem liegt der Schwerpunkt geplan-
ter Sicherheitsmaßnahmen nicht wirklich
auf der Netzwerksicherheit. Umfragen wie
der eco-Bericht IT-Sicherheit 2016 nen-
nen unter anderem Datenschutz, Sensibi-
lisierung der Mitarbeiter, Verschlüsselung,
Cloud Security, Sicherheit mobiler Gerä-
te, Schadsoftware im Web, Data Leakage
Protection und Botnetze als Fokusthemen
der befragten Teilnehmer. Natürlich hängen
viele dieser Themen mit Netzwerken zu-
sammen, doch Netzwerksicherheit selbst
findet kaum Erwähnung.
Netzwerk-Risiken
Netzwerke als „kritische
Infrastruktur“ verstehen
Bedenkt man, dass kaum noch ein IT-
System in einem Unternehmen ohne Ver-
netzung auskommt, wird die zentrale
und kritische Bedeutung der Netzwerke
schnell deutlich: Der Zugriff auf zentrale
Datenbanken und Anwendungen, die in-
ternen Datenübertragungen und die digi-
tale Zusammenarbeit sind ohne Netzwerke
nicht möglich. Sowohl die Client-Server-
Anwendungen als auch die zunehmend
beliebten Thin Clients kommen ohne Ver-
netzung nicht aus. Netzwerksicherheit
und das Monitoring der Netzwerke sind
deshalb elementar für die betriebliche
IT-Sicherheit.
Netzwerke brauchen die im Unternehmen
notwendige Verfügbarkeit, die erforderliche
Kapazität und Geschwindigkeit und nicht
Übersicht zu Netzwerkrisiken
Personalbereich
• Gefährdung durch Fremdpersonal
(Netzwerk-Wartung)
• Kein Vertreter für Netzwerk-
Administra­tor (Urlaub, Krankheit)
• Schulungsdefizite bei Netzwerk-
Administratoren
Einkauf
• Abhängigkeit von bestimmten Liefe-
ranten für Netzwerkkomponenten
• Steigende Preise für neue Netzwerk-
komponenten
• Zu geringes Budget für Netzwerk­
sicherheit
Organisation
• Fehlende Kontrolle der Einhaltung von
Sicherheitsrichtlinien im Netzwerk
• Fehlende Netzwerkdokumentation
• Fehlende Verantwortlichkeiten für
Netzwerksicherheit
• Fehlender Notfallplan für die Netz-
werke
• Keine oder unregelmäßige Auswer-
tung von Netzwerkprotokolldateien
4 Security-Insider.de | Netzwerk-Security & -Monitoring
zuletzt die geforderte Datensicherheit für
die Vertraulichkeit, Integrität und Verfüg-
barkeit der Netzwerkverbindungen. Prob-
leme im Netzwerk ziehen schnell deutliche
Konsequenzen nach sich und führen zu
Ausfällen und Produktivitätsverlusten im
betroffenen Unternehmen.
Vielfalt der Netzwerkrisiken
im Blick behalten
Unternehmen brauchen eine fortlaufende
Überwachung ihrer Netzwerke, ein Netz-
werk-Monitoring, und geeignete Netzwerk-
sicherheitsmaßnahmen, um Angriffe und
Gefahren wie diese erkennen und mög-
lichst abwehren zu können:
• Abfangen oder Umleiten von Daten in den
Netzwerken
• Abhören des Netzwerkverkehrs
• Blockade des Netzwerkverkehrs
Technik
• Abhörbarkeit der Leitungen
• Ausfall der Stromversorgung
• Ausfall von Netzwerkkomponenten
• Fehlende Verschlüsselung im Netz-
werk
• Fehleranfälligkeit bei Netzwerk­
komponenten
• Kein ausreichender Schutz gegen
Malware
• Keine Berücksichtigung neuer
Netzwerk-Technologien
• Unsichere Kabelschächte und
Netzverteiler
• Unsichere Netzwerksoftware
• Unzureichender Zugriffsschutz im
Netzwerk
• Veraltetes Berechtigungssystem im
Netzwerk
Netzwerk-Risiken

• Datendiebstahl über Netzwerkverbindun- analysen für ihre Netzwerke durchführen

gen und -schnittstellen und die Maßnahmen des Netzwerk-Moni-
• Fernsteuern und Missbrauch von Netz- torings und weiterer Maßnahmen der Netz-
werkkomponenten werksicherheit darauf abstimmen.
• Identitätsdiebstahl und -vortäuschung  Oliver Schonschek
(unerlaubte Übernahme eines Netzwerk-
kontos)
• Manipulation von Daten im Netzwerk
• Veränderungen von Netzwerkadressen
• Wiederholen von Datenübertragungen im
Netzwerk zur Verfälschung eines Ergeb-
nisses

Aktuelle Umfragen
belegen, dass der
Schwerpunkt geplanter
Risikoanalyse für Netzwerke
Sicherheitsmaßnahmen ist Pflicht
nicht wirklich auf der Neben den oben genannten Netzwerk-
Netzwerksicherheit
Attacken stellen zahlreiche weitere Netz-
liegt. (Bild: eco Verband
werkrisiken ein mögliches Problem für die
der Internetwirtschaft)
Verfügbarkeit, Integrität und Vertraulichkeit
der Netzwerkverbindungen dar. Unterneh-
men sollten deshalb regelmäßig Risiko­

5 Security-Insider.de | Netzwerk-Security & -Monitoring

Löcher im Netz
Wie Schwachstellen
im Netzwerk entdeckt
werden können
Netzwerke sind komplex und ändern sich zunehmend dynamisch.
Damit keine unerkannten Schlupflöcher für Angreifer entstehen
können, sollten Unternehmen fortlaufend nach möglichen
Schwachstellen im Netzwerk suchen.
Netzwerkstatus: wechselhaft
Wenn ein Unternehmen wissen möchte, wie
das interne Netzwerk aussieht, hilft ein Griff
in den Aktenschrank wenig, um dort die
gedruckte Netzwerkdokumentation zu ent-
nehmen. Fast könnte man sagen, sobald
die Struktur des Netzwerkes aufgezeichnet
und ausgedruckt ist, ist die Dokumenta­
tion bereits veraltet. Das bedeutet natürlich
nicht, dass eine Dokumentation des Netz-
werkstatus keinen Sinn mehr macht.
Stattdessen muss das Netzwerk regel-
mäßig auf Veränderungen hin untersucht
werden, zum Beispiel, um neu hinzuge-
kommene Geräte zu erfassen und um
festzuhalten, dass andere Geräte aus dem
Netzwerk entfernt wurden. Denkt man an
die hohe Dynamik bei mobilen Endgeräten,
ist schnell klar, dass die Netzwerkuntersu-
chung keine monatliche oder gar jährliche
Aufgabe sein kann, sondern fortlaufend
geschehen muss. Ein weiterer Grund für
den sehr wechselhaften Netzwerkstatus
stellen die sich dynamisch ändernden Ge-
fährdungen oder Netzwerkrisiken dar, die
im ersten Kapitel betrachtet wurden.
Scannen nach Malware reicht nicht
Mit dem sich ändernden Netzwerkstatus
sind auch neue oder geänderte Netzwerk­
6 Security-Insider.de | Netzwerk-Security & -Monitoring
risiken verbunden, unter anderem durch
neu hinzugefügte Endgeräte, die bestimm-
te Anwendungen, Betriebssysteme und
Hardwareelemente mitbringen, die mit
Schwachstellen belastet sein können. Für
die Netzwerkuntersuchung müssen des-
halb Schwachstellen-Scanner zum Einsatz
kommen, die nicht nur Malware im Netz-
werk aufspüren können, sondern das kom-
plette Netzwerk untersuchen, mit seinen
vielfältigen Hardware- und Softwarebau-
steinen.
Untersucht werden sollten sämtliche Netz-
werkkomponenten, die Geräte im Netz-
werk, die mobilen Geräte, sobald sie sich
im Netzwerk anmelden wollen, die Appli-
kationen, die Datenbanken, die Betriebs-
systeme der Clients und der Server. Nicht
vergessen werden sollten auch die Web-
Applikationen, die das Unternehmen nutzt,
sowie mögliche Cloud-Dienste, denn die
(hybride) Cloud muss als Erweiterung des
Netzwerkes verstanden werden.
Wichtig ist es dabei, dass aufgedeckte
Schwachstellen nicht nur in einem Status-
bericht dokumentiert werden, sondern sie
sollten auch an die passende Stelle für die
Behebung gemeldet werden. Schwachstel-
len-Scanner sollten also in die bestehende
Security-Landschaft des Unternehmens
Löcher im Netz
Auch Kreditkartendaten
können über Schwach-
stellen ausgespäht
werden. Deshalb gibt es
Compliance-Vorgaben
nach PCIDSS, die bei der
Netzwerküberwachung
berücksichtigt werden
müssen. (Bild: PCI)
7 Security-Insider.de | Netzwerk-Security & -Monitoring
integriert werden können, zum Beispiel mit
dem SIEM (Security Information and Event
Management), mit Netzwerk-Firewalls, mit
der Malware-Abwehr und nicht zuletzt mit
dem Patch-Management, so dass Sicher-
heitsupdates umgehend eingespielt wer-
den können, sobald diese verfügbar sind.
Auch Schwachstellen-Scanner
brauchen Updates
Damit Schwachstellen-Scanner auch die
Sicherheitslücken in den Geräten, Betriebs-
systemen und Anwendungen finden kön-
nen, müssen sie ähnlich wie Malware-Scan-
ner regelmäßig aktualisiert werden. Statt
nur Viren-Signaturen zu erhalten, bekom-
men entsprechende Netzwerk-Scanner
sogenannte Schwachstellen-Signaturen,
also Informationen, woran sich Schwach-
stellen erkennen lassen.
Aktualisierungsbedarf besteht auch durch
die sich laufend ändernde Bedrohungsla-
ge, die es zu berücksichtigen gilt, damit die
Netzwerksicherheit frühzeitig darauf ange-
passt werden und entsprechend reagieren
kann. Nicht zuletzt Compliance-Vorgaben
wie PCIDSS (Payment Card Industry Data
Security Standard) sollten jeweils aktuell
einbezogen werden, auch hier müssen die
möglichen Änderungen bei den Netzwerk-
Scans einfließen.
Netzwerk-Scans aus der Cloud
Gerade die hohe Dynamik der Netzwerke
und der Netzwerkrisiken sowie der Be-
darf an regelmäßiger Aktualisierung der
Scan-Grundlagen machen Lösungen in-
teressant, die Netzwerk-Scans als Cloud-
Service anbieten. Der Schwachstellen-
Scanner muss dann nicht lokal installiert
und betrieben werden, zudem können die
Netzwerk-Scans schnell auf weitere Ge-
räte ausgerollt werden. Die Aktualisierung
der „Schwachstellen-Signaturen“ erfolgt
dann in der Cloud, ohne weiteren Aufwand
beim Anwenderunternehmen.
Bevor man sich für einen Scan-Dienst aus
der Cloud entscheidet, sollte allerdings
klar sein, dass der jeweilige Anbieter ver-
trauenswürdig ist und die sicherheitsrele-
vanten Scan-Informationen vor unbefugten
Zugriffen und missbräuchlicher Auswer-
tung geschützt sind. Oliver Schonschek
Damit die Angreifer
ins Netz gehen

Netzwerk-Monitoring
und Netzwerksicherheit
als Daueraufgabe
Auf Basis eines fortlaufenden Netzwerk-Monitorings gilt es,
die Netzwerksicherheit ebenso fortwährend anzupassen und
zu optimieren. Teilweise integrieren Lösungen Netzwerk-
Monitoring und Netzwerksicherheit.

Es müssen Taten folgen ten auch sind, ohne Bewertung und bei
So wichtig die Informationen über Abwei- Bedarf Abwehr der Ursachen steigt die
chungen vom normalen Netzwerkverhal- Netzwerksicherheit nicht. Netzwerk-Moni­
toring muss zusammenspielen mit der
Schwachstellensuche und Schwachstel-
Typische Maßnahmen zur Optimierung der Netzwerksicherheit
lenbehebung (Patch-Management), der
• Absicherung der Fernwartung Inventarisierung der Endgeräte, der Su-
• Absicherung der Kabelschächte che nach Schadsoftware, der Aufstellung
• Absicherung der Netzverteiler und Durchsetzung von IT-Sicherheits- und
• Einsatz der elektronischen Signatur Nutzerrichtlinien, um nur einige der Folge-
• Einsatz von Malware-Scannern im Netz aktivitäten und parallelen IT-Sicherheits-
• Erstellung und Pflege eines Notfallplans
maßnahmen zu nennen, die erforderlich
• Erweiterung und Aktualisierung des IT-Sicherheitskonzeptes
sein können. Wo Lücken in der Netzwerk-
• Festlegung von genauen Verantwortlichkeiten für das Netzwerk
sicherheit bestehen, zeigt insbesondere
• Funktionstrennung für Kontrolle und Administration
• Genaue Definition der Netzwerkadministration das Netzwerk-Monitoring und die entspre-
• Nutzung abhörsicherer Übertragungsleitungen chende Auswertung.
• Nutzung sicherer Netzwerk-Topologien Unternehmen sollten deshalb darauf ach-
• Optimiertes Backupmanagement ten, dass das Netzwerk-Monitoring ent-
•P rotokollierung von Benutzer- und Netzverwalteraktivitäten sprechend mit der restlichen IT-Sicherheit
(Beweissicherung) integriert ist oder gleich zu einer Lösung
• Schulungsmaßnahmen für Administratoren greifen, die mehrere Funktionen der Netz-
• Überprüfung Berechtigungssystem und Rollenvergabe werksicherheit in sich vereint. Ganz gleich,
• Unterweisung im Datenschutz
welchen Weg ein Unternehmen wählt: Das
• Verbesserung der Netzwerkdokumentation
Monitoring kann und muss zur Optimie-
• Verschlüsselung der Datenübertragung
rung der Netzwerksicherheit beitragen,
• Verschlüsselung gespeicherter Daten
•V erstärkung der Identifizierung und Authentisierung (Zwei-Faktor- damit Angreifer und Datenpannen erkannt
Mechanismen zur Zugangskontrolle) und abgewehrt werden können. Beispiel-
• Vier-Augen-Prinzip im Monitoring maßnahmen zeigt die Übersicht im Kasten.
 Oliver Schonschek

8 Security-Insider.de | Netzwerk-Security & -Monitoring

Wenn Netze neu
geknüpft werden

Netzwerk-Änderungen
im Blick behalten
Netzwerke unterliegen derart vielfältigen Veränderungen, dass
Unternehmen sich fragen, wie man dabei die Übersicht behalten
kann. Entscheidend ist das richtige Konzept für Netzwerk-
Monitoring und die Einhaltung des Datenschutzes.

das Network Performance Monitoring, die

65 Prozent der Mitar-
beiter greifen auf das
interne Firmennetzwerk
von außerhalb des
Unternehmens zu, so
der DsiN-Sicherheits-
monitor Mittelstand
2015. Eine fortlaufende
Kontrolle der Netz-
werkaktivitäten ist
deshalb wichtig für die
Netzwerksicherheit, das
Monitoring muss aller-
dings den Datenschutz
beachten. (Bild: DsiN)
Im Dickicht der
Netzwerk-Parameter
Wenn man sich als Unternehmen fragt, wo
man mit der Netzwerküberwachung anfan-
gen und wo aufhören soll, hilft es, sich die
entscheidenden Stellgrößen zu vergegen-
wärtigen. Zum einen gilt es, eine Fehler-,
Verfügbarkeits- und Leistungsüberwa-
chung für die Netzwerke vorzunehmen.
Dies kann man als Network Performance
Monitoring zusammenfassen. Ein weiterer
Punkt ist natürlich die Netzwerkbandbreite,
die es zu überwachen gilt. Entsprechen-
de Überwachungsfunktionen kann man
Network Traffic Analysis nennen. Be-
züglich der Netzwerkgeräte müssen die
Konfigurationen und deren Änderungen im
Fokus sein. Dies kann man mit Network
Configuration Management bezeichnen.
Protokolldateien helfen
beim Monitoring
Um den aktuellen Zustand und die Akti-
vitäten im Netzwerk zu überwachen, für
Network Traffic Analysis und das Network
Configuration Management also, kann
das Netzwerk-Monitoring auf die Pro-
tokoll- oder Log-Dateien der vielfältigen
Netzwerkbestandteile zurückgreifen. In
aller Regel fallen an diesen Komponenten
Protokolldateien innerhalb des zu überwa-
chenden Netzwerkes an:
• Betriebssysteme auf Serverseite
• Betriebssysteme auf Clientseite
• verschiedene Anwendungsprogramme
• Webserver für das Intranet, Extranet und
Internet
• Mailserver
• weitere interne Kommunikationsdienste
wie Telefonanlagen im Netzwerk
• Webbrowser
• Sicherheitskomponenten wie Firewalls,
Intrusion Detection Systems und Anti-
Malware-Lösungen
Diese Protokolldateien können eingesam-
melt und aus Sicht des Netzwerkstatus
ausgewertet werden. Für die Netzwerk­
sicherheit sind insbesondere solche Ereig-
nisse von Interesse:
• die Modifikation von Systemeinstellun-
gen im Netzwerk
• Änderungen in der Benutzerverwaltung
und im Privilegiensystem
• Änderungen an installierter Software
• Konfigurationsänderungen an Netzwerk-
geräten

9 Security-Insider.de | Netzwerk-Security & -Monitoring

Wenn Netze neu
geknüpft werden
• Modifikationen an den Endgeräten im
Netzwerk
• Maßnahmen zur Datensicherung und an-
dere Maßnahmen der Gerätesicherheit
Netzwerk-Monitoring ist auch
ein Datenschutz-Thema
Viele Aktivitäten im Netzwerk hängen di-
rekt mit Nutzeraktivitäten zusammen, die
An- und Abmeldung eines Nutzers im
Netzwerk ist nur ein Beispiel. Trotz des be-
rechtigten Interesses an hoher Netzwerk-
sicherheit darf der Datenschutz nicht zu
kurz kommen. Dazu gehört insbesondere
die Forderung, dass nicht der Netzwerk-
Administrator alleine die Berichte zum
Netzwerk-Monitoring auswertet, wenn per-
sonenbezogene Daten betroffen sind. Da-
tenschützer erwarten hier eine Protokoll­
auswertung nach dem Vier-Augen-Prinzip.
Es darf zudem nicht möglich sein, die Be-
richte des Netzwerk-Monitoring für ande-
re Zwecke als der Datenschutzkontrolle,
der Kontrolle der Datensicherung oder zur
Sicherstellung eines ordnungsgemäßen
Betriebes des Netzwerkes zu verwenden
(Besondere Zweckbindung nach Bundes-
datenschutzgesetz, BDSG). Die Nutzer-
Datenschutz beim Netzwerk-Monitoring
• Zweckgebundenheit der Protokolle
• Erforderlichkeit der Protokolle (Gebot der Datensparsamkeit)
• Anonymisierung / Pseudonymisierung von Nutzerdaten
• Kontrollierte Auswertung der Protokolle (Vier-Augen-Prinzip)
• Regelmäßigkeit der Auswertung sichtigen direkt die konkreten Vorgaben
• Sicherer Speicherort für Protokolle und Auswertungen
• Manipulationssicherheit für Protokolle und Auswertungen
•S icherstellung der Richtigkeit der angegebenen Zeitpunkte /
Integrität des Monitoring
•B egrenzter Protokollumfang (Auswertung muss tatsächlich
möglich sein)
• Zeitnahe Löschung der Protokolle nach Zweckerfüllung
•E inbeziehung der Mitarbeitervertretung und des Datenschutz­
beauftragten
•U nterrichtung der Mitarbeiter über möglichen Personenbezug
beim Monitoring
10 Security-Insider.de | Netzwerk-Security & -Monitoring
daten innerhalb des Netzwerk-Monitoring
dürfen nicht für heimliche Leistungs- und
Verhaltensanalysen oder zur Bildung un-
erlaubter Nutzerprofile verwendet werden,
so will es das Datenschutzrecht. Nur bei
einem konkreten Verdacht dürfen nutzer­
bezogene Auswertungen im Netzwerk-
Monitoring stattfinden, wenn es also kon-
krete Hinweise auf einen Missbrauch der
Netzwerkfunktionen gibt, zum Beispiel die
unerlaubte Übertragung vertraulicher Da-
ten ins Internet.
Netzwerk-Monitoring muss
sinnvoll ausgelegt werden
Ohne maschinelle Unterstützung zum
Beispiel mittels angeschlossenem SIEM-
System (Security Information and Event
Management) kann es schnell passieren,
dass die Berichte aus dem Netzwerk-Mo-
nitoring nicht zeitnah oder sogar gar nicht
ausgewertet werden. Dann aber kann das
Netzwerk-Monitoring nicht zur Steigerung
der Netzwerksicherheit und Netzwerk-
Performance beitragen, denn die als not-
wendig erkannten Schritte zur Optimierung
werden nicht vollzogen.
Entscheidend sind deshalb eine automa-
tische Unterstützung bei der Analyse der
Netzwerk-Protokolldateien sowie eine ge-
naue Definition, was letztlich an Berichten
erforderlich ist. Gute Lösungen im Bereich
Netzwerk-Monitoring liefern hier bereits
passende Berichtsvorlagen und berück-
aus relevanten Compliance-Vorschriften.
 Oliver Schonschek
Schwachstellen-
Management mit
Tenable
10 Schritte zum effektiven
Vulnerability Management
Daten sind für jedes Unternehmen wichtige Vermögenswerte,
werden allerdings nicht in einem Safe aufbewahrt. Stattdessen
verteilen sie sich über viele Systeme, Netzwerke und Geräte und
sind so einer permanenten Gefahr vor Kriminellen ausgesetzt.
Datendiebe verwenden Methoden, die dar-
auf ausgelegt sind, Schwächen im System
auszunutzen. Angesichts der ständigen
Veränderung in modernen Unternehmen
und der Vielzahl verwendeter Anwendun-
gen, haben sie dabei beste Chancen.
Üblicherweise werden Systeme und An-
wendungen bei Gefährdungsscans in be-
stimmten Abständen auf Schwachstellen
untersucht. Allerdings sind so nur die zum
Zehn Schritte zum effektiven Vulnerability Management
Schritt Warum?
1. Bestände/Assets erkennen Zu sichernde Bestände
und managen
2. Schwachstellen erkennen Schwachstellen der Bestände und deren
Schweregrad bestimmen
3. Konsistentes Vulnerability Laufende Scans, Probleme erkennen,
Management Fehler beheben
4. Risiken bewerten Wert der Bestände und die erforderliche
Sicherheitsstufe bestimmen
5. Änderungsmanagement Sicherheitsprobleme im Zusammenhang
mit Systemveränderungen erkennen und
beheben
6. Patch-Management Software-Updates anhand des Werts der
Bestände für die Organisation bestimmen
7. Mobilgeräte-Management Schwachstellen mobiler und sich nur
vorübergehend im Netzwerk befindender
Geräte handhaben
8. Schadensminderungs­ Management von Schwachstellen, für die
management keine Patches oder Fehlerbehebungen
vorhanden sind
9. Vorfallsreaktion/Incident Aktiv auf tatsächliche und potenzielle
Response Vorfälle reagieren
10. Automatisierung Schwachstellen schneller erkennen,
beurteilen und beheben
11 Security-Insider.de | Netzwerk-Security & -Monitoring
Zeitpunkt des Scans erkannten Schwach-
stellen sichtbar. Neu aufgenommene Sys-
teme und neue Schwachstellen können
übersehen werden, und das Unternehmen
ist über die Gefahren nicht vollständig im
Bilde.
Erkennen entscheidender
Schwächen
Es gibt eine Reihe von Bereichen, in denen
Systeme gefährdet sein können:
• Software: Fehler in Software führen zu
Sicherheitsmängeln, deren Ausnutzung
die Vertraulichkeit, Integrität oder Verfüg-
barkeit der Anwendungen oder der ge-
speicherten Daten beeinträchtigen kann.
Für die Systemsicherheit ist es deshalb
wesentlich, Software laufend zu aktuali-
sieren.
• Implementierung & Konfiguration: Au-
ßerdem sollten Systeme korrekt imple-
mentiert und konfiguriert werden. Wer-
den unsichere Dienste ausgeführt oder
schwache Passwörter verwendet, kön-
nen diese als Schwachstellen die Sicher-
heit gefährden.
• Änderungen: Computersysteme wan-
deln sich ständig, indem beispielsweise
Upgrades durchgeführt, der Funktions-
umfang erweitert oder Fehler behoben
werden. Ohne entsprechendes Manage-
ment drohen durch diese Änderungen
Schwachstellen in der Umgebung.
Schwachstellen-
Management mit
Tenable
Ein effektives Schwach-
stellen-Management
ist eine umfassende
Aufgabe, die von den
Sicherheitsexperten
im Unternehmen ohne
Hilfe nicht bewältigt
werden kann.
(Bild: Tenable)
12 Security-Insider.de | Netzwerk-Security & -Monitoring
• Der Mensch: Wenn Mitarbeiter nicht
ausreichend im sicheren Umgang mit
der eingesetzten Technologie geschult
sind, können sie Systeme gefährden. Oft
werden Sicherheitslösungen deaktiviert,
um die Leistung des PCs zu verbessern,
oder Anwendungen aus nicht autorisier-
ten Quellen installiert.
Häufig kann als Ursache einer Sicher-
heitsverletzung eine Schwachstelle ausge-
macht werden, die auf oben genannte Pro-
bleme zurückzuführen ist, sich aber nicht
überwachen, erkennen und/oder beheben
lässt. Eine effektive Vulnerability Manage-
ment-Lösung sollte daher die Gefahren für
Systeme verringern. Sie basiert auf einem
starken Scanner und gewährleistet gekop-
pelt mit anderen Betriebssicherheitspro-
zessen ein hohes Sicherheitsniveau.
Zehn Schritte zum effektiven
Vulnerability Management
1. Bestände/Assets erkennen und
managen
Ein erster Schritt, um ein Netzwerk zu si-
chern, ist, alle Bestände des Netzwerks zu
identifizieren. Die Bestände sollten alle Ele-
mente der IT-Umgebung umfassen (Router,
Server, Drucker etc.).
Durch das Prüfen von Beziehungen und
Abhängigkeiten zwischen den Geräten ist
es möglich, festzustellen, wie ein Angrei-
fer auf ein Gerät zugreifen könnte. Für eine
konsistente Ansicht der Gefahren ist es
wichtig, alle angeschlossenen und wieder
getrennten Geräte zu erkennen und aufzu-
zeichnen. Die Geräte müssen automatisch
erkannt werden, sie per Hand zu erfassen
reicht nicht aus. Beispiele:
• Verwenden eines Network Access Con-
trol-Systems, um angeschlossene Netz-
werkgeräte zu verwalten
• Regelmäßiges Überprüfen der DNS-Ser-
verprotokolle auf Geräte, die versuchen,
über das Netzwerk zu kommunizieren
2. Schwachstellen erkennen
Die Schwachstellen der einzelnen Geräte
und ihr Gefährdungspotenzial zu kennen ist
entscheidend für die Wahl der geeigneten
Sicherheitsmaßnahmen. Der Schweregrad
von Schwachstellen wird dadurch be-
stimmt, wie leicht sie sich ausnutzen lassen
und wie hoch der erwartete Schaden ist.
Schwachstellen-
Management mit
Tenable

3. Konsistentes Vulnerability 8. Schadensminderungsmanagement

Management
Ein momentaner Gefährdungsscan bie-
tet nur begrenzten Einblick in die Sicher-
heitsrisiken. Neue Schwachstellen bleiben
unerkannt und stellen eine Gefahr für die
Systeme dar. Durch häufiges Scannen
kann ein Unternehmen neue Schwachstel-
len rasch erkennen.
4. Risiken bewerten
Nicht alle Geräte und Bestände erfor-
dern dasselbe Maß an Sicherheit. Welche
Schritte für den Schutz eines Gerätes er-
forderlich sind, hängt davon ab, welchen
Wert es für die Organisation hat und wie
exponiert es ist.
Eine effektive Vulnerability Management-
Lösung versucht Gefahren zu minimieren,
bis der Anbieter den Fehler behebt. Dazu
gehört es, die Firewall-Regeln anzupassen
oder die IDS-Angriffssignaturen zu aktua-
lisieren.
9. Vorfallsreaktion (Incident Response)
Eine rasche Reaktion auf einen sicher-
heitsrelevanten Vorfall kann dessen Aus-
wirkungen erheblich mindern. Dabei kann
es erforderlich sein, den Vulnerability
Management-Prozess einzubinden, damit
Systeme auf potenzielle Schwachstellen
gescannt und als mögliche Angriffspunkte
registriert oder ausgeschlossen werden.

5. Änderungsmanagement 10. Automatisierung

Softwareprogramme werden aufgerüstet,
Hardwarekomponenten hinzugefügt oder
entfernt und Anwendungen laufend aktu-
alisiert.
6. Patch-Management
Eine effektive Vulnerability Management-
Lösung sollte eng mit den Patch- und
Release Management-Prozessen gekoppelt
werden, um sicherzustellen, dass wichtige
Software-Updates durchgeführt werden.
Automatisierte Prozesse erhöhen die Ge-
schwindigkeit, mit der Schwachstellen
erkannt, beurteilt und behoben werden.
Zudem geht es oft darum, große Daten-
mengen und komplexe Umgebungen zu
sichern. Schließlich verringert die Auto-
matisierung auch die Gefahr menschlicher
Fehler.

7. Mobilgeräte-Management
Da sich mobile Geräte herkömmlichen
Vulnerability und Compliance Manage-
ment-Methoden entziehen, reichen die
vorhandenen Richtlinien für eine lücken-
lose Verwaltung gemischter Ownership-
und Control-Modelle (unternehmenseigene
Geräte/BYOD) nicht aus.

Vulnerability Management mit Tenable

Informationen zu Produkten und Lösungen für ein „Continuous
Network Monitoring“ finden Sie auf der Webseite von Tenable
Network Security: www.tenable.com

13 Security-Insider.de | Netzwerk-Security & -Monitoring