Sie sind auf Seite 1von 14

www.Security-Insider.

de Eine Publikation von:

Schwachstellen-Management
eBOOK

IT-Sicherheit ist nur so stark


wie ihr schwächstes Glied

Was man unter Schwachstellen versteht


Wie Schwachstellen bei Apps und in der Cloud aussehen
Schwachstellen finden, bewerten und beheben
Powered by:
Inhalt
3 Was man unter Schwachstellen
versteht
Kein Fall für den Malware-Scanner

6 Wie Schwachstellen bei Apps und


in der Cloud aussehen
Beispiele für IT-Sicherheitslücken

8 Schwachstellen finden, bewerten


und beheben
Der Zyklus im Schwachstellen-Management

12 Die Evolution des Vulnerability-


Managements
Continuous Network Monitoring

Powered by: Vogel IT-Medien GmbH Haftung: Für den Fall, dass Beiträge oder Informa­ tionen
unzutreffend oder fehlerhaft sind, haftet der Verlag nur beim
August-Wessels-Str. 27, 86156 Augsburg
Nachweis grober Fahrlässigkeit. Für Beiträge, die namentlich
Telefon +49 (0) 821/2177-0 gekennzeichnet sind, ist der jeweilige Autor verantwortlich.
E-Mail redaktion@security-insider.de Copyright: Vogel IT-Medien GmbH. Alle Rechte vorbehalten.
Web www.Security-Insider.de Nachdruck, digitale Verwendung jeder Art, Vervielfältigung nur
Tenable Network Security GmbH Geschäftsführer: Werner Nieberle mit schriftlicher Genehmigung der Redaktion.
Nachdruck und elektronische Nutzung: Wenn Sie Beiträge
Prielmayerstr. 3, 80335 München Chefredakteur: Peter Schmitz, V.i.S.d.P.,
dieses eBooks für eigene Veröffent­li­chun­gen wie Sonderdru-
Telefon +49 (0)221 8282-9194 peter.schmitz@vogel-it.de cke, Websites, sonstige elektroni­sche Medien oder Kunden-
E-Mail sales-de@tenable.com Erscheinungstermin: August 2015 zeitschriften nutzen möchten, erhalten Sie Informationen so-
Web www.tenable.com Titelbild: RichMan - Fotolia.com wie die erforderlichen Rechte über www.mycontentfactory.de,
Tel. +49 (0) 931/418-2786.

2 Security-Insider.de | Schwachstellen-Management
Kein Fall für den
Malware-Scanner

Was man unter


Schwachstellen versteht
Viele Unternehmen in Deutschland vertrauen auf einen Basisschutz,
wenn es um Informationssicherheit geht. Doch Anti-Virus und Firewall
reichen nicht, um die Schwachstellen in der IT zu finden und zu
beseitigen. Leider werden Schwachstellen aber häufig missverstanden.

Die Top-Risiken len, die Sicherheitslücken, sind es, die die


richtig verstehen Angriffe erst möglich und damit gefähr-
Schadsoftware in Form lich machen. Insofern sind es die offenen
von Trojanern und Wür- Schwachstellen zum Beispiel in den Be-
mern ist derzeit die triebssystemen, im Browser, im E-Mail-
größte Bedrohung im Client oder in einer Hardware-Firmware,
Netz, so der Digitalver- die als „größte Gefahren“ gesehen werden
band Bitkom in seinem sollten.
Bericht „Die zehn größ-
ten Gefahren im Inter- Ausrichtung der IT-Sicherheit
net“. Es folgen infizierte muss justiert werden
Websites, manipulier- 60 Prozent der Unternehmen in Deutsch-
te Smartphone-Apps, land sind der Meinung, dass sie nicht
ferngesteuerte Compu- ausreichend gegen Datendiebstahl, Wirt-
ter (Botnetze), infizierte, schaftsspionage oder Sabotageakte
manipulierte E-Mails geschützt sind. Dieses Ergebnis der
(Spam) und das Abgrei- Bitkom-­Studie „Spionage, Sabotage und
fen von Zugangsdaten Datendiebstahl – Wirtschaftsschutz im
(Phishing). Jede dieser digitalen Zeitalter“ zeigt einerseits, dass
IT-Gefahren bedarf ei- die Mehrheit der Unternehmen die eigene
ner eigenen Antwort IT-Sicherheit für verbesserungswürdig hält.
durch die IT-Sicherheit, Andererseits zeigen die Bitkom-Umfragen,
wie Anti-Viren-Scanner, dass die tatsächlich eingesetzten IT-Si-
Wenn über IT-Risiken Browserschutz, App- cherheitslösungen fast ausschließlich die
gesprochen wird, kom- Scanner, Anti-Bot-Tools, Anti-Spam-Filter als Top-Risiko kommunizierte Malware
men die Schwachstel- und Anti-Phishing-Filter, um nur einige zu im Blick haben. Alle befragten Unterneh-
len explizit oftmals gar
nennen. men haben Virenscanner, Firewalls sowie
nicht vor, sondern nur
die Bedrohungen und
So wichtig all diese IT-Sicherheitswerk- einen Passwortschutz für Computer und
Angriffe. IT-Schwach- zeuge sind, sie richten sich gegen die Be- andere Kommunikationsgeräte im Einsatz.
stellen ermöglichen drohungen, die Angriffe, und greifen nicht Doch die Identifizierung, Bewertung und
aber erst die Angriffs- an der Wurzel der IT-Gefahren an, den Behebung der Schwachstellen ist damit
formen. (Bild: Bitkom) Schwachstellen der IT. Die Schwachstel- nicht möglich.

3 Security-Insider.de | Schwachstellen-Management
Kein Fall für den
Malware-Scanner

Verständnis für Schwachstellen in dem Berechtigungskonzept einer Appli­


muss geschaffen werden kation vor, die es einfachen Benutzern
Damit die Schwachstellen der IT die not- erlaubt, Operationen auszuführen, die nur
wendige Beachtung finden, muss erst Administratoren zugänglich sein sollten.
einmal das Grundverständnis im Un- Dadurch wird es zum Beispiel für Innen-
ternehmen vorhanden sein, dass eine täter ohne weiteres möglich, höhere Sys-
Schwachstelle nicht etwa ein Trojaner oder temprivilegien zu missbrauchen und so
Computer-Virus ist, sondern vielmehr das, Schaden anzurichten.
was Schadprogramme oftmals ausnutzen.
Eine Schwachstelle ist also nicht der sinn- Das Risiko durch Schwachstellen
bildliche Einbrecher oder Dieb, sondern muss transparent werden
die Tür, die nicht richtig verschlossen wur- Wie gefährlich eine Schwachstelle letztlich
de oder die ganz einfach offensteht. für die Sicherheit der Daten und Systeme
ist, hängt davon ab, welche Angriffe und
resultierenden Schäden dadurch ermög-
licht werden. Für ein Anwenderunterneh-
men ist es nicht einfach, das Risiko durch
eine bestimmte Schwachstelle einzuschät-
zen. Dieses mangelnde Bewusstsein für
die Gefährlichkeit von Schwachstellen ist
auch ein Grund dafür, warum Unternehmen
nicht automatisch zu Lösungen greifen, die
nach Schwachstellen suchen und bei der
Beseitigung helfen, sondern sich auf die
Abwehr von Bedrohungen konzentrieren.
Es gibt aber im Internet gute Informa­
tionsdienste, die über die Gefährlichkeit
und das Auftreten neuer Schwachstellen
Die meisten Unter-
nehmen setzen auf Für das Verständnis von Schwachstellen berichten. Neben den verschiedenen IT-
Anti-­Virenschutz, ist es wichtig zu wissen, dass eine Bedro- Sicherheitsanbietern ist es insbesondere
Firewall und Passwör- hung wie zum Beispiel eine Schadsoftware das BSI (Bundesamt für Sicherheit in der
ter. Schwachstellen in erst dann zur Gefährdung wird, wenn es Informationstechnik), das wertvolle Hin-
ihrer IT jedoch bleiben
eine dazu passende Schwachstelle gibt. weise zu Schwachstellen liefert. Zum einen
so unentdeckt. Ohne
Schwachstellenbehe-
Man kann auch sagen: Das IT-Sicherheits- gibt es die sogenannte Schwachstellen-
bung sind IT und risiko ist nicht die Malware, sondern die ampel. Diese veranschaulicht die Risiken
IT-Sicherheit löchrig. Wahrscheinlichkeit, dass technische oder durch aktuell bekannt gewordene und wei-
(Bild: Bitkom) organisatorische Schwachstellen in der IT terhin offene Schwachstellen in gängigen
durch eine Bedrohung (wie zum Beispiel IT-Lösungen wie bestimmten Produkten
Malware) ausgenutzt werden können. von Adobe, Apple, Google oder Microsoft.
Die Schwachstelle kann zum Beispiel der Genutzt werden zur Warnung die bekann-
Fehler in einer Anwendungssoftware sein, ten Ampelfarben. Eine umfassende und
dass Passwörter im Klartext gespeichert individuelle Information über Schwachstel-
werden. Erst dadurch kann eine Schad- len kann die Schwachstellenampel einem
software, die auf den Speicherbereich Unternehmen aber nicht liefern, vielmehr
zugreift, tatsächlich Passwörter auslesen bietet sie einen guten, zentralen Überblick,
und stehlen. Oder aber es liegt ein Fehler was die meisten Unternehmen betrifft.

4 Security-Insider.de | Schwachstellen-Management
Kein Fall für den
Malware-Scanner

die mögliche Auswirkung sowie ein Hin-


weis, ob die Ausnutzung der Schwach-
stelle aus der Ferne, in der Regel über das
Internet möglich ist.

Schwachstellen aufspüren und


nicht nur Malware
Betrachtet man die Meldungen des WID,
so findet man dort in aller Regel eine ganze
Reihe von Schwachstellen, die mit einem
hohen oder sehr hohen Risiko verbunden
sind. Nicht nur deshalb sollten Unter-
nehmen sich umgehend damit befassen,
wie sich Schwachstellen aufspüren und
schnellstmöglich beheben oder zumindest
absichern lassen. Unternehmen benöti-
gen Lösungen für das Schwachstellen-
Täglich liefert der Warn- Manage­ ment, für die Identifizierung,
und Informationsdienst Zusätzliche Informationen über Schwach- Priorisierung und Behebung der IT-Sicher-
von CERT-Bund Infor- stellen liefert der WID, der Warn- und heitslücken. Die nächsten Kapitel geben
mationen über neue
Informationsdienst von CERT-Bund. Neben hierzu konkrete Hinweise.
Schwachstellen. Neben
der Beschreibung der Schwachstellen fin-  Oliver Schonschek
der Beschreibung der
Schwachstellen gibt det ein Anwenderunternehmen dort auch
es auch eine Klassifi- eine Klassifizierung der Schwachstellen in
zierung der Schwach- Risi­kostufen von 1 (sehr niedrig) bis 5 (sehr
stellen in Risikostufen. hoch). Genannt wird zudem die betroffene
(Bild: CERT-Bund)
Software, die relevanten Betriebssysteme,

Schwachstellen sind Fehler und keine Schadprogramme


Bei dem Verständnis, was man sich unter Schwachstellen vorstellen
kann, helfen diese Hinweise und Beispiele:
•E
 rst durch die Möglichkeit, eine vorhandene Schwachstelle aus-
zunutzen, werden Angriffsversuche über Malware, Spam, Phishing
oder auch Innentäter zur Gefährdung.
•S
 chwachstellen sind Fehler mit Auswirkungen auf die IT-Sicherheit
und können z.B. vorliegen in den IT-Konzepten, in der Entwicklung,
in der Konfiguration, dem Betrieb oder der Nutzung sowie in der
Organisation der IT.
•J
 ede Form von IT hat Schwachstellen, die perfekte, fehlerfreie IT
gibt es nicht. Deshalb ist die Suche und Beseitigung von Schwach-
stellen eine fortlaufende Aufgabe.
•B
 eispiele für Schwachstellen sind die unverschlüsselte Speiche-
rung von Passwörtern, Fehler in Berechtigungskonzepten, die
Nutzern oder Anwendungen mehr Rechte als benötigt einräumen,
aber auch Fehler im Verhalten der Anwender selbst (Basis z.B. für
Social Engineering Attacken).

5 Security-Insider.de | Schwachstellen-Management
Beispiele für
IT-Sicherheitslücken

Wie Schwachstellen bei


Apps und in der Cloud
aussehen
Viele Unternehmen haben eine gewisse Vorstellung von möglichen
Angriffen auf ihre Daten, wenn sich diese in einer Cloud oder auf
einem Smartphone befinden. Die Schwachstellen jedoch, die bei den
Angriffen ausgenutzt werden, sind deutlich weniger im Blick.

Neue Technologien sind nicht Es ist aber keineswegs so, dass Schwach-
ohne Schwachstellen stellen bei neuen Betriebssystemen oder
Nicht selten gehen Unternehmen davon Technologien nicht zu erwarten wären.
aus, dass Schwachstellen mit veralteter IT Tatsächlich sind moderne IT-Bereiche wie
zu tun haben, also zum Beispiel mit frühe- die mobilen Apps und die Cloud-Services
nicht ohne Grund im Fokus der An-
greifer:
• Die Verbreitung ist hoch und steigt
weiter, wodurch die Zahl der mög-
lichen Opfer attraktiv wird.
• Die Nutzer haben oftmals noch
nicht genug Erfahrung mit den
neuen Technologien und machen
Fehler bei der Bedienung und Ein-
stellung bzw. Nutzung von Sicher-
heits- und Datenschutz-Optionen.
• Selbst die Entwickler haben häu-
fig noch nicht genug Erfahrung in
der Programmierung möglichst si-
cherer mobiler Anwendungen und
Mit den mobilen
Sicherheitsrisiken, die ren Betriebssystem-Versionen, die schon Cloud-Apps.
Unternehmen befürch- lange nicht mehr auf dem Markt aktiv an- • Die Sicherheitsmaßnahmen sind bei neu-
ten, sind immer auch geboten werden. Tatsächlich stellen ältere en Technologien häufig noch nicht so
Schwachstellen ver- Versionen von Betriebssystemen ein Pro- ausgereift oder zumindest nicht so stark
bunden, die abgestellt
blem dar, da es ab einem gewissen Zeit- verbreitet.
werden müssen. Alleine
die Abwehr möglicher punkt keine Fehlerbehebungen (Patches) All dies führt dazu, dass bei neuen Techno-
Angriffe reicht nicht, um mehr dafür gibt. Ein bekanntes Beispiel logien sogar mit besonders vielen organi-
den Risiken zu begeg- ist Windows XP, für das der Support zum satorischen, technischen und sogar recht-
nen (Bild: IDC) 8. April 2014 eingestellt wurde. lichen Schwachstellen zu rechnen ist.

6 Security-Insider.de | Schwachstellen-Management
Beispiele für
IT-Sicherheitslücken

Cloud-Bedenken und die Sowohl Anbieter als auch Anwender sind


zugehörigen Schwachstellen deshalb gefordert, die Nutzung von Clouds,
Wenn sich also Cloud-Nutzer zum Bei- mobilen Apps und generell IT-Systemen
spiel vor der Ausspähung ihrer sensiblen sicherer zu machen, indem Schwachstel-
Daten und vor Datenverlust in der Cloud len gezielt gesucht und behoben werden.
fürchten, stecken letztlich Schwachstellen Unterstützung bieten hierbei Lösungen für
dahinter, wie die fehlende Verschlüsselung das Schwachstellen-Management, was im
von Cloud-Daten, die mangelnde Protokol- nächsten Kapitel näher betrachtet wird.
lierung und Zugriffskontrolle, aber auch zu  Oliver Schonschek
schwache Mechanismen bei der Zugangs-
kontrolle, die durch massenhaftes Auspro-
bieren von Passwörtern überrannt werden
können, oder unsichere Schnittstellen hin
zur Cloud, die von Unbefugten angezapft
werden könnten.

Die Bedenken der


Unternehmen bei Cloud
Mobile Schwachstellen verhindern,
Computing sollten als nicht nur mobile Attacken
Impuls verstanden
Ähnlich verhält es sich auch bei mobilen
werden, die entspre-
chenden Schwach- Apps: Diese sind oftmals mit massiven
stellen zu schließen. Schwachstellen versehen, wie der unsi-
Cloud-Sicherheit setzt cheren Speicherung von Passwörtern, der
die Suche und komplett fehlenden Zugangskontrolle trotz
Beseitigung von Cloud-
sensibler Datenverarbeitung, der leichtfer-
Schwachstellen voraus
(Bild: Bitkom) tigen Vergabe von App-Berechtigungen
und der unverschlüsselten Übertragung
zwischen den Apps und einer Cloud.

7 Security-Insider.de | Schwachstellen-Management
Der Zyklus im
Schwachstellen-
Management

Schwachstellen finden,
bewerten und beheben
Die steigende Zahl erfolgreicher IT-Angriffe zeigt, dass
viele Schwachstellen unentdeckt und offen bleiben. Ein
umfassendes Schwachstellen-Management sorgt dafür, dass
Sicherheitslücken schnellstmöglich geschlossen werden und
so den Attacken die Basis genommen wird.

Viele Schwachstellen werden


nicht behoben
Die meisten Statistiken zur IT-Sicherheit
berichten von der zunehmenden Zahl
an Malware, Spam-Mails oder Phishing-
Attacken. Ob diese Bedrohungen aber er-
folgreich sind, hängt nicht alleine von der
Zahl der Attacken ab, sondern von den un-
entdeckten und offenen Schwachstellen in
der IT der Unternehmen. Betrachtet man
die Zahl der erfolgreichen Angriffe, wird
sehr deutlich, dass es in vielen Unterneh-
men nicht gut um die Suche, Bewertung
und Behebung von Sicherheitslücken steht.
Bitkom berichtet zum Beispiel, dass 51%
aller Unternehmen in Deutschland in den
vergangenen zwei Jahren Opfer von digi-
taler Wirtschaftsspionage, Sabotage oder
Datendiebstahl geworden sind. Daraus
kann man schließen, dass mindestens bei
diesen Unternehmen Schwachstellen in
der IT vorlagen, die erfolgreich ausgenutzt
wurden. Welcher Art diese Schwachstellen
waren, zeigen die Angriffsmethoden, die
zum kriminellen Erfolg führten:
•In 28 Prozent der befragten Unterneh-
men sind in den letzten zwei Jahren zum
Beispiel Computer, Smartphones oder
Die erfolgreichen Angriffe auf Unternehmen in Deutschland machen deut- Tablets gestohlen worden. Dies deutet
lich, dass Schwachstellen in der IT offen bleiben und ein Schwachstellen- auf organisatorische Mängel und fehlen-
Management häufig noch Fehlanzeige ist. (Bild: Bitkom) den Diebstahlschutz hin.

8 Security-Insider.de | Schwachstellen-Management
Der Zyklus im
Schwachstellen-
Management

• Fast ein Fünftel (19 Prozent) der re- ausbauen, gehört grundsätzlich auch ein
gistrierten Fälle liegt im Bereich Social Schwachstellen-Management dazu. IT-
Engineering. Hier gibt es also Schwach- Risi­ken lassen sich dadurch mindern, dass
stellen in der Sensibilisierung der Nutzer. Angriffe erkannt und abgewehrt werden,
• 17 Prozent der befragten Unternehmen aber gleichzeitig auch Schwachstellen ge-
berichten vom Diebstahl sensibler elek- sucht und behoben werden.
tronischer Dokumente bzw. Daten und Schwachstellen-Management sollte also
16 Prozent von Sabotage ihrer IT-Syste- nicht nur als Teil der Informationssicher-
heit, sondern auch als integraler Bestand-
teil des Risiko-Managements verstanden
werden. Deshalb sollte es nicht verwun-
dern, dass das Schwachstellen-Manage-
ment nach einem Verfahren erfolgt, wie es
aus dem Risiko-Management bekannt ist.

Schwachstellen-Management
Schritt für Schritt
1. Schwachstellendefinition
Damit Schwachstellen möglichst umfas-
send und schnell erkannt und beseitigt
werden können, muss zuerst geklärt sein,
welcher Art die Schwachstellen sein kön-
nen. Dazu müssen Unternehmen wissen,
wie ihre IT- und Datenlandschaft aussieht.
Sie müssen aber auch wissen, welche
Schwachstellen mit der vorhandenen IT
verbunden sein können.
Entsprechende Informationen über mögli-
che Schwachstellen bieten verschiedene
IT-Sicherheitsanbieter, die Supportseiten
Hinter den erfolgreichen
Angriffen verbergen me oder Betriebsabläufe; das sind Zei- der jeweiligen Hersteller, die zuvor er-
sich auch immer spe- chen für technische Schwachstellen zum wähnten Informationsdienste des BSI und
zielle Schwachstellen: Beispiel bei der sicheren Speicherung Projekte wie OWASP (Open Web Applica-
beispielsweise bei der von Daten. tion Security Project), wo Top-Ten-Listen
sicheren Speicherung
•
Bei acht Prozent der Unternehmen ist für den Bereich Webanwendungen oder
von Daten (17% Daten­
die elektronische Kommunikation ausge- Mobile zeigen, welche Risiken besonders
diebstahl) oder der
sicheren Datenübertra- späht worden, was nur möglich war, weil hoch und welche Schwachstellen beson-
gung (8% Abhören der es Schwachstellen in der Datenübertra- ders häufig vorkommen.
elektronischen Kommu- gung gab.
nikation). (Bild: Bitkom) 2. Schwachstellensuche
Risiko-Management bedeutet Für die Suche nach Schwachstellen bie-
immer auch Schwachstellen- ten sich die sogenannten Schwachstellen-
Management Scanner an. Diese Scanner suchen letzt-
Wenn Unternehmen auf die steigende Ge- lich nach Signaturen von Schwachstellen,
fahr für ihre IT und Daten reagieren, indem also zum Beispiel einem fehlerhaften Pro-
sie ihr betriebliches Risiko-Management grammcode, der zu einer Sicherheitslücke

9 Security-Insider.de | Schwachstellen-Management
Der Zyklus im
Schwachstellen-
Management

führt, nach kritischen Konfigurationsein- bedarf aufzeigen zu können. Bei der


stellungen oder einer falsch zugeordneten Bewertung des Risikos der entdeckten
Berechtigung. Schwachstellen helfen unter anderem die
Was genau zu dem Suchumfang des jewei- zuvor genannten Listen von OWASP, die
ligen Schwachstellen-Scanners gehört, gilt von vielen Schwachstellen-Scannern be-
es von dem Anwenderunternehmen jeweils rücksichtigt werden, Hinweise der Anbieter
zu prüfen, denn nicht alle Schwachstellen- der betroffenen IT-Systeme, aktuelle Be-
Scanner betrachten wirklich das breite richte von IT-Sicherheitsinstituten und die
Spektrum möglicher Schwachstellen, son- Warnmeldungen von CERT-Bund. Zusätz-
lich gibt es Klassifizierungssysteme
für Schwachstellen wie Common
Weakness Scoring System (CWSS)
oder Common Vulnerability Scoring
System (CVSS).
Viele Anwenderunternehmen wer-
den jedoch eine Unterstützung
durch ein professionelles Schwach-
stellen-Management-System benö-
tigen, das die Schwachstellen nicht
nur sucht, sondern auch selbst be-
wertet, oftmals unter Berücksichti-
gung der zuvor genannten Daten-
quellen.
Die OWASP Top-Ten-
Listen für die Bereiche dern sie suchen zum Beispiel nur nach 4. Schwachstellenbehebung
Webanwendungen (im Schwachstellen in Webanwendungen. Die Beseitigung von Schwachstellen er-
Bild) und Mobile zeigen, Die bekannten Microsoft Windows Server fordert zumindest im technischen Bereich
welche Risiken beson-
Update Services (WSUS) zum Beispiel die Mitwirkung Dritter. Während organisa-
ders hoch und welche
Schwachstellen beson- bieten die Bereitstellung der neuesten torische Schwachstellen oftmals intern ge-
ders häufig vorkommen. Microsoft-Softwareupdates auf Compu- löst werden können, bedürfen technische
(Bild: OWASP) tern mit Windows-Betriebssystemen. Die Schwachstellen einer Fehlerbehebung
Schwachstellen von Drittlösungen sind da- (Patches) durch den Anbieter der betrof-
mit also nicht automatisch gelöst. fenen IT-Lösung. Diese Patches müssen
Wichtig ist es zudem, dass die Schwach- zeitnah vom Anbieter bereitgestellt wer-
stellensuche kein einmaliger Vorgang ist, den, allerdings müssen sie vom Anwen-
sondern regelmäßig erfolgen muss, wie es derunternehmen auch umgehend installiert
zum Beispiel bei einem Malware-Scanner werden. Leider wissen viele Unternehmen
auch der Fall ist. Deshalb brauchen auch nichts von dem Vorhandensein eines neu-
Schwachstellen-Scanner fortwährend en Patches oder sie spielen die Patches zu
Aktualisierungen, darunter Updates der spät ein.
Schwachstellen-Signaturen. Gute Lösungen im Bereich Schwachstel-
len-Management helfen deshalb nicht
3. Schwachstellenbewertung nur bei der Suche und Bewertung der
Die gefundenen Schwachstellen müssen Schwachstellen, sondern sie prüfen auch
bewertet werden, um die Behebung zu das Vorliegen der notwendigen Patches,
priorisieren und den aktuellen Handlungs­ sie kennen die Quellen für die Aktualisie-

10 Security-Insider.de | Schwachstellen-Management
Der Zyklus im
Schwachstellen-
Management

rungen und unterstützen die Administrato- problemen, wie sie für kritische Infra-
ren oder Anwender bei der Installation der strukturen durch das IT-Sicherheitsgesetz
Schwachstellenbehebungen. gefordert werden, durchaus kritisch. Ein
umfassendes Schwachstellen-Manage-
5. Schwachstellenberichte ment jedoch sollte von jedem Unterneh-
Für die IT-Administratoren, die IT-Leitung men nur begrüßt werden.
und das restliche Management werden  Oliver Schonschek
Berichte benötigt, die die entdeckten
Schwachstellen, deren Risikoeinstufung
sowie den Status ihrer Behebung aufzei-
gen. Gute Lösungen im Bereich Schwach-
stellen-Management bieten entsprechen-
de Berichtsfunktionen und die Möglichkeit
zur Individualisierung des Reportings.
Wichtig ist in jedem Fall, dass die Berich-
te auch zugestellt werden, damit entspre-
chende Reaktionen seitens der Empfän-
ger möglich sind. Ebenso wichtig ist aber
auch, dass die Schwachstellenberichte
immer nur mit entsprechender Sicherheit
gespeichert und übertragen werden. Der
Inhalt der Berichte über Schwachstellen
ist hochsensibel, so dass es zwingend ver-
mieden werden muss, dass er in falsche
Hände gerät.
Viele Unternehmen und Verbände sehen
deshalb Meldepflichten zu IT-Sicherheits-

Schwachstellen-Management als elementaren Prozess begreifen


Unternehmen sollten das Schwachstellen-Management als ge-
schäftsrelevanten Prozess sehen, der zu der Risikominderung in
der IT gehört.
Als Hauptschritte seien genannt:
• Inventarisierung der IT-Systeme, -Verfahren, -Abläufe und
-Organisation
•V  erwendung der Auto-Update-Funktionen bei IT-Systemen,
sofern verfügbar
•Z  usammenstellung der Datenquellen für Patches
• Abonnement von Schwachstellen-Warnungen
• Priorisierung verfügbarer Patches
• Download und Verteilung der Patches
• Erfolgskontrolle der Aktualisierung/Fehlerbehebung
•R  egelmäßige, automatische Wiederholung der zuvor genannten
Schritte
Professionelle Schwachstellen-Scanner und -Management-Tools
übernehmen diese Schritte weitestgehend.

11 Security-Insider.de | Schwachstellen-Management
Continuous
Network Monitoring

Die Evolution des


Vulnerability-Managements
Jede Woche treten neue IT-Sicherheitsbedrohungen auf. Als Beispiele
der letzten Zeit können hier Heartbleed, Shellshock und Ghost
genannt werden, oder auch Angriffe, die speziell auf industrielle
Steuerungssysteme abzielen. Die Attacken werden immer raffinierter,
was regelmäßiges Patching der Systeme gegen neu bekannt werdende
Schwachstellen nötig macht.

Immer mehr Unternehmen


verlieren den Überblick über
ihre Netze und sind nicht in der
Lage zu bestimmen, was sich
darin befindet und was dort
vorgeht. Die Behebung dieses
Problems wird zusätzlich er-
schwert, weil die Anforderun-
gen an die Netzwerkbetreiber
durch aktuelle Entwicklungen
immer komplexer werden und
Netzwerke sich kontinuierlich
wandeln.

Steigende Komplexität in
den Netzwerken
Als erste Ursache für den Zu-
Das Vulnerability
Management muss sich Es ist allerdings erschreckend, dass wachs an Komplexität wäre Big Data zu
vom reaktiven Ansatz selbst alte, lange bekannte und behobene nennen, also das Sammeln und Auswerten
abkehren und sich zu Vulnerabilities immer noch erfolgreich ge- großer Datenmengen, das mittlerweile be-
einem proaktiven nutzt werden, um Systeme zu übernehmen. reits bei mittelständischen Unternehmen
System entwickeln.
Dies belegt auch der kürzlich erschienene betrieben wird.
Verizon Data Breach Report. Aber warum Darüber hinaus ist Mobility und BYOD na-
wissen Unternehmen nichts von diesen al- türlich immer noch ein großes Thema in der
ten Schwachstellen in ihren Netzwerken? Unternehmens-IT, da Daten mehr denn je
Warum sind diese nicht gepatcht oder wa- „in Bewegung“ sind. Die Schätze der Un-
rum sind Patches nicht aktiv? Die Zahl der ternehmen – die Daten – können unter-
Firmen, die aus der irrtümlichen Annah- wegs sein und das wird auch so bleiben.
me, geschützt zu sein, zum Opfer wurden, Eine weitere Ursache für die steigende
ist enorm. Komplexität in den Netzwerken ist Cloud

12 Security-Insider.de | Schwachstellen-Management
Continuous
Network Monitoring

Computing, das in Deutschland erst zöger- nur teilautomatisiert und deshalb beson-
lich angenommen wurde, aber aufgrund ders zeitaufwendig und kostspielig.
seiner Vorteile für die Verwaltung auch hier
immer stärke Verbreitung findet. Genau Vulnerability Management mit konti-
wie beim Thema Mobility befinden sich nuierlichem Monitoring
Daten dabei außerhalb des Unternehmens Eine Abhilfe schaffte das aktuelle Vulne-
und sind somit potentielle Angriffsziele. rability Management mit durchgängigem
Auch Compliance hat in Deutschland stär- Monitoring der Netzwerke. Dieses soge-
ker an Bedeutung gewonnen. Immer mehr nannte automatisierte Continuous Monito-
Regularien dringen in den Unternehmen- ring hebt den Sicherheitsstandard wesent-
salltag ein und immer mehr Unternehmen lich an, da die Netzwerkbetreiber durch
wollen ihre Umgebungen nach Security den durchgängigen Einblick auf aktuelle
Best Practices betreiben. Neben Vorgaben Bedrohungen sofort reagieren können. Mit
wie SOX, HIPPA, PCI usw. müssen natür- durchgängigen Analysen können sie zu-
lich auch verschiedene Branchenstandards dem Bedrohungen und Risiken miteinan-
eingehalten werden, was weitere Anforde- der kombiniert im Auge behalten und die
rungen an die Netzwerkbetreiber stellt. Arbeit priorisieren, um sich stets auf die
Außerdem nimmt die Zahl der Sicherheits- aktuell dringlichsten Aufgaben konzentrie-
lösungen wie Next Generation Firewalls, ren zu können. Dies ist erheblich effizienter,
Intrusion Detection/Intrusion Prevention- bietet aber ein viel höheres Maß an Genau-
oder Antiviren-Lösungen im Netz konstant igkeit und Sicherheit.
zu. All diese Produkte werden häufig nicht
auf korrekte Konfigurationen hin überprüft, Vulnerability Management als
was oft zur Folge hat, dass sie nicht den proaktives System
erhofften Schutz bieten. Aber wohin wird sich Vulnerability Ma-
nagement künftig hinbewegen? Die nächs-
Klassisches Vulnerability Scanning te logische Weiterentwicklung ist es, nach
stößt an seine Grenzen Durchführung des oben besprochenen
Was oft fehlt ist eine Lösung, um diese Ansatzes eine Sicherheits-Baseline zu de-
immer komplexeren Netzwerke effektiv zu finieren und daraus eine Policy zu entwer-
untersuchen, damit Schwachstellen gefun- fen. Die Einhaltung dieser Policy ist dann
den werden können, und um zu bestim- kontinuierlich zu prüfen. Bei einem Vorfall,
men, wie diese zu beheben sind. Hier setz- einer möglichen Attacke oder einer durch-
te das klassische Vulnerability Scanning zuführenden Maßnahme, müssen dann
an, das aber mittlerweile an seine Grenzen alle Zuständigen automatisch informiert
stößt. Dabei scannen Unternehmen ihre werden.
Netze und werten die Ergebnisse aus, da- Um die aktuellen, immer komplexer wer-
mit sie erkennen können, welche Systeme denden Netze effektiv schützen zu kön-
wo Schwachstellen aufweisen, um diese nen, muss sich das Vulnerability Manage-
dann beheben zu können. ment also vom reaktiven Ansatz abkehren,
Allerdings finden diese Scans nur unregel- der nur die Systeme überprüft, und sich
mäßig oder zu selten statt, was eine der zu einem proaktiven System entwickeln,
größten Schwachpunkte dieser traditionel- das den Sicherheitsstatus kontinuierlich
len Herangehensweise ist. Schließlich wird bewertet und bei Vorfällen umgehend ent-
dabei nur eine jeweilige Momentaufnahme sprechende Vorschläge zur Steigerung der
bewertet. Derartige Scans sind zudem oft Sicherheit unterbreitet.

13 Security-Insider.de | Schwachstellen-Management
Continuous
Network Monitoring

Bei diesen Assessments sind fünf ent- zen. Um gegen aktuelle, aber auch künf-
scheidende Komponenten zu beachten: tige Bedrohungen gewappnet zu sein, ist
• Netzwerkbetreiber können nur das schüt- es vielmehr nötig die Netzwerke kontinu-
zen, was sie kennen. Deshalb müssen ierlich zu scannen und zu analysieren. Als
alle Devices im Netzwerk bekannt sein, nächster Schritt gilt es, geeignete Sicher-
welche davon online sind, welche sich heits-Policies zu erstellen und im Falle ei-
im Netzwerk befinden und was darauf in­ ner Verletzung dieser Richtlinien proaktiv
stalliert ist. Vorschläge zu erhalten, wie diese behoben
• Im zweiten Punkt ist sicherzustellen, dass werden können. Nur so können Unterneh-
diese Systeme im Netzwerk sicher und men die Cyberbedrohungen bei ständig
auch dementsprechend konfiguriert sind. wachsender Komplexität in den Netzen
• Der nächste Schritt ist es zu prüfen, ob auch künftig bekämpfen.
der Netzwerkzugang geschützt ist. Wer-
den sichere Protokolle verwendet? Gibt
es Schwachstellen in den Protokollen?
• Punkt Nummer vier ist der User Access.
Hat der Anwender wirklich Berechtigun-
gen auf den für ihn geeigneten Systemen
oder sind User angemeldet, die eigent-
lich keine Berechtigung haben dürften?
Versucht ein User in irgendeiner Form
Privilegien zu eskalieren?
• Der letzte Baustein der Assessments,
ist die Erkennung von potentiellen Be-
drohungen wie Advanced Persistent
Threats, von Botnetzen oder Malware.
Dies kann mit Hilfe von Intrusion Preven-
tion-Systemen oder Logfiles geschehen,
die darauf schließen lassen, dass ein
Angriff erfolgt oder bereits Information
abfließt.
Vulnerability Management hat zahlreiche
Entwicklungen durchlebt, die dem ständi-
gen Wandel in den Netzwerken geschuldet
sind. Mit der steigenden Komplexität der
Netze wachsen aber auch die Ansprüche.
Deshalb genügt alleiniges Scannen nach
Schwachstellen schon längst nicht mehr,
um Unternehmensumgebungen zu schüt-

Vulnerability Management der Zukunft


Informationen zu Produkten und Lösungen für ein „Continuous
Network Monitoring“ finden Sie auf der Webseite von Tenable
Network Security: www.tenable.com

14 Security-Insider.de | Schwachstellen-Management

Das könnte Ihnen auch gefallen