Sicherheit ist nicht gleich Sicherheit – warum es mehr braucht als Virenscanner, Firewalls und Systemupdates

Die täglichen Meldungen über „erfolgreiche“ Cyberattacken mag manche - die für die IT Sicherheit verantwortlich sind – beinahe zu dem Eindruck führen, sich der Situation ausgeliefert zu fühlen. Denn die wachsende Anzahl solcher Attacken sowie das stetig steigende Wissen der Kriminellen und immer raffiniertere Vorgehensweisen verstärkt zusätzlich das Gefühl der Ohnmacht gegenüber digitalen Angriffen. „Man kann ja sowie nichts ändern, irgendwann trifft es jeden!“ – so ist es nun wirklich nicht und auch die Gesetzgebung zwingt aus gutem Grund zu einem anderen Ansatz.

Dabei sind IT-Abteilungen gar nicht so ohnmächtig und ohne Handlungsspielraum. Sorgfältig und auf unterschiedlichen Ebenen durchgeführte Maßnahmen erhöhen die Hürden für Angriffe – und je höher diese Hürden sind, desto höher der Aufwand, mit dem eine Cyberattacke gefahren werden muss. Da aber auch Kriminelle daran interessiert sind, ihre Gewinne mit minimalem Aufwand zu erzielen, sinkt nicht nur aus technischer Sicht die Wahrscheinlichkeit zum Opfer zu werden. Allein schon der höhere Aufwand, um erfolgreich ans Ziel zu kommen, kann abschreckend wirken kann.

Natürlich sind Unternehmen heute mit Firewall, Virenscannern und ähnlichen Lösungen ausgestattet. Doch wie sieht es in den Unternehmen mit dem Schwachstellen-Management aus? Hier gibt es sicherlich noch Nachholbedarf.
Zunächst müssen sich die IT-Verantwortlichen mit einigen Fragen auseinandersetzen:

• Welche Sicherheitslücken gibt es gegenwärtig?
• Nutzen wir als Unternehmen überhaupt die dadurch betroffene Software?
• Und falls ja, in der von dieser speziellen Sicherheitslücke betroffenen Version?
• Wo in meinem Unternehmen kommt diese Software zum Einsatz?

Hinzukommen außerdem noch potenzielle Sicherheitslücken, die nicht per se in der Software begründet liegen, sondern die aufgrund versehentlicher falscher Konfigurationen entstanden sind. Diese zu finden gestaltet sich allerdings etwas schwieriger. Es ist folglich nicht einfach, alle potenziellen Schwachstellen im Blick zu behalten – manuell und ohne passende Werkzeuge erscheint dies fast aussichtslos.

Genau diese Herausforderungen adressieren wir mit dem baramundi Vulnerability Scanner. Dabei handelt es sich um eine Lösung, die auf Basis der CVE – der sogenannten „Common Vulnerabilities and Exposures“ (Erklärung siehe Kasten) automatisch die IT-Umgebungen inklusive der Clients, auch derjenigen Systeme, die im Homeoffice genutzt werden, zuverlässig auf Schwachstellen untersuchen kann. Dies ist von besonderer Bedeutung, da eine CVE Schwachstellen aufzeigt, sobald sie entdeckt und dokumentiert ist. Somit zeigt das Schwachstellenmanagement u. a. auch Schwachstellen auf, für die noch kein Patch verfügbar ist. Es ist also kein Ersatz für ein Patch- und Update Management, sondern eine wichtige Ergänzung.

Die Voraussetzung für einen sinnvollen Einsatz dieses Scanners ist eine gut funktionierende Unified Endpoint Management (UEM)-Lösung, mit deren Hilfe sämtliche Endpoints des Unternehmens regelmäßig überprüft und inventarisiert werden. Wie eine dafür sinnvolle Vorgehensweise aussieht, was zu beachten ist und zudem ein wenig Hintergrundwissen findet sich beispielsweise hier bei uns Blog. Daher möchte ich an dieser Stelle nur ganz am Rande darauf eingehen.

Die Inventarisierung mittels der UEM-Lösung sollte regelmäßig und sorgfältig durchgeführt werden. Schließlich kann schon ein einziges nicht oder nur unvollständig erfasstes System das perfekte Einfallstor für Angriffe bilden. 

Der Scan erfolgt dabei über maschinenlesebare Policies, die anschließend von den Algorithmen des Vulnerability-Scanners auf jedem Gerät regelmäßig angewendet werden. Über die Auswertung dieser Algorithmen können die Teams dann den genauen Gefährdungsgrad ihrer Umgebung bis auf jedes einzelne Endgerät genau ermitteln. Dazu gehören nicht nur klassische IT-Systeme, sondern auch Lösungen und Geräte aus der Produktion.

Dabei erkennt der Scanner auch eine Vielzahl potenziell gefährlicher Konfigurationen. Dies ist deshalb von Bedeutung, da zwar die Softwarehersteller durch immer bessere Qualitätschecks die Sicherheit ihrer Lösungen im Vergleich zur Vergangenheit deutlich gesteigert haben, falsche oder nachlässige vorgenommene Konfigurationen jedoch diese Fortschritte vollkommen zunichtemachen können.

Im Rahmen seiner Security-Analysen schert der Scanner dabei nicht einfach alle zu untersuchenden Systeme über einen Kamm, sondern die IT-Teams können auch Ausnahmen definieren und dokumentieren. Wichtig ist dabei, dass die Lösung die IT-Teams dabei unterstützt, solche Ausnahmen nicht aus den Augen zu verlieren, um nicht bei aller Sorgfalt genau diese beabsichtigen Ausnahmen am Ende zu übersehen.

Natürlich darf der Prozess nicht bei der Erkennung potenzieller Gefährdungen enden, sondern die IT-Teams und die SecOps sollten sich umgehend um ihre Behebung kümmern. An dieser Stelle unterstützt unsere UEM-Lösung bei der kontrollierten Verteilung von geplanten und ungeplanten Updates sowie Hot-Fixes für meist kritische Schwachstellen und sorgt auf diese Weise für zusätzliche Sicherheit im Unternehmen.

Darüber hinaus lassen sich auch die vom Scanner als „potenziell gefährlich“ gefundenen Konfigurationen der Systeme analysieren und – wann immer notwendig – von den IT-Profis in sichere Einstellungen umwandeln.

Bei den Common Vulnerabilities and Exposures (CVE) handelt es sich um eine Sammlung von Sicherheitslücken und Schwachstellen in Computersystemen. Diese Liste ist standardisiert und arbeitet mit einer eindeutigen Nomenklatura, sodass jede Lücke, jedes Risiko und jede Schwachstelle eindeutig zugeordnet werden kann. Damit sorgen die Hersteller zum einen für mehr Transparenz, zum anderen unterstützt diese Sammlung aber auch die Zusammenarbeit der Unternehmen.

Die Einträge aus dem CVE kommen beispielsweise bei Intrusion-Prevention- und Intrusion-Detection-Systemen zum Einsatz. Aber auch Datenbanken oder Webseiten können mit CVE kompatibel sein. Das bedeutet, dass die IDs der CVE-Einträge gemäß den Vorgaben verwendet werden müssen, damit sie sich mit weiteren Informationen verknüpfen lassen. So ist sichergestellt, dass sich die kompatiblen Services und Anwendungen untereinander austauschen können.

Um das Verzeichnis – mit mittlerweile weit mehr als 45.000 Einträgen und weiter anwachsend –kümmert sich das CVE Editorial Board, das sich aus Mitgliedern unterschiedlicher Sicherheitsorganisationen, Herstellern, unabhängigen Cybersecurity-Fachleuten und akademischen Einrichtungen zusammensetzt.