Was haben Ostereier und Schwachstellen gemeinsam?
Bevor wir diese Frage beantworten, sollten wir erst einmal folgenden Punkte klären: Was sind Schwachstellen im Kontext von IT und OT? Und wie gehen wir mit Schwachstellen um? Denn dann liegt die Antwort zur einleitenden Frage direkt auf der Hand. Eins wird klar: Schwachstellenmanagement ist essenziell für jede Organisation.
Kurz & knapp
- Die Bedrohungslage für IT-Systeme durch Schwachstellen wächst spürbar.
- Schwachstellenmanagement ist ein ganzheitlicher zyklischer Prozess, der die IT-Sicherheit eines Unternehmens kontinuierlich steigert.
- Die einzelnen Schritte sind: Schwachstellen identifizieren, qualifizieren, beheben und berichten.
Was sind Schwachstellen?
Schwachstellen oder Sicherheitslücken in der IT und OT sind Fehler in Hard- oder Software, durch die ein Programm oder ein Angreifer in ein System eindringen und Schaden anrichten kann. Dabei lassen sich Schwachstellen grob in zwei Kategorien einteilen: solche, die bereits der Öffentlichkeit bekannt und dokumentiert sind, sowie solche, die erst am Tag des Angriffs bekannt werden, sogenannte Zero-Day-Exploits.
Bedrohungsfälle nehmen zu
Laut dem BSI-Lagebericht 2022 wächst die
Bedrohungslage auf IT-Systeme. Im Jahr 2021 wurden 20.174 Schwachstellen entdeckt. Das ist ein Zuwachs gegenüber dem Vorjahr um 10 Prozent. Von den gefundenen Schwachstellen werden
13 Prozent als kritisch eingestuft. Das bedeutet, dass sie besonders einfach von Angreifern ausgenutzt werden und dementsprechend großen Schaden verursachen.
Schwachstellenmanagement ist als Prozess und wiederkehrender Zyklus zu verstehen. Er gliedert sich idealerweise in ein ganzheitliches Sicherheitskonzept der Organisation
ein. Dabei unterstützt ein Schwachstellenmanagement – zum Beispiel mithilfe einer Unified Endpoint Management Lösung (UEM) – dabei, die
Sicherheitslücken zu identifizieren, qualifizieren und beheben. Letztlich entsteht so ein Überblick über den Ist-Zustand, aus dem sich weitere Maßnahmen
ableiten lassen. Darunter fallen beispielweise Awareness Kampagnen, um das Bewusstsein der Mitarbeiter für Angriffspunkte zu schärfen und den richtigen Umgang mit zu vermitteln.
Vom Identifizieren bis zur Dokumentation
Die Erkennungsphase ist das Fundament jedes Schwachstellenmanagement und identifiziert offene Sicherheitslücken auf den IT-Systemen in der Organisation. Dabei werden unter anderem Dienste, Software, Konfigurationen, und offene Ports und diverse IT-Systeme überprüft. Eine Besonderheit in produzierenden Organisationen: Dieser Scan-Vorgang darf die Produktion weder stören noch unterbrechen. Hierbei sind die richtige Technologie und eine fachgemäße Konfiguration ausschlaggebend.
Bewerten – über den CVSS-Score hinaus
Nach der Erkennungsphase gilt es die gefundenen Schwachstellen zu bewerten und priorisieren. Hierfür bieten gute UEM-Lösungen bereits Datenbanken mit einer Risikobewertung wie dem CVSS-Score (Common Vulnerability Scoring System) an. Dieser reicht jedoch nicht aus, denn individuelle Kriterien kommen hinzu: Wie alt ist die Schwachstelle? Kann diese immer noch aktiv ausgenutzt werden? Ist das Ergebnis dieser Schwachstelle eventuell ein False Positive?
Vulnerable Stellen schrittweise beheben
Nach der Analyse sollten Schwachstellen mit hohem Risiko möglichst umgehend behoben werden. Dabei gibt es kein allgemeingültiges Rezept, da Schwachstellen variabel und
vielfältig auf diversen Systemen auftauchen. Der erste und naheliegendste Schritt ist, Patches zu nutzen, vorausgesetzt, ein Patch existiert. Im besten Fall sind Patches bereits
validiert und verursachen keine Nebenwirkungen auf dem System. Liegt kein Patch vor, gibt es andere Maßnahmen, um potenzielle Angriffe zu begrenzen.
Es ist möglich, Fernwartungszugänge aus dem Internet zu kappen oder Systeme in separaten Netzwerken abzuschotten. Bei geringem oder nicht vorhandenem Risiko müssen
Sicherheitslücken nicht zwingend beseitigt werden. Hierbei funktioniert eine einfache Rechnung: Auf der einen Seite stehen die Kosten, die dabei entstehen, eine risikoarme Schwachstelle zu
beseitigen. Auf der anderen Seite stehen die verursachten Kosten, falls diese Sicherheitslücke ausgenutzt würde.
Dokumentation per Dashboards und Reportings
Zu guter Letzt ist es entscheidend, alle Schwachstellen zu dokumentieren. Hier helfen Dashboards und Berichte, um die aktuelle Gefährdungslage darzustellen. Das hilft der Organisation zum einen, den Fortschritt zu dokumentieren, der sich im fortlaufenden Prozess ergibt. Zum anderen lassen sich offene Schwachstellen kontinuierlich besser überwachen. Denn um Angreifern immer einen Schritt voraus zu sein, ist ein Schwachstellenmanagement als fortlaufender und immer wiederkehrender Prozess essenziell, der Schwachstellen darstellt und behebt.
Patchmanagement als integraler Bestandteil
Als kleiner Exkurs: Wie grenzen sich Schwachstellenmanagement und Patch-Management voneinander ab? Beide gehen Hand in Hand, sind Bestandteil einer soliden IT-Sicherheitsstrategie und sollten nicht ohne einander existieren. Anders gesagt: Schwachstellenmanagement ist ein Prozess. Patch-Management ist darin ein integraler Bestandteil, um identifizierte Sicherheitslücken zu beheben, falls vom Hersteller bereits ein Patch zur Schließung der Sicherheitslücke existiert. Patch-Management bietet zudem eine komfortable Lösung, bekannte Sicherheitslücken automatisch zu schließen und die Ressourcen in der IT zu entlasten.
Und was haben Ostereier und Schwachstellen nun gemeinsam?
Kommen wir zurück zur Frage vom Anfang: Fakt ist, Schwachstellenmanagement bietet für jede Organisation einen Mehrwert. Es reduziert Angriffsflächen für potenzielle Angreifer und
steigert die Sicherheit. Hinzu kommt, dass die Einrichtung und der Betrieb eines Schwachstellenmanagements erforderlich sind, um Zertifizierungen wie beispielsweise ISO 27001 oder
TISAX zu erhalten. Cyberversicherungen stufen Schwachstellenmanagement als essenziell ein, um Versicherbarkeit zu gewährleisten.
Doch was haben nun unsere Ostereier mit Schwachstellen gemeinsam? Sie müssen gefunden werden! baramundi unterstützt diesen Prozess in der Office-IT und Produktions-IT und
bietet mit der baramundi Management Suite eine ganzheitliche Lösung in beiden Bereichen.
Automatisiertes Schwachstellenmanagement
Ob fehlende Patches oder anfällige Software: In unserem kostenlosten Whitepaper, erhalten Sie weiterführende Infos zum produktiven Umgang mit IT-Sicherheitslücken.