Eine Vulnerability, oder auch Schwachstelle, ist definiert als eine Schwäche in einem System, die durch einen Angreifer ausgenutzt werden kann. Eine Schwachstelle ist also ein Fehler, eine Lücke im Prozess, dem Design, der Implementierung oder den internen Kontrollen, die zu einem Security Incident führen kann.
Wie entstehen Schwachstellen?
Die häufigste Ursache für Schwachstellen sind Fehler in der Programmierung der Software. Je umfangreicher die Software wird, desto höher ist die Wahrscheinlichkeit, dass es unzählige Fehler bei der Erstellung der Software gegeben hat. Es gibt zwar verschiedene Tools zur Code-Analyse, die dabei helfen bestimmte Fehler aufzudecken, aber alle Fehler können nie gefunden werden.
Eine zweite Ursache für Schwachstellen ist das Zusammenspiel von verschiedenen Komponenten, die miteinander interagieren können. Wenn unterschiedliche Teams unterschiedliche Teile von Software entwickeln, dann kann es dazu kommen, dass an den Schnittstellen zwischen verschiedenen Software-Teilen Schwachstellen unbemerkt entstehen, weil jedes Team unterschiedliche Vorstellungen hat, wie die Software Teile miteinander arbeiten sollen.
Welche Folgen haben Schwachstellen?
Schwachstellen allein sind erstmal nicht schlimm, solange es keine Möglichkeit gibt, sie böswillig auszunutzen. Wenn allerdings ein Angreifer den Zugang zu einer Schwachstelle erlangt, dann hat er die Möglichkeit diese auszunutzen. Er kann versuchen, sich Zugang zu dem System, in welchem die Schwachstelle existiert, zu verschaffen. Dies passiert oft, indem er kleine Programme einschleust und diese auf den Systemen der Opfer ausführt. Nachdem er Zugang zu den Systemen erlangt hat, kann er seinen Angriff fortsetzen.
Zero-Day-Exploit
Wenn eine Schwachstelle durch einen Angreifer entdeckt wird, die dem Hersteller noch nicht bekannt ist und der Angreifer diese Schwachstelle ausnutzt, dann nennt man dieses einen Zero-Day-Exploit. Nachdem also eine Schwachstelle öffentlich bekannt geworden ist, muss der Hersteller zügig an einem Update der Software arbeiten, damit die Schwachstelle nicht für potenzielle Angreifer offen liegt.
Vulnerability-Management
Das Vulnerability Management ist der ganzheitliche Prozess vom Entdecken bis zur Behandlung der Schwachstelle. Warum benötigen Sie ein Vulnerability Management? Die Cyberkriminalität nimmt stetig zu, die damit verbundenen Risiken zwingen die Unternehmen diesen mehr Aufmerksamkeit zu schenken. Natürlich kann es auch zur Erfüllung einer Anforderung Ihrer Kunden oder zur Einhaltung der Gesetze nötig sein, ein Vulnerability Management zu etablieren. Viele erfolgreiche Angriffe hätten durch ein funktionierendes Vulnerability Management vermieden werden können. Es erlaubt Ihnen eine kontinuierliche Übersicht Ihrer Schwachstellen und damit verbundenen Risiken für Ihr Unternehmen.
Vulnerability-Scanner
Ein Vulnerability-Scanner ist eine IT-Komponente, welche nach Schwachstellen in der IT-Infrastruktur sucht. Es ist eine technische Komponente, die heutzutage wenig technische Expertise benötigt, die meisten Vulnerability-Scanner enthalten eine grafische Benutzeroberfläche und sind einfach zu bedienen. Am Ende des Tages kommt es nicht darauf an, welchen Vulnerability-Scanner Sie einsetzen. Das Entscheidende ist die Konfiguration der Scans und die Reduzierung von Fehlalarmen, um eine bessere Übersicht der Schwachstellen zu erhalten und die Fachbereiche nicht mit unnötigen Ergebnissen zu beschäftigen.
Das Vulnerability Scanning verursacht ebenfalls ein geringes Risiko, wieso? Je nach Konfiguration des Vulnerability Scanners kann es zu ungewollten Effekten in der IT kommen, Netzwerkgeräte zum Beispiel können durch die vom Vulnerability Scanner modifizierten Netzwerkpakete ein ungewolltes Verhalten zeigen. Dies kann zu einer Störung im ganzen Netzwerk führen. Daher sollte ein Schwachstellen Scanner nur die Komponenten nicht invasiv scannen, das bedeutet der Scanner wird die Sicherheitslücke nicht ausnutzen.
Die Lücken erkennen, bevor Angreifer dadurch ins Unternehmen gelangen, das ist die Aufgabe des Vulnerability Managements.
Das Vulnerability Management lässt sich in vier Phasen unterteilen. Diese Phasen folgen dem Demingkreis oder auch PDCA-Modell genannt.
Phase 1: Plan
Die Plan-Phase des Vulnerability-Managements führt zu einer Zusammenfassung der internen und externen Anforderungen zur Compliance und Governance, zur Erkennung, zur Bewertung und zur Klassifizierung von Schwachstellen. An erster Stelle steht, die notwendige Unterstützung und Genehmigung des Top-Managements einzuholen.
Nach Identifizierung der Schwachstellen steht die Erstellung des Risikobehandlungsplans im Fokus. Schwachstellen müssen nach der Identifizierung anhand von Kritikalität durch eine Risikobeurteilung für das Unternehmen bewertet werden. Nachdem eine Schwachstelle bekannt geworden ist, müssen die entsprechenden Teams informiert werden, damit diese die Schwachstellen beheben können. Die am höchsten bewerteten Risken, sollten vorrangig behandelt werden. Dies betrifft zum Beispiel Systeme, die direkt am Internet angeschlossen sind oder hohe bis kritische Schwachstellen aufweisen. Dokumentation und Messungen der Schwachstellenbehandlung stellen sicher, dass die regulatorischen Anforderungen erfüllt werden und die Risikoakzeptanz eingehalten wird.
Phase 2: Doing
In der Doing-Phase wird der sogenannte Risikobehandlungsplan umgesetzt. Risiken werden auf ein akzeptables Niveau des Unternehmens minimiert. Hierbei wäre ein mögliches Patchen oder die Stilllegung von Systemen oder Anwendungen eine mögliche Lösung. Natürlich ist es auch möglich, kompensierende Maßnahmen einzuführen, wenn andere nicht zur Verfügung stehen. Kompensierend bedeutet in diesem Zusammenhang, dass ich zwar die Schwachstelle nicht beheben kann, aber ich baue um die Schwachstelle herum einen Schutz, der die Ausnutzung dieser Schwachstelle verhindert. Ein Beispiel hierfür wäre ein System, welches mit dem Internet verbunden ist, aber nicht gepatcht werden kann. Darüber hinaus könnte ich eine Firewall und ein IDS/IPS System zwischen das Internet und mein zu schützendes System packen, damit der Netzwerkverkehr untersucht wird und ungewollter Netzwerkverkehr somit verringert wird.
Phase 3: Check
Die IT-Systeme müssen regelmäßig auf Schwachstellen geprüft werden, Unternehmen wählen oft nur das Minimum an Scans, um die regulatorischen Anforderungen zu erfüllen. Zu empfehlen ist jedoch eine höhere Frequenz als jährliche Scans. Wöchentliche Scans bieten einige Vorteile, wie zum Beispiel
- aktuelle Übersicht der vorhandenen Schwachstellen,
- zeitnahe Reportings und schnellere Übersicht über betroffene Systeme,
- Kennzahlen zur Messung, wie lange eine Schwachstelle im Unternehmen existierte.
Reports liefern einen Nachweis für erkannte Schwachstellen, die Reports sind ein guter Nachweis für ein Vulnerability Management. Die Erhebung der Daten zeigt, dass die notwendige Beseitigung des Risikos durchgeführt wurde. Zum Beispiel zeigen die Nachweise, dass die Schwachstelle gepatcht wurde. Bekanntgewordene Schwachstellen werden von den Herstellern und anderen Quellen wie dem CERT-Bund bekannt gegeben. Das Security Team sollte diese Quellen im Auge behalten, um eine Aussage über die Schwachstellen im Unternehmen treffen zu können. Alle in dieser Phase gesammelten Daten sind die Grundlage zur Optimierung des Vulnerability Managements in der nächsten Phase.
Phase 4: Act
Die zuvor generierten Daten werden verwendet, um den Vulnerability-Management-Prozess kontinuierlich zu verbessern. Solche Anpassungen können zu einer Reduzierung des organisatorischen Risikos, zu einem verbesserten Prozess, der Effizienz und verbesserte Einhaltung gesetzlicher Vorschriften führen.
Abgrenzung zum Patch Management
Das Patch Management kümmert sich um die Durchführung der notwendigen Updates von Systemen. Updates werden durchgeführt, weil es Fehler in der Programmierung der Software oder des Systems gab, die später entdeckt wurden. Ein weiterer Grund für Updates ist die Aktualisierung von Software mit den neusten Funktionen. Die Hersteller entwickeln ihre Produkte kontinuierlich weiter. Daher kann ein Update dafür sorgen, dass die Software die neusten Funktionen besitzt.
Das Vulnerability Management prüft nun, ob in der aktuellen Version der Software bekannte Schwachstellen vorhanden sind. Das bedeutet es wird nicht nur geprüft, ob die Versionen die Neusten sind, sondern auch, ob es bekannte Schwachstellen gibt.
Warum ist Vulnerability-Management wichtig?
Durch die zunehmende Digitalisierung und eine immer komplexer werdende IT-Landschaft kommt es zu immer mehr Schwachstellen, die eine potenzielle Gefahr für ein Unternehmen darstellen können. Die Ausnutzung einer Schwachstelle durch einen Cyberangriff kann für ein Unternehmen bei Datenverlust aufgrund der DSGVO zu hohen Geldstrafen führen. Im schlimmsten Fall kann das Unternehmen einen erheblichen Schaden seiner Reputation erleiden oder sogar zur Insolvenz gezwungen werden.
Wenn Ihnen dieses Video gefallen hat, dann hinterlassen Sie einen Like und abonnieren Sie meinen Kanal: