Schwachstellenmanagement
Bechtle-Whitepaper erklärt Vulnerability Management

© Bechtle AG

Seit geraumer Zeit geistert ein Begriff durch die IT-Sicherheit, der nicht ganz in die gängigen Logiken von Attacken, Ab­schottung und Rechte­management zu passen scheint: Schwach­stellen­management. Ein aktuelles Bechtle-Whitepaper stellt rund­heraus die Frage: „Vulnerability Management – brauchen wir das?“

Anzeige
© just 4 business

Die Antwort fällt erstaunlich differenziert aus, vor allem hängt sie stark von der Komplexität der jeweiligen IT-Land­schaft ab. Roland Freist, der auch Fachautor im Mittelstands­Wiki ist, gelingt es, mit klaren Worten zu umreißen, worum es geht:

„Das ist das Ziel des Vulnerability Managements: Das Risiko mithilfe von Scans und Analysen so stark einzu­grenzen, dass es mit verhältnis­mäßig geringem Aufwand beherrsch­bar ist.“

Mit „Risiko“ sind nicht erst konkrete Gefahren oder Angriffe gemeint, sondern bereits – daher der Name – Schwach­stellen und Verwund­bar­keiten in den IT-Systemen. Man möchte zunächst meinen, dass es dafür eben Updates und Patches der Software­hersteller gibt, doch genau das ist zu kurz gedacht. Die Abgrenzung zum reinen Patch Management zeigt z.B., dass zum Vulnerability Management auch die laufende Analyse der Bedrohungs­landschaft gehört sowie – ganz ent­scheidend – der Umgang mit den jeweiligen Schwachstellen und am Ende ein hoher Grad an Auto­matisierung. Auch das BSI empfiehlt, speziell im Hinblick auf industrielle Steuerungs- und Automatisierungs­systeme, ein Schwach­stellen­management, namentlich OpenVAS (Open Vulnerability Assessment Scanner); allerdings spielt das BSI beim Umgang mit neu entdeckten Schwach­stellen selbst eine sonderbare Rolle.

Konkret beginnt das Schwach­stellen­management mit regel­mäßigen Scans der IT-Assets inklusive der aus dem Internet erreich­baren Server. Beispiele wären cyberscan.io der Deutschen Gesell­schaft für Cyber­sicherheit oder eine umfassendere Lösung wie die von Tenable. Solche Scans erfassen den Bestand in seinen Kon­figurationen und decken dabei z.B. auch gefährliche Fehler auf, „beispiels­weise versehent­lich offen­gelassene Ports, ein Rechte­management, das den Anwendern Voll­zugriff auf geschützte Ordner erlaubt, oder die Möglich­keit zur Wahl unsicherer Pass­wörter.“ Die Befunde werden danach mit einer Vulnerability-Database abge­glichen. Im Ergebnis sollte klar sein, wo Handlungs­bedarf besteht. Nur: Wie dringlich ist er?

Eine wesentliche Frage betrifft daher die Gewichtung und damit die Priorisierung: Wie gravierend wären die Folgen, wenn die Schwach­stelle ausgenutzt wird? Lässt sich das Asset, bei dem die Schwach­stelle bekannt ist, überhaupt vom Internet aus ansprechen? Oder ist die Schwach­stelle einfach auszunutzen? Gibt es bereits Exploits? Dazu muss klar sein, welche Bereiche des Unternehmens besonderen Schutz genießen sollten und für welche verhältnis­mäßig geringe Sicherheits­anforderungen gelten können. Das ist keine reine Security-Entscheidung mehr, sondern eine geschäfts­strategische, weshalb „unumgänglich [ist], dass an diesem Punkt die Geschäfts­führung einbezogen wird“.

Auch im Umgang mit Schwach­stellen ergibt sich dann eine ganze Reihe von Optionen, die vom begründeten Ignorieren (etwa bei Systemen, auf die von außen gar kein Zugriff möglich ist) bis zum kompletten System­wechsel reichen – dazwischen liegen DMZ, verschärftes Monitoring und diverse Work­arounds.

„Es gibt Fälle, in denen Unternehmen nur 3 % der Schwach­stellen bei ihrer Software und Hard­ware beseitigen mussten, um gegen Angriffe weit­gehend gefeit zu sein.“

Nicht nur mit Blick auf die Personal­kosten von IT-Sicherheits­spezialisten lohnet es, an dieser Stelle einen Blick zurück auf die Eingangs­definition von Vulnerability Management zu werfen: „mit verhältnis­mäßig geringem Aufwand“ hieß es dort.

Wer sich und sein Unter­nehmen strategisch einsortieren will („Brauchen wir das?“) ist mit diesem lesenswerten 14-Seiten-White­paper gut beraten Bei Bechtle bekommt man es kostenfrei als PDF zum Download.