Seit geraumer Zeit geistert ein Begriff durch die IT-Sicherheit, der nicht ganz in die gängigen Logiken von Attacken, Abschottung und Rechtemanagement zu passen scheint: Schwachstellenmanagement. Ein aktuelles Bechtle-Whitepaper stellt rundheraus die Frage: „Vulnerability Management – brauchen wir das?“
Die Antwort fällt erstaunlich differenziert aus, vor allem hängt sie stark von der Komplexität der jeweiligen IT-Landschaft ab. Roland Freist, der auch Fachautor im MittelstandsWiki ist, gelingt es, mit klaren Worten zu umreißen, worum es geht:
„Das ist das Ziel des Vulnerability Managements: Das Risiko mithilfe von Scans und Analysen so stark einzugrenzen, dass es mit verhältnismäßig geringem Aufwand beherrschbar ist.“
Mit „Risiko“ sind nicht erst konkrete Gefahren oder Angriffe gemeint, sondern bereits – daher der Name – Schwachstellen und Verwundbarkeiten in den IT-Systemen. Man möchte zunächst meinen, dass es dafür eben Updates und Patches der Softwarehersteller gibt, doch genau das ist zu kurz gedacht. Die Abgrenzung zum reinen Patch Management zeigt z.B., dass zum Vulnerability Management auch die laufende Analyse der Bedrohungslandschaft gehört sowie – ganz entscheidend – der Umgang mit den jeweiligen Schwachstellen und am Ende ein hoher Grad an Automatisierung. Auch das BSI empfiehlt, speziell im Hinblick auf industrielle Steuerungs- und Automatisierungssysteme, ein Schwachstellenmanagement, namentlich OpenVAS (Open Vulnerability Assessment Scanner); allerdings spielt das BSI beim Umgang mit neu entdeckten Schwachstellen selbst eine sonderbare Rolle.
Konkret beginnt das Schwachstellenmanagement mit regelmäßigen Scans der IT-Assets inklusive der aus dem Internet erreichbaren Server. Beispiele wären cyberscan.io der Deutschen Gesellschaft für Cybersicherheit oder eine umfassendere Lösung wie die von Tenable. Solche Scans erfassen den Bestand in seinen Konfigurationen und decken dabei z.B. auch gefährliche Fehler auf, „beispielsweise versehentlich offengelassene Ports, ein Rechtemanagement, das den Anwendern Vollzugriff auf geschützte Ordner erlaubt, oder die Möglichkeit zur Wahl unsicherer Passwörter.“ Die Befunde werden danach mit einer Vulnerability-Database abgeglichen. Im Ergebnis sollte klar sein, wo Handlungsbedarf besteht. Nur: Wie dringlich ist er?
Eine wesentliche Frage betrifft daher die Gewichtung und damit die Priorisierung: Wie gravierend wären die Folgen, wenn die Schwachstelle ausgenutzt wird? Lässt sich das Asset, bei dem die Schwachstelle bekannt ist, überhaupt vom Internet aus ansprechen? Oder ist die Schwachstelle einfach auszunutzen? Gibt es bereits Exploits? Dazu muss klar sein, welche Bereiche des Unternehmens besonderen Schutz genießen sollten und für welche verhältnismäßig geringe Sicherheitsanforderungen gelten können. Das ist keine reine Security-Entscheidung mehr, sondern eine geschäftsstrategische, weshalb „unumgänglich [ist], dass an diesem Punkt die Geschäftsführung einbezogen wird“.
Auch im Umgang mit Schwachstellen ergibt sich dann eine ganze Reihe von Optionen, die vom begründeten Ignorieren (etwa bei Systemen, auf die von außen gar kein Zugriff möglich ist) bis zum kompletten Systemwechsel reichen – dazwischen liegen DMZ, verschärftes Monitoring und diverse Workarounds.
„Es gibt Fälle, in denen Unternehmen nur 3 % der Schwachstellen bei ihrer Software und Hardware beseitigen mussten, um gegen Angriffe weitgehend gefeit zu sein.“
Nicht nur mit Blick auf die Personalkosten von IT-Sicherheitsspezialisten lohnet es, an dieser Stelle einen Blick zurück auf die Eingangsdefinition von Vulnerability Management zu werfen: „mit verhältnismäßig geringem Aufwand“ hieß es dort.
Wer sich und sein Unternehmen strategisch einsortieren will („Brauchen wir das?“) ist mit diesem lesenswerten 14-Seiten-Whitepaper gut beraten Bei Bechtle bekommt man es kostenfrei als PDF zum Download.
