Vulnerability-Management, was ist das?

Die Lücken erkennen, bevor Angreifer dadurch ins Unternehmen gelangen, das ist die Aufgabe des Vulnerability Managements. Was das ist und wie das funktioniert, darüber spreche ich in diesem Video.

Eine Vulnerability, oder auch Schwachstelle, ist definiert als eine Schwäche in einem System, die durch einen Angreifer ausgenutzt werden kann. Eine Schwachstelle ist also ein Fehler, eine Lücke im Prozess, dem Design, der Implementierung oder den internen Kontrollen, die zu einem Security Incident führen kann.

Wie entstehen Schwachstellen?

Die häufigste Ursache für Schwachstellen sind Fehler in der Programmierung der Software. Je umfangreicher die Software wird, desto höher ist die Wahrscheinlichkeit, dass es unzählige Fehler bei der Erstellung der Software gegeben hat. Es gibt zwar verschiedene Tools zur Code-Analyse, die dabei helfen bestimmte Fehler aufzudecken, aber alle Fehler können nie gefunden werden.

Eine zweite Ursache für Schwachstellen ist das Zusammenspiel von verschiedenen Komponenten, die miteinander interagieren können. Wenn unterschiedliche Teams unterschiedliche Teile von Software entwickeln, dann kann es dazu kommen, dass an den Schnittstellen zwischen verschiedenen Software-Teilen Schwachstellen unbemerkt entstehen, weil jedes Team unterschiedliche Vorstellungen hat, wie die Software Teile miteinander arbeiten sollen.

Welche Folgen haben Schwachstellen?

Schwachstellen allein sind erstmal nicht schlimm, solange es keine Möglichkeit gibt, sie böswillig auszunutzen. Wenn allerdings ein Angreifer den Zugang zu einer Schwachstelle erlangt, dann hat er die Möglichkeit diese auszunutzen. Er kann versuchen, sich Zugang zu dem System, in welchem die Schwachstelle existiert, zu verschaffen. Dies passiert oft, indem er kleine Programme einschleust und diese auf den Systemen der Opfer ausführt. Nachdem er Zugang zu den Systemen erlangt hat, kann er seinen Angriff fortsetzen.

Zero-Day-Exploit

Wenn eine Schwachstelle durch einen Angreifer entdeckt wird, die dem Hersteller noch nicht bekannt ist und der Angreifer diese Schwachstelle ausnutzt, dann nennt man dieses einen Zero-Day-Exploit. Nachdem also eine Schwachstelle öffentlich bekannt geworden ist, muss der Hersteller zügig an einem Update der Software arbeiten, damit die Schwachstelle nicht für potenzielle Angreifer offen liegt.

Vulnerability-Management

Das Vulnerability Management ist der ganzheitliche Prozess vom Entdecken bis zur Behandlung der Schwachstelle. Warum benötigen Sie ein Vulnerability Management? Die Cyberkriminalität nimmt stetig zu, die damit verbundenen Risiken zwingen die Unternehmen diesen mehr Aufmerksamkeit zu schenken. Natürlich kann es auch zur Erfüllung einer Anforderung Ihrer Kunden oder zur Einhaltung der Gesetze nötig sein, ein Vulnerability Management zu etablieren. Viele erfolgreiche Angriffe hätten durch ein funktionierendes Vulnerability Management vermieden werden können. Es erlaubt Ihnen eine kontinuierliche Übersicht Ihrer Schwachstellen und damit verbundenen Risiken für Ihr Unternehmen.

Vulnerability-Scanner

Ein Vulnerability-Scanner ist eine IT-Komponente, welche nach Schwachstellen in der IT-Infrastruktur sucht. Es ist eine technische Komponente, die heutzutage wenig technische Expertise benötigt, die meisten Vulnerability-Scanner enthalten eine grafische Benutzeroberfläche und sind einfach zu bedienen. Am Ende des Tages kommt es nicht darauf an, welchen Vulnerability-Scanner Sie einsetzen. Das Entscheidende ist die Konfiguration der Scans und die Reduzierung von Fehlalarmen, um eine bessere Übersicht der Schwachstellen zu erhalten und die Fachbereiche nicht mit unnötigen Ergebnissen zu beschäftigen.

Das Vulnerability Scanning verursacht ebenfalls ein geringes Risiko, wieso? Je nach Konfiguration des Vulnerability Scanners kann es zu ungewollten Effekten in der IT kommen, Netzwerkgeräte zum Beispiel können durch die vom Vulnerability Scanner modifizierten Netzwerkpakete ein ungewolltes Verhalten zeigen. Dies kann zu einer Störung im ganzen Netzwerk führen. Daher sollte ein Schwachstellen Scanner nur die Komponenten nicht invasiv scannen, das bedeutet der Scanner wird die Sicherheitslücke nicht ausnutzen.

Die Lücken erkennen, bevor Angreifer dadurch ins Unternehmen gelangen, das ist die Aufgabe des Vulnerability Managements.

Das Vulnerability Management lässt sich in vier Phasen unterteilen. Diese Phasen folgen dem Demingkreis oder auch PDCA-Modell genannt.

Phase 1: Plan

Die Plan-Phase des Vulnerability-Managements führt zu einer Zusammenfassung der internen und externen Anforderungen zur Compliance und Governance, zur Erkennung, zur Bewertung und zur Klassifizierung von Schwachstellen. An erster Stelle steht, die notwendige Unterstützung und Genehmigung des Top-Managements einzuholen.

Nach Identifizierung der Schwachstellen steht die Erstellung des Risikobehandlungsplans im Fokus. Schwachstellen müssen nach der Identifizierung anhand von Kritikalität durch eine Risikobeurteilung für das Unternehmen bewertet werden. Nachdem eine Schwachstelle bekannt geworden ist, müssen die entsprechenden Teams informiert werden, damit diese die Schwachstellen beheben können. Die am höchsten bewerteten Risken, sollten vorrangig behandelt werden. Dies betrifft zum Beispiel Systeme, die direkt am Internet angeschlossen sind oder hohe bis kritische Schwachstellen aufweisen. Dokumentation und Messungen der Schwachstellenbehandlung stellen sicher, dass die regulatorischen Anforderungen erfüllt werden und die Risikoakzeptanz eingehalten wird.

Phase 2: Doing

In der Doing-Phase wird der sogenannte Risikobehandlungsplan umgesetzt. Risiken werden auf ein akzeptables Niveau des Unternehmens minimiert. Hierbei wäre ein mögliches Patchen oder die Stilllegung von Systemen oder Anwendungen eine mögliche Lösung. Natürlich ist es auch möglich, kompensierende Maßnahmen einzuführen, wenn andere nicht zur Verfügung stehen. Kompensierend bedeutet in diesem Zusammenhang, dass ich zwar die Schwachstelle nicht beheben kann, aber ich baue um die Schwachstelle herum einen Schutz, der die Ausnutzung dieser Schwachstelle verhindert. Ein Beispiel hierfür wäre ein System, welches mit dem Internet verbunden ist, aber nicht gepatcht werden kann. Darüber hinaus könnte ich eine Firewall und ein IDS/IPS System zwischen das Internet und mein zu schützendes System packen, damit der Netzwerkverkehr untersucht wird und ungewollter Netzwerkverkehr somit verringert wird.

Phase 3: Check

Die IT-Systeme müssen regelmäßig auf Schwachstellen geprüft werden, Unternehmen wählen oft nur das Minimum an Scans, um die regulatorischen Anforderungen zu erfüllen. Zu empfehlen ist jedoch eine höhere Frequenz als jährliche Scans. Wöchentliche Scans bieten einige Vorteile, wie zum Beispiel

aktuelle Übersicht der vorhandenen Schwachstellen,
zeitnahe Reportings und schnellere Übersicht über betroffene Systeme,
Kennzahlen zur Messung, wie lange eine Schwachstelle im Unternehmen existierte.

Reports liefern einen Nachweis für erkannte Schwachstellen, die Reports sind ein guter Nachweis für ein Vulnerability Management. Die Erhebung der Daten zeigt, dass die notwendige Beseitigung des Risikos durchgeführt wurde. Zum Beispiel zeigen die Nachweise, dass die Schwachstelle gepatcht wurde. Bekanntgewordene Schwachstellen werden von den Herstellern und anderen Quellen wie dem CERT-Bund bekannt gegeben. Das Security Team sollte diese Quellen im Auge behalten, um eine Aussage über die Schwachstellen im Unternehmen treffen zu können. Alle in dieser Phase gesammelten Daten sind die Grundlage zur Optimierung des Vulnerability Managements in der nächsten Phase.

Phase 4: Act

Die zuvor generierten Daten werden verwendet, um den Vulnerability-Management-Prozess kontinuierlich zu verbessern. Solche Anpassungen können zu einer Reduzierung des organisatorischen Risikos, zu einem verbesserten Prozess, der Effizienz und verbesserte Einhaltung gesetzlicher Vorschriften führen.

Abgrenzung zum Patch Management

Das Patch Management kümmert sich um die Durchführung der notwendigen Updates von Systemen. Updates werden durchgeführt, weil es Fehler in der Programmierung der Software oder des Systems gab, die später entdeckt wurden. Ein weiterer Grund für Updates ist die Aktualisierung von Software mit den neusten Funktionen. Die Hersteller entwickeln ihre Produkte kontinuierlich weiter. Daher kann ein Update dafür sorgen, dass die Software die neusten Funktionen besitzt.

Das Vulnerability Management prüft nun, ob in der aktuellen Version der Software bekannte Schwachstellen vorhanden sind. Das bedeutet es wird nicht nur geprüft, ob die Versionen die Neusten sind, sondern auch, ob es bekannte Schwachstellen gibt.

Warum ist Vulnerability-Management wichtig?

Durch die zunehmende Digitalisierung und eine immer komplexer werdende IT-Landschaft kommt es zu immer mehr Schwachstellen, die eine potenzielle Gefahr für ein Unternehmen darstellen können. Die Ausnutzung einer Schwachstelle durch einen Cyberangriff kann für ein Unternehmen bei Datenverlust aufgrund der DSGVO zu hohen Geldstrafen führen. Im schlimmsten Fall kann das Unternehmen einen erheblichen Schaden seiner Reputation erleiden oder sogar zur Insolvenz gezwungen werden.

Wenn Ihnen dieses Video gefallen hat, dann hinterlassen Sie einen Like und abonnieren Sie meinen Kanal:

Veröffentlicht am Juni 10, 2021
von Dr. Michael Gorski

Blog-Artikel teilen

Jetzt Kontakt aufnehmen!

Anrede

Name

Unternehmen

E-Mail Adresse

Telefonnummer

Ich interessiere mich für...

Ihre Nachricht

Datenschutz

Ich akzeptiere die Datenschutzbestimmungen und stimme der Verarbeitung und Speicherung meiner Daten zu.

Diese Artikel könnten Sie auch interessieren

Bild zum Thema "IT-Sicherheitskonzept". Es zeigt den Titel: "It-Sicherheit. Konzept? Ist das nötig?" Man sieht drei OP-Ärzte in voller Operations-Montur. Eine Arzt fragt mit verschränkten Armen: "Händewaschen? Konzept? Was?", worauf eine Ärztin bestimmt antwortet: "Hygiene-Konzept!!!"

IT-Sicherheitskonzept: Muss das sein?

IT-Sicherheitskonzept – das ist heute so entscheidend wie Hygieneregeln im Operationssaal oder der Brandschutz im Chemiewerk. Doch leider kommen gut gemachte IT-Sicherheitskonzepte nicht überall zum Einsatz. Warum nicht?

Bild zeigt Schriftzug: "IT-Mitarbeiter: Schätze? Was sind sie wert?". Ein fröhlicher winkender, junger Mann bereit zum High-Five ist neben einem hintergründig angedeuteten Schatz in Form einer glänzenden Schatztruhe abgebildet.

Mein Schatz: IT-Mitarbeiter

Der Wert engagierter und guter Mitarbeiter ist mit Geld nicht aufzuwiegen. Kreativität, Leidenschaft und Innovation kann man nicht einfach einkaufen.

Security Awareness

„Wir machen schon einmal im Jahr ein Training zur Security Awareness…“ Das hören wir so immer mal wieder. Grund genug, mal darüber zu reden. Denn einmal im Jahr ein Security-Awareness-Training – reicht das? Gibt es denn eine akute Gefahr?

Bild zeigt zum Thema Cyberkrieg & Cyberwar Montage eines im dunklen sitzenden Hackers. Im Hintergrund Einser und Nullen und eine digitalisierte Weltkarte. Schriftzug:"Cybekrieg Cyberwar, Subline: sind wir sicher?"

Cyberkrieg & Cyber Warfare

Aktuell sind Cyberkrieg, hybride Kriegsführung und Hackerangriffe bei vielen Thema. Die Unsicherheit ist groß, das Wissen dazu gering. Was kann man tun, um sich zu schützen und mit welchen Gefahren muss man wirklich rechnen? Eins vorab: Natürlich gibt es Wege, sich zu schützen.

Cyber-Sicherheitsnetzwerk-Partner

Die Dr. Michael Gorski Consulting GmbH ist jetzt Teil des vom BSI gestifteten Cybersicherheits-Netzwerkes, das besonders KMUs und Bürger im Fokus hat.

Ransomware - Online Erpressung

Ransomware: 2023 mehr Angriffe, mehr Erpressung

Online-Erpressungen nehmen zu! Mehr Hackerangriffe samt Forderungen nach Lösegeld machen Unternehmen Sorgen. Doch was tun? Wie man sich schützt, verraten wir Ihnen hier.

Kennen Sie schon unseren YouTube Kanal?

1

/

42

Vor

»

Essentialismus – Unsere Werte bei der Dr. Michael Gorski Consulting GmbH

GAP Analyse in 3 Tagen | ISO 27001 | KRITIS | TISAX

Wie SICHER sind iPhones WIRKLICH?! IT-Experte gibt Meinung ab!

1

/

42

Vor

»

Copyright © 2024 Dr. Michael Gorski Consulting GmbH | All Rights Reserved.