Volle Deckung! : Die Bedeutung von Patch- und Vulnerability-Management
Mapping, Schwachstellen- und Patch-Management sowie darauf aufbauende Maßnahmen sind wichtige Elemente für jedes Unternehmen, um potenzielle Cyber-Bedrohungen zu erkennen und zu entschärfen. Doch bis zur Implementierung passender Lösungen im Rahmen einer ganzheitlichen Sicherheitsstrategie ist es ein langer Weg.
Von Paul Baird, Aberdeen (UK)
Wirksame Cybersicherheits-Maßnahmen benötigen in der sich ständig weiterentwickelnden Bedrohungslandschaft von heute eine gute Cybersicherheits-Strategie und sollten eine umfassende Bestandsaufnahme aller Assets sowie ein Schwachstellen- und Patch-Management als Grundlage haben. Die erfolgreiche Implementierung entsprechender Lösungen kann die Sicherheitslage eines Unternehmens erheblich verbessern, das Risiko von Datenschutzverletzungen verringern und eine bessere Einhaltung von Vorschriften gewährleisten. Der Weg dorthin ist jedoch oft steinig, Unternehmen müssen hierbei häufig Hindernisse überwinden.
Assets kennen
Die Verwaltung von Cybersecurity-Assets umfasst die Identifizierung, Kategorisierung und Nachverfolgung aller digitalen Assets innerhalb eines Unternehmens – dazu gehören sowohl Hard- und Software- als auch Datenbestände. Ziel des Cybersecurity-Asset-Managements ist es, ein umfassendes Verständnis der digitalen Assets, ihres aktuellen Zustands und ihrer Bedeutung für den Betrieb des Unternehmens zu erlangen.
Ein effektives Cybersecurity-Asset-Management ermöglicht Unternehmen:
- die Identifizierung und Bewertung der mit den einzelnen Assets verbundenen Sicherheitsrisiken,
- das Priorisieren der Sicherheitsmaßnahmen auf Grundlage der Wichtigkeit der Assets für den Geschäftsbetrieb,
- die ordnungsgemäße Sicherung, Überwachung und Wartung aller Anlagen,
- die Nachverfolgung und Berichterstattung über Änderungen an den Anlagen im Laufe der Zeit sowie
- die Einhaltung gesetzlicher Vorschriften sicherzustellen.
- Identifizierung von Schwachstellen:
Dies erfordert meist die Verwendung von Tools wie Vulnerability Scanner, um Schwachstellen in Software, Hardware und Netzwerkinfrastruktur zu erkennen. - Bewertung der Schwachstellen:
Sobald man Schwachstellen identifiziert hat, müssen sie bewertet werden, um ihren Schweregrad, ihre potenziellen Auswirkungen und die Wahrscheinlichkeit einer Ausnutzung zu bestimmen. Auf diese Weise können Unternehmen Prioritäten für ihre Reaktionsmaßnahmen setzen. - Priorisierung:
Eine der größten Hürden für Unternehmen bei der Implementierung einer Schwachstellenmanagement-Lösung ist die bereits angesprochene Festlegung von Prioritäten. Angesichts begrenzter Ressourcen ist es wichtig, diejenigen Schwachstellen zu priorisieren, die das größte Risiko für die eigene Organisation darstellen. Dies kann jedoch schwierig sein, da es Hunderte oder Tausende von Schwachstellen geben mag, die letztlich alle behoben werden müssen. - Maßnahmen-Koordination:
Die Koordinierung von Abhilfemaßnahmen wartet ebenfalls mit zahlreichen zu bewältigenden Aufgaben auf. Dazu gehört es, Patches und Updates rechtzeitig einzuspielen und sich dabei mit den verschiedenen Abteilungen zu koordinieren, um eine Unterbrechung der Geschäftsabläufe so gering wie möglich zu halten – zudem auch die Überprüfung, ob Schwachstellen tatsächlich erfolgreich behoben wurden. - False Positives:
Falschmeldungen treten auf, wenn ein Schwachstellen-Scanner eine Verwundbarkeit identifiziert, die eigentlich nicht existiert – oder wenn diese Schwachstelle nicht ausnutzbar ist. Das kann zu einer Verschwendung von Zeit und Ressourcen sowie einer unnötigen Unterbrechung des Geschäftsbetriebs führen. - Priorisierung der Abhilfemaßnahmen:
Sobald Sicherheitsprobleme identifiziert wurden, sind sie nach ihrem Schweregrad und ihren potenziellen Auswirkungen zu priorisieren – nur so können Unternehmen ihre verfügbaren Ressourcen zunächst auf die kritischsten Probleme konzentrieren. - Entwicklung eines Abhilfeplans:
Ein Abhilfeplan beschreibt die Schritte, die zur Behebung der Sicherheitsprobleme unternommen werden sollen – einschließlich der erforderlichen Ressourcen und der Zeitvorgaben für die Fertigstellung. - Implementierung von Abhilfemaßnahmen:
Zu den Abhilfemaßnahmen können die Anwendung von Patches, die Aktualisierung von Konfigurationen, die Implementierung neuer Sicherheitskontrollen oder andere Maßnahmen und Techniken gehören. - Überwachung der Wirksamkeit:
Nach der Implementierung von Abhilfemaßnahmen müssen Unternehmen ihre Umgebung überwachen, um sicherzustellen, dass die erkannten Sicherheitsprobleme wirksam behoben wurden. - Komplexität:
Die Verwaltung von Abhilfemaßnahmen kann ein komplexer Prozess sein, gerade für große Organisationen mit vielen Anlagen/Systemen. Es kann sein, dass mehrere Abteilungen und Teams an der Behebung beteiligt sind, die jeweils ihre eigenen Prioritäten und Zeitpläne haben – die Koordinierung dieser Bemühungen kann eine große Herausforderung darstellen. - Verifizierung:
Eine weitere Herausforderung ist die Überprüfung. Um es noch einmal zu betonen: Es muss unbedingt überprüft werden, ob Abhilfemaßnahmen erfolgreich waren und die erkannte Schwachstelle tatsächlich behoben wurde! Das kann durchaus schwierig sein – besonders bei Schwachstellen, die schwer zu erkennen sind oder komplexe Maßnahmen erfordern. - Einhaltung von Vorschriften:
Unternehmen müssen unter Umständen verschiedene Vorschriften und Standards einhalten, was sich auf den Behebungsprozess auswirken kann. Zu derartigen Compliance-Anforderungen gehören unter anderem das Reporting, die Dokumentation und der Nachweis von Abhilfemaßnahmen, was den Prozess zusätzlich erschwert.
Einige der wichtigsten Herausforderungen, mit denen Unternehmen bei der Implementierung eines Asset-Management-Programms konfrontiert werden, sind im Folgenden kurz skizziert.
Mangelnde Sichtbarkeit:
Die mangelnde Transparenz der eigenen IT-Ressourcen ist eines der größten Probleme, mit dem sich viele Organisationen heute befassen müssen. Dies gilt besonders für große Unternehmen mit einer heterogenen IT-Infrastruktur, deren Anlagen über mehrere Standorte, Abteilungen oder sogar Länder verteilt sind. Das kann zu unvollständigen oder ungenauen Bestandsverzeichnissen führen – was es wiederum schwierig macht, die mit diesen Anlagen verbundenen Risiken genau zu bewerten.
Skalierbarkeit:
Eine weitere Herausforderung ist die Skalierbarkeit von Bestandsverwaltungslösungen, um die wachsende Anzahl von Anlagen im Unternehmen im Blick behalten und bewältigen zu können. Die eingesetzte Lösung muss dazu so flexibel sein, dass sie neue Anlagen, die dem Netzwerk hinzugefügt werden, aufnehmen kann und gleichzeitig sicherstellt, dass die vorhandenen Anlagen überwacht werden.
Datengenauigkeit:
Die Genauigkeit der während des Inventarisierungsprozesses erfassten Daten kann sich auf die Effektivität der Gesamtlösung auswirken. Unvollständige oder ungenaue Daten können zu einer ungünstigen Entscheidungsfindung führen, da die mit den Anlagen verbundenen Risiken möglicherweise unterschätzt werden.
Schwachstellen managen
Schwachstellenmanagement kann als der Prozess der Identifizierung, Bewertung und Behebung von Sicherheitsschwachstellen in der digitalen Atmosphäre eines Unternehmens beschrieben werden. Das Schwachstellenmanagement ist ein kontinuierlicher Prozess, der Folgendes umfasst:
Ein effektives Schwachstellenmanagement ist entscheidend für den Schutz der digitalen Ressourcen eines Unternehmens und die Verhinderung von Cyberangriffen. Es hilft Unternehmen, Angreifern einen Schritt voraus zu sein, indem es Verwundbarkeiten identifiziert und behebt, bevor Angreifer sie ausnutzen können. Außerdem hilft es dabei, gesetzliche Vorschriften zu erfüllen und die Einhaltung von Branchenstandards zu gewährleisten.
Schwachstellenmanagement bringt jedoch seine ganz eigenen Herausforderungen mit sich:
Mehr als Patches
Das Patch-Management ist ein proaktiver Prozess, bei dem regelmäßig Softwareaktualisierungen auf IT-Ressourcen angewendet werden, um bekannt gewordene Schwachstellen zu beheben. Demgegenüber ist das Management von Verwundbarkeiten ein reaktiver Prozess, bei dem Securityprobleme oder Schwachstellen behoben werden, die durch Sicherheitsbewertungen, Audits oder Untersuchungen von Vorfällen festgestellt wurden. Die Essenz dieser Unterscheidung ist, dass das Beheben einer Schwachstelle nicht immer gleichbedeutend mit dem Aufspielen eines Patches ist, sondern dass es – darüber hinaus und/oder stattdessen – auch Konfigurationsänderungen oder abschwächende Kontrollen geben kann, die erforderlich sind, um das Unternehmen gegen eine Verwundbarkeit zu schützen.
Verwundbarkeiten beseitigen
Dieses „Remediation-Management“ ist eine wichtige Komponente eines effektiven Cybersicherheitsprogramms, da es Unternehmen dabei hilft, Schwachstellen rechtzeitig und effektiv zu beheben. Der Prozess umfasst die folgenden Schritte:
Die Verwaltung von Abhilfemaßnahmen kann darüber hinaus einige eigene Herausforderungen mit sich bringen, wenn Unternehmen versuchen, erkannte Schwachstellen zu beheben:
Fazit
Trotz aller Herausforderungen haben schon viele Unternehmen Lösungen für die Bestandsaufnahme, die Verwaltung von Schwachstellen und die Beseitigung von Mängeln erfolgreich implementiert. Dazu haben sie verschiedene Strategien eingesetzt: Eine der effektivsten ist die Festlegung klarer Ziele. Unternehmen, die sich darüber im Klaren sind, was genau sie erreichen wollen, werden ihre Lösungen mit größerer Wahrscheinlichkeit erfolgreich implementieren.
Eine weitere wirksame Strategie ist die Nutzung von Automatisierung: Sie kann Unternehmen dabei helfen, Schwachstellen zu identifizieren und zu priorisieren, Patches anzuwenden und Änderungen im Netzwerk zu verfolgen. Automatisierung kann weiterhin dazu beitragen, die Arbeitsbelastung der IT-Mitarbeiter zu verringern, sodass mehr Zeit für andere Aufgaben zur Verfügung steht.
Ebenfalls bewährt ist es, alle Beteiligten frühzeitig in den Prozess einzubeziehen – das kann häufig zu beobachtende Widerstände gegen Veränderungen verringern helfen und sicherstellen, dass alle mit der Implementierung einverstanden sind.
Die Implementierung von Lösungen für die Bestandsaufnahme, das Schwachstellenmanagement sowie die Behebung von Schwachstellen kann erhebliche Vorteile mit sich bringen. Einer der wichtigsten ist natürlich die verbesserte Sicherheit: Durch die Identifizierung von Schwachstellen und die Anwendung von Patches können Unternehmen das Risiko von Angriffen und Datenschutzverletzungen verringern und so sensible Daten schützen und finanzielle Verluste verhindern. Ein weiterer Vorteil ist die bessere Einhaltung von Regularien: Viele Vorschriften, beispielsweise die EU Datenschutzgrundverordnung (DSGVO) oder der US-amerikanische Health Insurance Portability and Accountability Act (HIPAA), verlangen von Unternehmen, dass sie über angemessene Sicherheitsmaßnahmen verfügen. Die Implementierung der genannten Lösungen kann Unternehmen helfen, diese Anforderungen zu erfüllen und Geldbußen zu vermeiden.
Paul Baird ist Chief Technical Security Officer (CTSO) UK und North EMEA bei Qualys.