Selbst- und Fremdbild bei der Risikoabschätzung
Eine zentrale Voraussetzung für das Risikomanagement einer Organisation ist es, die jeweils aktuellen spezifischen Risiken abschätzen und objektiv bewerten zu können. Hierbei sind sowohl eigene Erkenntnisse als auch Analysen Dritter hilfreich – beide ergänzen sich im Idealfall. Wann Selbst- und Fremdbild jedoch divergieren und was das für die Sicherheit des jeweiligen Unternehmens bedeutet, hat das Forschungsprojekt ITS.OVERVIEW untersucht.
Zur Bewertung des Risikos gehört gewöhnlich die Betrachtung aller möglichen abstrakten Gefährdungen, die unabhängig von der eigenen Organisation bestehen, im Zusammenspiel mit für die Organisation spezifischen Schwachstellen und Schadensszenarien. Während die Stakeholder selbst mögliche Schäden am besten quantifizieren können, kann man für die Bewertung von Schwachstellen und besonders ihrer Eintrittswahrscheinlichkeit entweder auf eigenes Wissen, Fachverstand oder organisationseigene Methodiken zurückgreifen oder aber auf die Expertise externer, möglichst unabhängiger Auditoren.
Interessant ist die Frage, ob es einen Zusammenhang zwischen Selbst- und Fremdbild gibt: Ist Unternehmen, die in Bezug auf Security tatsächlich schlecht aufgestellt sind, dies in der Regel bewusst? Steigt die Awareness mit der Durchführung externer Audits nachweislich an? Und schlägt sich ein subjektiver Optimismus bezüglich des zukünftigen eigenen Reifegrads tatsächlich objektiv nieder? Daraus ergeben sich wiederum praktisch relevante Folgefragen: Sind gefährdete Unternehmen besser vorbereitet? Wehren sie Angriffe häufiger ab? Bemerken sie Angriffe häufiger? Diese und ähnliche Fragen hat das vom Bundesministerium für Bildung und Forschung (BMBF) geförderte Forschungsprojekt ITS.OVERVIEW von HiSolutions, Universität Bonn, KIT, ASW-Bundesverband und Comma Soft untersucht.
Gute Nachrichten
Awareness für das Thema Security ist inzwischen über alle Branchen hinweg gegeben. Auch wenn die tatsächliche Umsetzung sehr unterschiedlich aussieht, gibt es niemanden mehr, der IT-Sicherheit für unkritisch hält. Zudem findet man auch kein Unternehmen, das sich als zu 100 % oder auch nur zu 95 % geschützt sieht – auch dies darf im Sinne einer realistischen Selbsteinschätzung als gutes Zeichen gelten.
Positiv zeigte sich auch: Fast alle Unternehmen würden „im Prinzip“ gerne Informationen über Bedrohungslage und Vorfälle teilen, allerdings nur mit ihnen persönlich bekannten Unternehmen und weniger gern mit ihnen unbekannten Unternehmen oder Behörden.
Damit ist jedoch auch schon beinahe Schluss mit den Gemeinsamkeiten, die in einer Reihe von SelfAssessments, Interviewaudits und standardisierten Penetrationstests ermittelt werden konnten. Das tatsächliche, objektive Security-Niveau, gemessen über das Ergebnis eines standardisierten Kurz-Pentests, hing (wie erwartet) stark vom jeweiligen Unternehmen ab und wies lediglich anekdotisch typische sektorspezifische Unterschiede auf (z. B. Krankenhaus – schlecht aufgestellt, IT-Dienstleister – deutlich besser), die jedoch aufgrund der Stichprobengröße statistisch nicht belastbar waren.
Optimistisch: Self-Assessments
Fragt man die Verantwortlichen (in der Regel IT-Sicherheitsbeauftragte bzw. ähnliche Rollen in Unternehmen) nach ihrer Selbsteinschätzung, so bekommt man zwar sehr Unterschiedliches zu hören. Doch kein Unternehmen schätzt sich als „stark unterdurchschnittlich“ (< 25 %) aufgestellt ein. Fast alle erwarten eine weitere Zunahme der Qualität ihrer Security-Prozesse und -Maßnahmen innerhalb der nächsten zwei Jahre, jedoch in durchaus verschiedenem Ausmaß. Interessanterweise bleibt dieses Bild über die Zeit konstant: Fragt man zwei Jahre später wieder nach, wird der Optimismus in die Zukunft aufrechterhalten, selbst wenn sich in den letzten zwei Jahren nichts getan hat.
Tacheles: Interviews
Führt man standardisierte Tiefeninterviews zu Securitythemen, so weichen auch hier die Ergebnisse stark voneinander ab – folgende Muster sind jedoch zu erkennen: Unternehmen, die in Konzernstrukturen eingebunden sind, haben häufig überdurchschnittlich starke Security-Prozesse. Gleiches gilt für Unternehmen mit regulatorischen Security-Auflagen (z. B. Kritis oder Kritis-nah).
Bei Unternehmen ohne Auflagen und Konzerneinbindung kommt es möglicherweise auf das Vorliegen einer der folgenden Bedingungen an:
- Technisches Audit wurde in der Vergangenheit bereits durchgeführt.
- Jemand engagiert sich besonders für das Thema und verfügt zumindest über eine gewisse Unterstützung durch die Leitung.
- Es gab bereits schwerwiegende Vorfälle in der Vergangenheit.
Allerdings scheinen auch dies nicht immer hinreichende Bedingungen für ein gutes aktuelles SecurityNiveau zu sein.
Objektiv: Technische Audits
Die höchste Stufe der Objektivität kann durch externe technische Audits erreicht werden, die nicht auf die Antworten der Betroffenen bauen, sondern technische Fakten systematisch abklopfen. Hier ergibt sich ein klareres Bild: Bezüglich der Angreifbarkeit von außen (aus dem Internet) stehen alle Unternehmen deutlich besser da als bezüglich der Angreifbarkeit im internen Netz – allerdings waren Webseiten und -anwendungen „out of Scope“.
Mangelndes Patchmanagement ist dabei eines der Hauptprobleme. Das zweite ist eine fehlende oder mangelhafte Segmentierung interner Netze. Teilweise fehlt zudem jedes Bewusstsein, dass eines dieser Probleme vorliegt. Und selbst wo Segmentierung betrieben wird, existieren oft viele Seitenkanäle für Angriffe (z. B. Schwächen im Rechtekonzept für die Administration), welche die Effektivität der Segmentierung mindern.
Beim internen Pentest wurden fast alle betrachteten Netze schon am ersten Testtag vollständig kompromittiert. Allein eine einzige Konfigurationsschwachstelle (LLMNR-Spoofing im Windows-Netzwerk) konnte mit wenigen Ausnahmen quasi überall erfolgreich ausgenutzt werden.
Darüber hinaus war es fast keinem Unternehmen gelungen, veraltete Betriebssysteme komplett aus der Infrastruktur zu entfernen. Die Mehrzahl betreibt noch „Legacy-Systeme“ (Windows XP, Windows Server 2003 etc.), die häufig angeblich gerade „in Ablösung“ sind. In der Regel waren auch immer ein oder mehrere „Kernserver“ (Domaincontroller, File-Server, E-Mail-Server etc.) nicht auf dem aktuellen Stand, selbst wenn sie auf noch unterstützten Betriebssystemen liefen. Überraschend häufig fehlte etwa das Update MS17-010, das die von der NSA entdeckte Sicherheitslücke „Eternalblue“ schließt.
Eine weitere Schwachstelle, die bei fast jedem Test zu finden war, sind Standardzugangsdaten: Die betroffenen Systeme reichten von Überwachungskameras und IP-Telefonen bis hin zu Backupsystemen, Datenbanken und Steuerungssystemen, deren Default-Credentials ausnahmslos im Internet zu finden waren. In mehr als der Hälfe der getesteten Umgebungen lagen sensible Daten auf Shares, die ohne Authentifizierung oder mit geringen Rechten aufrufbar waren.
Die vorgefundenen Sicherheitsprobleme sind alle gut bekannt – ihre Ausnutzung erfordert in den meisten Fällen wenig Spezialkenntnisse und die notwendigen Tools sind im Internet frei verfügbar. Die allgemeine Lage der IT-Sicherheit bei den getesteten Firmen ist also trotz zunehmender Awareness immer noch auf einem relativ schlechten Niveau, wenn das interne Netz im Scope ist.
Anderseits lassen sich die gefundenen Probleme prinzipiell alle gut beheben, üblicherweise schon durch den Einsatz vorhandener Ressourcen. Die Lehre an dieser Stelle ist einmal wieder, dass Sicherheit kein Produkt ist – beziehungsweise kein Problem, das man durch den Einkauf einer Security-Solution löst (siehe auch 2018#6, S. 20). Ausgebaute und effiziente Prozesse, solides Basiswissen und der Einsatz von Best-Practices könnten allerdings in den meisten Fällen zu erheblichen Verbesserungen des IT-Sicherheits-Niveaus führen.
Erfahrungen: Pentests
Die im ITS.OVERVIEW-Projekt durchgeführten Tiefen-Assessments konnten nur eine kleine Zahl von Unternehmen abdecken. HiSolutions führt jedoch jedes Jahr eine große Zahl unterschiedlicher Penetrations- und Schwachstellentests durch. Eine aggregierte Auswertung dieser technischen Audits ergibt weitere interessante Erkenntnisse.
Die folgenden Ergebnisse beruhen auf einer Auswertung von insgesamt 64 Penetrations- und Schwachstellentests, die 2018 durchgeführt wurden. Diese Tests betrafen verschiedene Zielumgebungen von Netzwerkinfrastrukturen über Web-Anwendungen bis hin zu einzelnen Systemen und Verfahren, sind also nicht direkt miteinander vergleichbar. Durch eine Kategorienbildung bei den Schwachstellen lassen sich dennoch interessante Beobachtungen ableiten.
Diese Kategorien orientieren sich zunächst an den OWASP Top 10 (www.owasp.org/index.php/ Category:OWASP_Top_Ten_Project). Diese Veröffentlichung des OWASPProjekts umfasst eine Systematik der schwerwiegendsten Schwachstellen für Web-Anwendungen, die dort anhand einer Berechnung der Schweregrade auf der Basis von Häufigkeiten und Auswirkungen erstellt wurde. Die Kategorien lassen sich dabei zum Teil auch auf andere Testziele gut übertragen, decken jedoch nicht alle Befunde vollständig ab, sodass weitere Kategorien ergänzt wurden.
Die Aggregation bringt einige praktische Schwierigkeiten mit sich: Wegen der Unterschiedlichkeit der durchgeführten Tests ließen sich keine relevanten Aussagen zur Häufigkeit einer Schwachstelle pro System oder Anwendung ermitteln. Zudem werden aus Effizienzgründen in Projektberichten gleichartige Schwachstellen auf verschiedenen Systemen häufig zu einem einzelnen Befund zusammengefasst, sodass eine Zählung der Befunde ebenfalls nur begrenzte Aussagekraft hat.
Als Maß wurde daher die Häufigkeit des Auftretens eines Schwachstellentyps pro Projekt angesetzt. Dies macht deutlich, welche Schwachstellen in unterschiedlichen Projekten besonders häufig und welche eher selten oder nur in besonderen Zielumgebungen auftauchen. Zusätzlich wurden die Befunde mit den Ergebnissen von 2013 bis 2016 verglichen (siehe Abb. 1).
Von 2016 zu 2018 scheint sich demnach eine Trendwende vollzogen zu haben: In den letzten zwei Jahren hat der Anteil kritischer Schwachstellen in Tests erstmals wieder deutlich abgenommen, nachdem von 2013 bis 2016 eine Zunahme zu verzeichnen war. Und: Wo 2015 und 2016 kein Projekt ohne sicherheitsrelevanten Befund abgeschlossen wurde, ist diese Kategorie 2018 wieder vertreten.
Analysiert man die gefundenen Schwachstellen thematisch, ergibt sich folgendes Bild: Die Gruppe der Schwachstellen mit der häufigsten Einstufung als „kritisch“ umfasst den Einsatz von veralteten oder bekanntermaßen unsicheren Komponenten (OWASP A9), gefolgt von sicherheitsrelevanten Konfigurationsfehlern (OWASP A5), angreifbaren Architekturen und serverseitigen Injection-Angriffen (OWASP A1). Kritische Probleme durch eine fehlende Zugriffskontrolle auf funktionaler Ebene (OWASP A7) haben gegenüber früheren Untersuchungen deutlich abgenommen. Summa summarum zeigt sich nach wie vor eine breite Mischung aus Problemen in der Entwicklung, der Konfiguration und dem Betrieb von IT-Infrastrukturen.
Fazit
Insgesamt ist „im Feld“ einiges an Licht, aber auch einiges an Schatten zu erkennen: Die grundsätzliche Trendumkehr bei der Zahl kritischer Sicherheitslücken scheint zunächst geschafft. Trotzdem fördern technische Audits nach wie vor eine hohe Anzahl schwerwiegender Schwachstellen zutage – und das bei hoher Awareness und Motivation der Security-Verantwortlichen.
Daraus ergibt sich die Hypothese, dass die zugrunde liegenden Root-Causes prinzipiell schwer zu beheben sind. Schaut man auf die häufigsten Typen von Schwachstellen, wird klar warum: Probleme wie unsichere Komponenten und mangelndes Patchmanagement lassen sich nur durch minutiös aufgesetzte Prozesse in der IT (bzw. im IT-Management) lösen, wie sie heute nur wenige Organisationen haben. Zudem benötigen sie die Zuarbeit der Hersteller, die ebenfalls noch nicht in allen Sektoren gegeben ist.
Für organisatorische Security-Prozesse hilft es nachweislich, wenn Unternehmen in größere Strukturen eingebunden oder aber reguliert sind. Für die Verbesserung der technischen IT-Sicherheit bräuchte es eine ähnliche Einbindung in starke praktische IT-(Security-)Prozesse. Ansätze wie gezieltes Outsourcing an (auch Cloud-)Provider könnten hier Elemente einer Lösung sein – ebenso wie solche aus dem DevOps-Umfeld, wenn eine Organisation den hierfür erforderlichen Reifegrad bereits mitbringt.
David Fuhr ist Head of Research bei der HiSolutions AG