CYBERSECURITY: Schwachstellenmanagement

CYBERSECURITY: Schwachstellenmanagement – Der richtige Umgang mit Sicherheitslücken in der IT-Infrastruktur

Ein gutes Schwachstellenmanagement ist heutzutage ein wichtiger Bestandteil der Unternehmensstrategie. Es sorgt dafür, dass die Sicherheit von IT-Systemen, Netzwerken und IT-Infrastrukturkomponenten durch die zeitnahe Feststellung und Behebung von Schwachstellen erhöht wird.

Was versteht man unter einer Schwachstelle?

Eine Schwachstelle ist eine Unvollständigkeit oder ein Fehler in einer Software, einem Betriebssystem oder einem Prozess. Sie ermöglicht es Angreifenden, Zugriff auf sensible, schützenswerte Daten zu erlangen oder die Kontrolle über Systeme zu gewinnen und sich auf diese Weise – häufig unbemerkt – im Netzwerk zu bewegen. Schwachstellen können in Hardwarekomponenten, Software oder auch in der Softwarearchitektur liegen. Beispiele hierfür sind nicht gepatchte Hardwarekomponenten, nicht gepatchte Software, unzureichende Zugriffsrechte und schwache Passwörter. Der Trojaner Emotet zum Beispiel macht sich eine fehlerhafte Active Directory Architektur zu Nutze und kann hierdurch die komplette Windows Domäne kompromittieren.

Das Erkennen und Beseitigen von Schwachstellen ist entscheidend, da jedes System und jedes Netzwerk zunächst einmal ein potenzielles Ziel für Angreifende darstellt. Durch die gezielte Identifizierung und Behebung von Schwachstellen wird das Risiko eines Angriffs minimiert und die Verfügbarkeit und Integrität sensibler Daten geschützt.
Das Schwachstellenmanagement inkludiert die Identifizierung, die Bewertung nach Kritikalität und die Priorisierung von Maßnahmen zur Behebung. Das Tracken des Fortschritts bei der Realisierung ist hierbei entscheidend.

5 Aspekte des Schwachstellenmanagements im Detail

  1. Techniken zur Identifizierung von Schwachstellen
    • Penetrationstests
    • Schwachstellenscans
    • Manuelle Checks

    Die regelmäßige Suche nach Schwachstellen ist entscheidend, da sich diese im Laufe der Zeit erweitern bzw. verändern können.

  2. Risikobewertung
  3. Nachdem Schwachstellen aufgedeckt wurden, bedarf es einer Bewertung. Diese Bewertung kann Tool-gesteuert (z. B. durch einen Schwachstellenscanner) oder manuell erfolgen. Dabei fließen folgende Aspekte in die Bewertung ein:

    • Kritikalität nach CVE
    • Kritikalität nach manueller Evaluierung der Schwachstelle
    • Kritikalität nach Asset (Welche Systeme sind betroffen? Sind es produktive Systeme?)
    • Sind Exploits bereits vorhanden und sind diese ggf. sogar leicht auszunutzen
    • Schadensausmaß bei Ausnutzung der Schwachstelle

    Bei einer Risikobewertung müssen alle Faktoren betrachtet werden, um die richtige Priorität zur Beseitigung der Schwachstellen festzulegen.

  4. Priorisierung von Maßnahmen
  5. Basierend auf der Risikobewertung werden die Maßnahmen zur Auflösung der Schwachstellen sowie die notwendige Priorisierung dieser Maßnahmen definiert. Bei der Festlegung der Bearbeitungsreihenfolge ist die Höhe des Risikos auschlaggebend.

  1. Umsetzung der Maßnahmen
  2. Die Behebung von Schwachstellen muss je nach Priorität und Kritikalität in einem angemessenen Zeitrahmen erfolgen. Eine zeitnahe Beseitigung von Schwachstellen, die eine hohe Bedrohung für das Unternehmen darstellen, kann das Risiko eines erfolgreichen Angriffs stark minimieren.

  3. Überwachung des Fortschritts
  4. Wichtig ist auch, den Fortschritt der Behebung zu tracken, um eine Abarbeitung zeitnah zu realisieren und keine Schwachstellen zu übersehen. Das Schwachstellenmanagement ist ein kontinuierlicher Prozess, da sich Schwachstellen im Laufe der Zeit verändern können. Zudem tauchen immer neue Schwachstellen auf, die ausgenutzt werden können. Daher ist eine Überwachung essenziell – sei es manuell oder durch einen Schwachstellenscanner.

Workarounds anstelle von Patches

In manchen Fällen kann es passieren, dass Herstellende auf das Bekanntwerden einer Schwachstelle zu langsam reagieren. Um hier Abhilfe zu schaffen, bietet es sich an, Workarounds zu implementieren. Über die Wirksamkeit und Qualität dieser Workarounds lässt sich jedoch streiten, wie es in dem Artikel „Exchange Zero-Day: Microsoft bessert Workaround erneut nach“ thematisiert wird.

Was tun mit Infrastrukturkomponenten, die nicht gewartet werden dürfen?

Um Infrastrukturkomponenten zu schützen, die nicht gewartet werden dürfen, können folgende Maßnahmen ergriffen werden:

  1. Sicherheit am Endpunkt
  2. Verwenden Sie integrierte Sicherheitsfunktionen wie Firewalls, Endpoint Protection EDR/XDR und aktivieren Sie die Verschlüsselung der Datenträger.

  3. Netzwerksicherheit
  4. Separieren Sie das Netzwerksegment der Systeme, die nicht gewartet werden dürfen, durch den Einsatz von Firewalls, VLANs und ggf. VPN-Zugriffen.

  5. Benutzerzugriffskontrolle
  6. Beschränken Sie den Zugriff auf die Komponenten und geben Sie nur kleinen Gruppen von autorisierten Benutzer/-innen Zugriff.

  7. Überwachung und Protokollierung
  8. Tracken und protokollieren Sie alle Aktivitäten, die auf den Komponenten passieren, die von den Komponenten ausgehen oder auf die Komponenten zugreifen wollen. Hierbei kann der Einsatz eines
    SIEM von Nutzen sein.

  9. Regelmäßige Überprüfungen
  10. Überprüfen Sie die Maßnahmen zur Absicherung der Komponenten regelmäßig und bessern Sie diese unter Umständen nach.

Im Schwachstellenmanagement ist ein ganzheitlicher Ansatz zur Absicherung aller IT-Infrastrukturkomponenten erforderlich, damit alle Schichten von Hardware, Software und IT-Prozessen geschützt sind.

Sie möchten mehr über das Thema Schwachstellenmanagement erfahren oder sehen konkreten Bedarf in Ihrem Unternehmen? Wir beraten Sie!

Kontakt: security-experts@oediv.de