Search...
Close this search box.

secida im August

secida im August

Sichere Digitalisierung im August: Effektives Schwachstellen-Management für den Mittelstand

Herzlich Willkommen zu unserem Newsletter!

Hier geben wir einen Überblick über geplante Aktivitäten und beleuchten einen Aspekt sicherer Digitalisierung.

Interessante Aktivitäten im August:

LinkedIn-Livestream am Dienstag, den 29.08.2023, 12:00h: „Mehr Sicherheit (und mehr Papier) – NIS2 und der Mittelstand“ – mit Alpha Barry, CEO secida AG. Melden Sie sich hier an.

Effektives Schwachstellen-Management für den Mittelstand

Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.  

Was genau ist Schwachstellen-Management?

Cyberkriminelle nutzen unterschiedliche Möglichkeiten in die IT des Unternehmens hineinzukommen. Sehr beliebt ist der Diebstahl von Benutzer-Credentials. Doch es gibt auch die Variante, aus dem Internet über Schwachstellen, wie noch nicht geflickte Lücken, die z.B. durch eine fehlerhafte Konfigurierung eines Systems verursacht wurden, oder nicht upgedatete fehlerhafte Softwareversionen in das Unternehmensnetzwerk einzudringen. Auch fehlende Updates des Betriebssystems können zu dieser Art von Eintrittsmöglichkeit führen. Sollten Angreifer über Kenndaten eines Benutzers Zugriff auf dessen Computer bekommen, können sie Schwachstellen auch dafür nutzen, ihre Reichweite innerhalb des Unternehmensnetzwerks zu vergrößern.

Es ist offensichtlich: es ist für Unternehmen essenziell Schwachstellen zu vermeiden. Wir empfehlen deswegen dringend, wenn noch nicht geschehen, einen kontinuierlichen Prozess zu entwickeln, der es ermöglicht, Schwachstellen schnell zu erkennen, nach Risiko zu qualifizieren und zu beheben.

Auch für kleine und mittelständische Unternehmen ist es wichtig, diese Lücken schnellstmöglich zu stopfen. Der Aufwand für Hacker ist inzwischen sehr gering, deswegen muss der Return of Investment eines Hacks nicht riesig sein um Profit zu generieren. Da kleine und mittlere Unternehmen häufig schlechter geschützt sind, werden sie als Angriffsziele zunehmend attraktiv.

Außerdem ist effektives Schwachstellen-Management für Cyber-Versicherungen ein essenzielles Thema.  Ohne ein gutes Konzept ist es schwer eine Cyber-Versicherungspolice mit attraktiven Prämien zu erhalten – wenn unter diesen Umständen der Abschluss einer Versicherungspolice überhaupt noch möglich ist.

Wo finde ich eine Schwachstellen-Übersicht?

Es ist nicht notwendig Cybersicherheits-Experte zu sein, um Schwachstellen in der eigenen IT-Infrastruktur zu erkennen. Es gibt kostenfreie Datenbanken, in denen bekannte Schwachstellen sämtlicher IT-Assets gesammelt werden. Diese Datenbanken werden aktualisiert, wenn neue Schwachstellen gefunden, gemeldet und klassifiziert werden. Die Klassifizierung ist wichtig, damit schnell erkannt werden kann, wie kritisch die gefundene Schwachstelle ist (Kritikalitätsskala geht von 1 “relativ unkritisch” bis 10 “höchst kritisch”). Je kritischer die Schwachstelle ist, desto schneller sollte sie gefixt werden. Es ist selbstverständlich möglich diese Datenbanken so zu filtern, dass so schnell wie möglich die Schwachstellen gefunden werden, die für das jeweilige Unternehmen relevant sind. Zusätzlich gibt es dort die notwendigen Hinweise, wie die jeweilige Schwachstelle gefixt werden kann (Link zu Patches, Updatehinweise etc.). Sie können diese Datenbanken verwenden, um eine Liste von für Ihre Unternehmens-IT-relevante bestehende Schwachstellen zu erstellen und sie basierend auf der jeweiligen Kritikalität zu priorisieren und regelmäßig zu aktualisieren.

Die Basis: Eine gute Übersicht über bestehende IT-Assets

Im ersten Schritt benötigt man (vor allem bei eigenständig betriebener on-premise IT-Infrastruktur) eine regelmäßig überprüfte, aktualisierte und möglichst vollständige Inventarliste der IT-Assets. Eine solche Liste muss entweder konsistent händisch gepflegt oder deren Aktualisierung muss automatisiert werden. Gerade im Mittelstand ist es wichtig, eine möglichst preisgünstige Lösung zu finden, die eine gute Balance zwischen Softwarekosten und Personalkapazität bietet. Preiswertere Software-Lösungen, wie z.B. open-source-Tools beinhalten wegen notwendiger Konfigurationen und Updates einen höheren, regelmäßig auftretenden Personalaufwand. Wenn also – wie oft in der IT – eher begrenzte Personalkapazität vorhanden ist, empfiehlt es sich eher, ein teureres Tool zu wählen, dass automatisiert die IT-Infrastruktur auf Schwachstellen prüft und potentiell sogar einen Maßnahmenplan zu deren Behebung erstellt, der erkannte Lücken nach Kritikalität listet und Hinweise beinhaltet, wie schnell diese bearbeitet werden sollten. Bei Einsatz einer solchen Lösung kann unternehmensseitig je nach Einschätzung der Gefahrenlage entschieden werden, wie häufig so ein Scan erfolgen soll. Große Betriebsupdates oder Softwarepaket-Updates etc. bekommt eine funktionierende IT auch im regulären Betrieb mit, doch Updates speziellerer Systeme oder Konfigurationsfehler können durchaus durchs Raster fallen. Wir empfehlen in der Regel mindestens einen vollständiger Scan der IT-Infrastruktur pro Quartal, um das Übersehen gravierender Schwachstellen im System zu vermeiden. Wenn die IT-Infrastruktur schon weitgehend in der Cloud gehostet oder von externen Dienstleistern betrieben wird, muss das oben genannte Szenario etwas angepasst werden.

Schwachstellen-Management in der Cloud

In der Cloud ist es deutlich einfacher zu überblicken welche Assets in der eigenen IT-Infrastruktur verwendet werden. Cloud-basierte Dienstleister bieten Listen aller in der Cloud gehosteten Assets, die einen schnellen Überblick ermöglichen. Die auf den Rechnern verwendete Software und Betriebssysteme können schnell und effektiv ausgelesen werden. Es können Standards zum Vergleich oder als Vorgabe abgelegt werden, um sicherzugehen, dass nur vordefinierte und freigegebene Lösungen installiert und in den aktuellsten Versionen implementiert sind. Diese Zusatzfunktionalitäten kosten natürlich Geld, das an den Cloudprovider gezahlt werden muss.

Für in der Cloud betriebene Serversysteme sinkt der Aufwand nicht ganz so stark: Auch ein in die Cloud verlagerter virtueller Server muss durch die eigene IT upgedatet und sich entsprechend weiterhin um das Schwachstellen-Management gekümmert werden. Eine Alternative ist, für bestimmte Systeme, wie z.B. das ERP-System, eine Instanz direkt von einem Lösungsanbieter anzumieten. In diesem Ansatz geht die Verantwortung für das Schwachstellen-Management an den Lösungsanbieter über, der die Server betreibt und gegenüber seinen Kunden für ein gutes Schwachstellen-Management in der Verantwortung steht. Es ist die Pflicht des Kunden vor Vertragsabschluss sicherzustellen, dass dies vertraglich zugesichert ist.

Schwachstellen-Management bei externen Dienstleistern

Es gibt auch Unternehmen, die den gesamten IT-Betrieb an einen externen Dienstleister ausgelagert haben. In unseren Augen ist es auch hier sinnvoll zu prüfen, ob das Schwachstellen-Management dieses Providers adäquat ist. Im ersten Schritt gilt es, den bestehenden Vertrag zu prüfen: Wie schnell nach Bekanntwerden einer Schwachstelle, verpflichtet sich der Anbieter, den entsprechenden Patch einzuspielen und sicherzugehen, dass die Lücke gestopft ist? Ist die vereinbarte Zeitspanne adäquat und ggf. nach Kritikalität gestaffelt? Ein vertraglich gut aufgestelltes Schwachstellen-Management seitens des Dienstleisters ist auch ein effektiver Nachweis für den Cyberversicherer.

Was ist aber zu tun, wenn der Vertrag diesbezüglich schwammig formuliert ist, bzw. aktuell keine Erwähnung dieser Thematik zu finden ist? Eine Lösungsansatz ist es, bei der nächsten Verhandlungsrunde vertraglich nachzuarbeiten. Dies kann ggf. dazu führen, dass ein nun vereinbartes „mehr“ an Service zu einem höheren Kostensatz führt. Wenn der Dienstleister ein Rechenzentrum betreibt, das dem Unternehmen gehört, gibt es die Möglichkeit, sich gemeinsam durch eine externe und interne Schwachstellen-Analyse einen Überblick über den bestehenden Status Quo zu verschaffen. Hier kann eine Softwarelösung, die auf Schwachstellen prüft, installiert werden, auf deren Scan-Ergebnisse sowohl der Dienstleister als auch das Unternehmen Zugriff haben. So wird eine Basis geschaffen, auf der mit dem Dienstleister die notwendigen Maßnahmen und nächsten Schritte festgelegt werden können.

Unser Fazit:

Schwachstellen-Management ist für jedes Unternehmen zwingend notwendig. Egal wie groß das Unternehmen ist, es muss zu jeder Zeit ein Überblick über bestehende IT-Assets und zusammenhängende Schwachstellen bestehen. Die mit der Schwachstellen-Beseitigung zusammenhängenden Maßnahmen müssen gelistet und priorisiert und konsistent bearbeitet werden. Auch bei Betrieb via Cloud oder durch Dienstleister müssen Maßnahmen festgelegt und die erfolgreiche Umsetzung verfolgt und geprüft werden. Ohne erfolgreiches Schwachstellen-Management ist jedes Unternehmen leichte Beute für Cyberkriminelle. Je schneller ein effektives Schwachstellen-Management eingeführt wird, desto besser.

Quelle: LinkedIn

Leave a Comment