Sichere Digitalisierung im April: Schwachstelle. Was nun? Lösungsansätze für den Mittelstand
Herzlich Willkommen zu unserem Newsletter!
Hier geben wir einen Überblick über geplante Aktivitäten und beleuchten jeden Monat einen Aspekt sicherer Digitalisierung.
Interessante Aktivitäten im April:
LinkedIn-Livestream am Donnerstag, den 18.04.2024, 12:00h: „CyberKlartext. Julian Zaudig: Cybersicherheit aus juristischer Perspektive“ – mit Julian Zaudig, juristischer Experte für unternehmerische Sorgfaltspflichten im Umgang mit IT-Sicherheitsrisiken, und Sonna Barry, VP Business Development & Strategy. Melden Sie sich hier an.
LinkedIn-Livestream am Dienstag, den 30.04.2024, 12:00h: „Wir sind gut abgesichert… oder?” – Erfolgreicher IT-Betrieb für Manager“ – mit Alpha Barry, CEO secida AG, und Sonna Barry, VP Business Development & Strategy. Melden Sie sich hier an.
Sichere Digitalisierung im April: Schwachstelle. Was nun? Lösungsansätze für den Mittelstand
Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier.
Was ist eine Schwachstelle in der IT-Infrastruktur?
Schwachstellen in IT-Systemen entstehen häufig durch die Nutzung eines veralteten Stands von Betriebssystem oder Software. Sicherheitsforscher melden immer wieder, dass bestimmte Versionen einer Software Schwachstellen haben, die Angreifer ausnutzen können. Nach Bekanntwerden der Information bemüht sich der Anbieter in der Regel die Schwachstelle schnellstmöglich zu beheben und gibt seine Lösung als Patch oder Update an seine Kunden weiter. Auch ein Fehler in der Konfiguration eines Betriebssystems kann zu einer Schwachstelle führen. Oder Anbieter fügen Software-Bibliotheken in ihre Lösung ein, die ihrerseits Schwachstellen enthalten. So passiert es, dass plötzlich viele Anbieter gleichzeitig betroffen sind. Wir erinnern uns z.B. an die Situation rund um Log4J, eine Schwachstelle in der Java-Software-Bibliothek.
Es ist für Unternehmen generell sinnvoll, sich regelmäßig einen Überblick über potenzielle Schwachstellen in betriebseigenen Systemen und eingesetzter Software zu verschaffen.
Nach deren Erkennen müssen sie kategorisiert und möglichst schnell behoben werden. Hat das Unternehmen den Betrieb der IT-Infrastruktur ganz oder in Teilen an einen Dienstleister vergeben, sollte sichergestellt werden, dass dieser sich regelmäßig mit der Thematik auseinandersetzt.
Wo sind Software-Schwachstellen gelistet? Und was dann?
Es gibt Bibliotheken im Netz, die identifizierte Schwachstellen auflisten und nach bestimmten Kriterien das mit Ihnen einhergehende Risiko definieren. Bei bis einer zu einer fünfstelligen Menge von Einträge ist eine persönliche und manuelle Analyse nur mit hohem Aufwand möglich. Für eine effektive Auswertung ist es außerdem wichtig genau zu wissen, welche Geräte mit welcher Software im eigenen Unternehmen genutzt werden. Gerade Software, die nur von wenigen Mitarbeitenden im Unternehmen verwendet wird, fliegt ohne gute Übersichtslisten schnell unter dem Radar.
Unsere Empfehlung: Eine automatisierte Erfassung von in der Firma verwendeten Geräten und Software ist empfehlenswert. Wenn hierfür ein Software-Tool genutzt wird, ist es eine logische Weiterentwicklung, dass das eingesetzte Tool parallel die verwendeten Lösungen mit entsprechenden Online-Datenbanken abgleicht und eine entsprechende Übersicht gefundener Schwachstellen inklusive Risikoeinschätzung mitliefert. Es gibt diverse Anbieter und die einhergehenden Kosten sind auch für den Mittelstand inzwischen akzeptabel und kontrollierbar.
Was ist mit Open Source?
Es gibt auch Open Source-Tools für Schwachstellen-Management, die, wenn entsprechendes Fachwissen intern zur Verfügung steht, in eigene Programmierungen und Systeme eingefügt und selbst betrieben werden können. So entstehen keine Kosten für Software-Lizenzen, dafür benötigt die Firma kostspieligere inhouse-Expertise, um eine effektive und vor allem fehlerfreie Implementierung der Open Source-Lösung zu garantieren. Wenn dies nicht garantiert werden kann, ist es besser, auf externe Dienstleister mit der passenden Expertise zurückzugreifen. Hier ist ein Software-Tool meistens die preisgünstigere Wahl.
Warum ist Schwachstellen-Management auch für die Geschäftsführung wichtig?
Schwachstellen-Management und zugehörige Prozesse sind heute ein zentraler Punkt z.B. bei Vergabe von Versicherungspolicen oder Zertifizierungen. Deswegen muss jedes Unternehmen eine für die eigene Situation passende Lösung entwickeln. Für interne IT-Abteilungen ist die größte Herausforderung häufig die Kapazität: Ist es dem Team möglich ein regelmäßiges, organisiertes Schwachstellen-Management zu betreiben, das externen Anforderungen genügt, während es parallel dafür sorgt, dass alle Abteilungen des Unternehmens IT-seitig reibungslos arbeiten können? Häufig ist dafür die Ressourcenlage nicht ausgelegt und es müssen effektivere Lösungen gefunden werden.
Automatisierung ist im Schwachstellen-Management eine gute Unterstützung.
Updates und Patches können für im Unternehmen verwendete Lösungen automatisiert eingespielt werden: Viele Unternehmen nutzen heute Tools, die entsprechende Softwarepakete auf die einzelnen Arbeitsplätze verteilen. So werden aktuelle Softwarestände auf den Clients entsprechend abgesichert ohne das IT-Team zusätzlich zu belasten.
Diese Automatisierung ermöglicht, dass sich die IT kapazitär auf ein schwierigere Themen fokussiert. Eines davon ist das Updaten von Servern. Bei Servern können Updates nicht einfach eingespielt werden. Unkontrolliert durchgeführte Updates und Patches können hier zu Stillständen führen, die sich negativ auf das gesamte Unternehmen auswirken. So muss z.B. vor einem Betriebsupdate geprüft und getestet werden, ob es mit sämtlichen Softwarepaketen, die auf diesem Server laufen, kompatibel ist.
Firmen sollten strategisch analysieren, wie schnellstmögliches Schwachstellen-Management mit optimaler Kapazitätsausnutzung kombiniert werden kann.
Diese Informationen müssen in die aktuelle Risikostrategie des Unternehmens einfließen, denn die Geschäftsführung muss entscheiden, wie verbundene Risiken mitigiert werden sollen. Wie wägt man die Nutzung vorhandener IT-Kapazitäten und notwendige Bearbeitung von Schwachstellen effektiv ab? Welche Risiken sollen eingegangen, welche in jedem Falle vermieden werden?
Damit die IT die für Entscheider relevanten Informationen in einem passenden Format erstellen kann, benötigt sie eine Übersicht über sämtliche betriebsrelevanten Systeme:
- Ohne welche Systeme ist ein Weiterbetrieb des Unternehmens nicht möglich (z.B. ERP-Systeme, Produktionssysteme, Warenwirtschaftssysteme und Lagerverwaltung etc.)?
- Gibt es Kritikalitätsabstufungen, die in die Schwachstellen-Strategie einfließen sollten?
Schwachstellen in betriebskritischen Systemen müssen vorrangig bekämpft werden. Parallel kann die Kritikalität der jeweiligen Schwachstellen mit in die Bewertung und die Reihenfolge, in dem sie gelöst werden müssen, mit einfließen.
Wenn sich das anhört wie Business Continuity Management, dann haben Sie recht. Schwachstellen-Management ist eine wichtige Komponente davon.
Auch Rechner, die unmittelbar mit den als wichtig identifizierten Systemen zusammenhängen, müssen mit eingebunden werden. Ein Computer, mit dem das essenzielle ERP-System administriert wird, ist genauso wichtig, wie das ERP-System selbst. Auf einem solchen Rechner wird mit Benutzer-Credentials gearbeitet, die signifikante Änderungen am System ermöglichen. Wenn dieser Rechner von Angreifern übernommen wird, kann die Kontrolle über das ERP-System erlangt und entsprechender Schaden angerichtet werden. Da hilft es nichts, wenn das ERP-System perfekt gepatcht ist.
Für alle wesentlichen Systeme und Server muss es zusätzlich eine Schwachstellen-Strategie für die Arbeitsumgebung, aus der sie administriert werden, geben.
Das gilt für wichtige Authentifizierungssysteme genauso wie für das Active Directory.
Sind Mitarbeitende teil des Schwachstellen-Managements? Nein. Denn Schwachstellen-Management im klassischen Sinne fokussiert auf technische Herausforderungen. Es bleibt trotzdem wichtig, Mitarbeitende bestmöglich zu schulen, damit Angreifer nicht durch sie Zugriff auf die Systeme erlangen.
Wie können Geschäftsführer und Führungskräfte die Qualität des aktuellen Schwachstellenmanagements beurteilen?
Wenn geringeres Fachwissen besteht, müssen Führungskräfte sich – wie in anderen Bereichen, in denen Sie nicht die Experten sind – an sachkräftige Aussagen heranarbeiten. Dies geht gut durchführende Fragen. Zum Beispiel ist
- Wie machen wir heute Schwachstellen-Management?
Das ist eine gute Frage, um sich einen Eindruck von Wissensstand und Qualität im IT-Team zu verschaffen:
- Wirkt die gegebene Antwort schlüssig?
- Gibt es offensichtlichen Schwächen im vorgestellten Konstrukt?
- Ist die Brücke zwischen Risikomanagement, Business Continuity-Strategie und dem vorgestellten Thema logisch nachvollziehbar?
- Hat mein Gegenüber direkt schlüssige Antworten auf weiterführende Fragen?
- Ergo: handelt es sich um ein vollständiges Konzept?
Wenn der Ansprechpartner in diesem Prozess den Anschein erweckt, gut in der Materie zu sein und eine gute Umsetzung geschaffen zu haben, ist das ein erster positiver Indikator. Sollten nach dem Gespräch genauso viele Fragen wie vorher bestehen, kann es sinnvoll sein, einen automatisierten Schwachstellen-Scan durchzuführen, um sich einen Eindruck der aktuellen Lage zu verschaffen. Selbst wenn „nur“ über die Adressen gescannt wird, mit denen das Unternehmen einen Außenkontakt ins Internet hat, gibt das ein gutes erstes Indiz zur Gesamtqualität des internen Schwachstellen-Prozesses. Gibt es wenig bis keine Schwachstellen, bestätigt das, dass das interne Team das Thema im Griff hat, gibt es viele Beanstandungen, muss tiefergehend analysiert werden. Auch das interne Netzwerk kann so gescannt werden. Allerdings ist es hierzu notwendig, einen Analyseserver des Dienstleisters ins interne Netzwerk einzubinden, der dann dort Schwachstellen aufspürt und kategorisiert.
Generell ist es empfehlenswert, Schwachstellen-Scans regelmäßig durchzuführen um sich gegen Fehler in Konfiguration oder innerhalb des Automatisierungs-Setups abzusichern.
Das eigene Schwachstellen-Management sollte gleichzeitig regelmäßig an neue Gegebenheiten angepasst werden. Als Faustregel für Manager gilt: Je weniger Systeme in Schachstellen-Scans Verbesserungspotential aufweisen, desto mehr Fokus wird seitens der IT auf dieses Thema gelegt.
Sind diese Schwachstellenscans dasselbe wie ein Penetrationtest? Mitnichten. Aber günstiger.
Ein automatisierter Scan ist nicht mit der Aktivität eines echten Hackers zu vergleichen, ruft allerdings deutlich geringere Kosten auf. Fangen Sie mit automatisierten Scans an und bearbeiten Sie die aufgerufenen Schwachstellen. Wenn ein automatisierte Scans sehr gute Resultate liefern, kann es sinnvoll sein, in der Folge einen Penetrationtest zu beauftragen. Dieser wird garantiert weitere Resultate zu Tage bringen, denn gutes Schwachstellen-Management ist keine vollständige Systemabsicherung.
Jedes Unternehmen sollte, bevor es teure Experten für einen Penetrationtest bucht, zuerst sämtliche offensichtlichen Schwachstellen geschlossen haben.
Schließlich würden Sie auch keinen Einbruchsprofi beauftragen testweise in Ihre Produktionsstätte einzudringen, wenn klar ist, dass es noch diverse größere Löcher im Außenzaun gibt.
Führungskräfte müssen das Thema Schwachstellen-Management in der IT nicht in der Tiefe verstehen, sie sollten sich allerdings einen Überblick zum aktuellen Stand der Dinge verschaffen. Schwachstellen-Management ist ein absolutes Basisthema der Cybersicherheit: Sollten hier deutliche Schwächen vorliegen, hilft gute Arbeit bei den weiterführenden Themen der Cybersicherheit wenig. Eine gute Geschäftsführung weiß, wie im Unternehmen Schwachstellen-Management gemacht wird und ist sich über aktuelle Qualität und ggf. notwendige weiterführende Maßnahmen im Klaren.
Sie wollen einen auf Entscheider zugeschnittenen Überblick über den aktuellen Status Quo Ihrer IT-Infrastruktur, wenn es um Cybersicherheit geht?
Unsere Lösung CyberEval360 bietet diese Übersicht inklusive Risikoanalyse und Maßnahmenkatalog für den Mittelstand ab 7.500,- €. Sprechen Sie uns gerne an.
Quelle: LinkedIn