{"id":3284,"date":"2023-08-04T09:00:00","date_gmt":"2023-08-04T07:00:00","guid":{"rendered":"https:\/\/www.secida.com\/?p=3284"},"modified":"2024-08-20T17:35:23","modified_gmt":"2024-08-20T15:35:23","slug":"hallo-welt-4","status":"publish","type":"post","link":"https:\/\/www.secida.com\/en\/hallo-welt-4\/","title":{"rendered":"secida im August"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Sichere Digitalisierung im August: Effektives Schwachstellen-Management f\u00fcr den Mittelstand<\/span><\/h4>

Herzlich Willkommen zu unserem Newsletter!<\/p>

Hier geben wir einen \u00dcberblick \u00fcber geplante Aktivit\u00e4ten und beleuchten einen Aspekt sicherer Digitalisierung.<\/p>

Interessante Aktivit\u00e4ten im August<\/strong>:<\/h5>

LinkedIn-Livestream am\u00a0Dienstag, den 29.08.2023, 12:00h: \u201eMehr Sicherheit (und mehr Papier) – NIS2 und der Mittelstand\u201c\u00a0<\/strong>– mit Alpha Barry, CEO secida AG. Melden Sie sich\u00a0hier<\/a>\u00a0an.<\/p>

Effektives Schwachstellen-Management f\u00fcr den Mittelstand<\/h5>

Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie\u00a0hier<\/a>.\u00a0\u00a0<\/p>

Was genau ist Schwachstellen-Management?<\/h5>

Cyberkriminelle nutzen unterschiedliche M\u00f6glichkeiten in die IT des Unternehmens hineinzukommen. Sehr beliebt ist der Diebstahl von Benutzer-Credentials. Doch es gibt auch die Variante, aus dem Internet \u00fcber Schwachstellen, wie noch nicht geflickte L\u00fccken, die z.B. durch eine fehlerhafte Konfigurierung eines Systems verursacht wurden, oder nicht upgedatete fehlerhafte Softwareversionen in das Unternehmensnetzwerk einzudringen. Auch fehlende Updates des Betriebssystems k\u00f6nnen zu dieser Art von Eintrittsm\u00f6glichkeit f\u00fchren. Sollten Angreifer \u00fcber Kenndaten eines Benutzers Zugriff auf dessen Computer bekommen, k\u00f6nnen sie Schwachstellen auch daf\u00fcr nutzen, ihre Reichweite innerhalb des Unternehmensnetzwerks zu vergr\u00f6\u00dfern.<\/p>

Es ist offensichtlich: es ist f\u00fcr Unternehmen essenziell Schwachstellen zu vermeiden. Wir empfehlen deswegen dringend, wenn noch nicht geschehen, einen kontinuierlichen Prozess zu entwickeln, der es erm\u00f6glicht, Schwachstellen schnell zu erkennen, nach Risiko zu qualifizieren und zu beheben.<\/p>

Auch f\u00fcr kleine und mittelst\u00e4ndische Unternehmen ist es wichtig, diese L\u00fccken schnellstm\u00f6glich zu stopfen. Der Aufwand f\u00fcr Hacker ist\u00a0inzwischen sehr gering, deswegen muss der Return of Investment eines Hacks nicht riesig sein um Profit zu generieren. Da kleine und mittlere Unternehmen h\u00e4ufig schlechter gesch\u00fctzt sind, werden sie als Angriffsziele zunehmend attraktiv.<\/p>

Au\u00dferdem ist effektives Schwachstellen-Management f\u00fcr Cyber-Versicherungen ein essenzielles Thema. \u00a0Ohne ein gutes Konzept ist es schwer eine Cyber-Versicherungspolice mit attraktiven Pr\u00e4mien zu erhalten \u2013 wenn unter diesen Umst\u00e4nden der Abschluss einer Versicherungspolice \u00fcberhaupt noch m\u00f6glich ist.<\/p>

Wo finde ich eine Schwachstellen-\u00dcbersicht?<\/h5>

Es ist nicht notwendig Cybersicherheits-Experte zu sein, um Schwachstellen in der eigenen IT-Infrastruktur zu erkennen. Es gibt kostenfreie Datenbanken, in denen bekannte Schwachstellen s\u00e4mtlicher IT-Assets gesammelt werden. Diese Datenbanken werden aktualisiert, wenn neue Schwachstellen gefunden, gemeldet und klassifiziert werden. Die Klassifizierung ist wichtig, damit schnell erkannt werden kann, wie kritisch die gefundene Schwachstelle ist (Kritikalit\u00e4tsskala geht von 1 „relativ unkritisch“ bis 10 „h\u00f6chst kritisch“). Je kritischer die Schwachstelle ist, desto schneller sollte sie gefixt werden. Es ist selbstverst\u00e4ndlich m\u00f6glich diese Datenbanken so zu filtern, dass so schnell wie m\u00f6glich die Schwachstellen gefunden werden, die f\u00fcr das jeweilige Unternehmen relevant sind. Zus\u00e4tzlich gibt es dort die notwendigen Hinweise, wie die jeweilige Schwachstelle gefixt werden kann (Link zu Patches, Updatehinweise etc.). Sie k\u00f6nnen diese Datenbanken verwenden, um eine Liste von f\u00fcr Ihre Unternehmens-IT-relevante bestehende Schwachstellen zu erstellen und sie basierend auf der jeweiligen Kritikalit\u00e4t zu priorisieren und regelm\u00e4\u00dfig zu aktualisieren.<\/p>

Die Basis: Eine gute \u00dcbersicht \u00fcber bestehende IT-Assets<\/h5>

Im ersten Schritt ben\u00f6tigt man (vor allem bei eigenst\u00e4ndig betriebener on-premise IT-Infrastruktur) eine regelm\u00e4\u00dfig \u00fcberpr\u00fcfte, aktualisierte und m\u00f6glichst vollst\u00e4ndige Inventarliste der IT-Assets. Eine solche Liste muss entweder konsistent h\u00e4ndisch gepflegt oder deren Aktualisierung muss automatisiert werden. Gerade im Mittelstand ist es wichtig, eine m\u00f6glichst preisg\u00fcnstige L\u00f6sung zu finden, die eine gute Balance zwischen Softwarekosten und Personalkapazit\u00e4t bietet. Preiswertere Software-L\u00f6sungen, wie z.B. open-source-Tools beinhalten\u00a0wegen notwendiger Konfigurationen und Updates einen h\u00f6heren, regelm\u00e4\u00dfig auftretenden Personalaufwand. Wenn also – wie oft in der IT – eher begrenzte Personalkapazit\u00e4t vorhanden ist, empfiehlt es sich eher, ein teureres Tool zu w\u00e4hlen, dass automatisiert die IT-Infrastruktur auf Schwachstellen pr\u00fcft und potentiell sogar einen Ma\u00dfnahmenplan zu deren Behebung erstellt, der erkannte L\u00fccken nach Kritikalit\u00e4t listet und Hinweise beinhaltet, wie schnell diese bearbeitet werden sollten. Bei Einsatz einer solchen L\u00f6sung kann unternehmensseitig je nach Einsch\u00e4tzung der Gefahrenlage entschieden werden, wie h\u00e4ufig so ein Scan erfolgen soll. Gro\u00dfe Betriebsupdates oder Softwarepaket-Updates etc. bekommt eine funktionierende IT auch im regul\u00e4ren Betrieb mit, doch Updates speziellerer Systeme oder Konfigurationsfehler k\u00f6nnen durchaus durchs Raster fallen. Wir empfehlen in der Regel mindestens einen vollst\u00e4ndiger Scan der IT-Infrastruktur pro Quartal, um das \u00dcbersehen gravierender Schwachstellen im System zu vermeiden. Wenn die IT-Infrastruktur schon weitgehend in der Cloud gehostet oder von externen Dienstleistern betrieben wird, muss das oben genannte Szenario etwas angepasst werden.<\/p>

Schwachstellen-Management in der Cloud<\/h5>

In der Cloud ist es deutlich einfacher zu \u00fcberblicken welche Assets in der eigenen IT-Infrastruktur verwendet werden. Cloud-basierte Dienstleister bieten Listen aller in der Cloud gehosteten Assets, die einen schnellen \u00dcberblick erm\u00f6glichen. Die auf den Rechnern verwendete Software und Betriebssysteme k\u00f6nnen schnell und effektiv ausgelesen werden. Es k\u00f6nnen Standards zum Vergleich oder als Vorgabe abgelegt werden, um sicherzugehen, dass nur vordefinierte und freigegebene L\u00f6sungen installiert und in den aktuellsten Versionen implementiert sind. Diese Zusatzfunktionalit\u00e4ten kosten nat\u00fcrlich Geld, das an den Cloudprovider gezahlt werden muss.<\/p>

F\u00fcr in der Cloud betriebene Serversysteme sinkt der Aufwand nicht ganz so stark: Auch ein in die Cloud verlagerter virtueller Server muss durch die eigene IT upgedatet und sich entsprechend weiterhin um das Schwachstellen-Management gek\u00fcmmert werden. Eine Alternative ist, f\u00fcr bestimmte Systeme, wie z.B. das ERP-System, eine Instanz direkt von einem L\u00f6sungsanbieter anzumieten. In diesem Ansatz geht die Verantwortung f\u00fcr das Schwachstellen-Management an den L\u00f6sungsanbieter \u00fcber, der die Server betreibt und gegen\u00fcber seinen Kunden f\u00fcr ein gutes Schwachstellen-Management in der Verantwortung steht. Es ist die Pflicht des Kunden vor Vertragsabschluss sicherzustellen, dass dies vertraglich zugesichert ist.<\/p>

Schwachstellen-Management bei externen Dienstleistern<\/h5>

Es gibt auch Unternehmen, die den gesamten IT-Betrieb an einen externen Dienstleister ausgelagert haben. In unseren Augen ist es auch hier sinnvoll zu pr\u00fcfen, ob das Schwachstellen-Management dieses Providers ad\u00e4quat ist. Im ersten Schritt gilt es, den bestehenden Vertrag zu pr\u00fcfen: Wie schnell nach Bekanntwerden einer Schwachstelle, verpflichtet sich der Anbieter, den entsprechenden Patch einzuspielen und sicherzugehen, dass die L\u00fccke gestopft ist? Ist die vereinbarte Zeitspanne ad\u00e4quat und ggf. nach Kritikalit\u00e4t gestaffelt? Ein vertraglich gut aufgestelltes Schwachstellen-Management seitens des Dienstleisters ist auch ein effektiver Nachweis f\u00fcr den Cyberversicherer.<\/p>

Was ist aber zu tun, wenn der Vertrag diesbez\u00fcglich schwammig formuliert ist, bzw. aktuell keine Erw\u00e4hnung dieser Thematik zu finden ist? Eine L\u00f6sungsansatz ist es, bei der n\u00e4chsten Verhandlungsrunde vertraglich nachzuarbeiten. Dies kann ggf. dazu f\u00fchren, dass ein nun vereinbartes \u201emehr\u201c an Service zu einem h\u00f6heren Kostensatz f\u00fchrt. Wenn der Dienstleister ein Rechenzentrum betreibt, das dem Unternehmen geh\u00f6rt, gibt es die M\u00f6glichkeit, sich gemeinsam durch eine externe und interne Schwachstellen-Analyse einen \u00dcberblick \u00fcber den bestehenden Status Quo zu verschaffen. Hier kann eine Softwarel\u00f6sung, die auf Schwachstellen pr\u00fcft, installiert werden, auf deren Scan-Ergebnisse sowohl der Dienstleister als auch das Unternehmen Zugriff haben. So wird eine Basis geschaffen, auf der mit dem Dienstleister die notwendigen Ma\u00dfnahmen und n\u00e4chsten Schritte festgelegt werden k\u00f6nnen.<\/p>

Unser Fazit:<\/h5>

Schwachstellen-Management ist f\u00fcr jedes Unternehmen zwingend notwendig. Egal wie gro\u00df das Unternehmen ist, es muss zu jeder Zeit ein \u00dcberblick \u00fcber bestehende IT-Assets und zusammenh\u00e4ngende Schwachstellen bestehen. Die mit der Schwachstellen-Beseitigung zusammenh\u00e4ngenden Ma\u00dfnahmen m\u00fcssen gelistet und priorisiert und konsistent bearbeitet werden. Auch bei Betrieb via Cloud oder durch Dienstleister m\u00fcssen Ma\u00dfnahmen festgelegt und die erfolgreiche Umsetzung verfolgt und gepr\u00fcft werden. Ohne erfolgreiches Schwachstellen-Management ist jedes Unternehmen leichte Beute f\u00fcr Cyberkriminelle. Je schneller ein effektives Schwachstellen-Management eingef\u00fchrt wird, desto besser.<\/p>

Quelle: LinkedIn<\/a><\/p>\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t
\n\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\tAuf LinkedIn abonnieren<\/span>\n\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/a>\n\t\t\t\t<\/div>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t<\/section>\n\t\t\t\t<\/div>","protected":false},"excerpt":{"rendered":"

Wie immer mit interessanten Aktivit\u00e4ten im August, dem Link zum Livestream und vielem mehr.<\/p>","protected":false},"author":1,"featured_media":3701,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-3284","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-newsletter"],"_links":{"self":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3284","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/comments?post=3284"}],"version-history":[{"count":17,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3284\/revisions"}],"predecessor-version":[{"id":3743,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/posts\/3284\/revisions\/3743"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media\/3701"}],"wp:attachment":[{"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/media?parent=3284"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/categories?post=3284"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.secida.com\/en\/wp-json\/wp\/v2\/tags?post=3284"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}