{"id":3577,"date":"2024-04-18T18:22:55","date_gmt":"2024-04-18T16:22:55","guid":{"rendered":"https:\/\/www.secida.com\/?p=3577"},"modified":"2024-08-20T17:33:01","modified_gmt":"2024-08-20T15:33:01","slug":"secida-im-april-2","status":"publish","type":"post","link":"https:\/\/www.secida.com\/en\/secida-im-april-2\/","title":{"rendered":"secida im April"},"content":{"rendered":"
\n\t\t\t\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t
\n\t\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

Sichere Digitalisierung im April: Schwachstelle. Was nun? L\u00f6sungsans\u00e4tze f\u00fcr den Mittelstand<\/span><\/h3>

Herzlich Willkommen zu unserem Newsletter!<\/p>

Hier geben wir einen \u00dcberblick \u00fcber geplante Aktivit\u00e4ten und beleuchten jeden Monat einen Aspekt sicherer Digitalisierung.<\/p>

Interessante Aktivit\u00e4ten im April:<\/strong><\/p>

LinkedIn-Livestream am Donnerstag, den 18.04.2024, 12:00h: \u201eCyberKlartext. Julian Zaudig: Cybersicherheit aus juristischer Perspektive\u201c <\/strong>– mit Julian Zaudig, juristischer Experte f\u00fcr unternehmerische Sorgfaltspflichten im Umgang mit IT-Sicherheitsrisiken, und Sonna Barry, VP Business Development & Strategy. Melden Sie sich hier<\/a> an.<\/p>

LinkedIn-Livestream am Dienstag, den 30.04.2024, 12:00h: \u201eWir sind gut abgesichert\u2026 oder?\u201d \u2013 Erfolgreicher IT-Betrieb f\u00fcr Manager\u201c <\/strong>– mit Alpha Barry, CEO secida AG, und Sonna Barry, VP Business Development & Strategy. Melden Sie sich hier<\/a> an.<\/p>

Sichere Digitalisierung im April: Schwachstelle. Was nun? L\u00f6sungsans\u00e4tze f\u00fcr den Mittelstand<\/strong><\/p>

Sie bevorzugen ein Video zum Thema? Unseren 30-Minuten-Talk zum Thema finden Sie hier<\/a>.<\/p>

Was ist eine Schwachstelle in der IT-Infrastruktur?<\/p><\/blockquote>

Schwachstellen in IT-Systemen entstehen h\u00e4ufig durch die Nutzung eines veralteten Stands von Betriebssystem oder Software. Sicherheitsforscher melden immer wieder, dass bestimmte Versionen einer Software Schwachstellen haben, die Angreifer ausnutzen k\u00f6nnen. Nach Bekanntwerden der Information bem\u00fcht sich der Anbieter in der Regel die Schwachstelle schnellstm\u00f6glich zu beheben und gibt seine L\u00f6sung als Patch oder Update an seine Kunden weiter. Auch ein Fehler in der Konfiguration eines Betriebssystems kann zu einer Schwachstelle f\u00fchren. Oder Anbieter f\u00fcgen Software-Bibliotheken in ihre L\u00f6sung ein, die ihrerseits Schwachstellen enthalten. So passiert es, dass pl\u00f6tzlich viele Anbieter gleichzeitig betroffen sind. Wir erinnern uns z.B. an die Situation rund um Log4J, eine Schwachstelle in der Java-Software-Bibliothek.<\/p>

Es ist f\u00fcr Unternehmen generell sinnvoll, sich regelm\u00e4\u00dfig einen \u00dcberblick \u00fcber potenzielle Schwachstellen in betriebseigenen Systemen und eingesetzter Software zu verschaffen.<\/p><\/blockquote>

Nach deren Erkennen m\u00fcssen sie kategorisiert und m\u00f6glichst schnell behoben werden. Hat das Unternehmen den Betrieb der IT-Infrastruktur ganz oder in Teilen an einen Dienstleister vergeben, sollte sichergestellt werden, dass dieser sich regelm\u00e4\u00dfig mit der Thematik auseinandersetzt.<\/p>

Wo sind Software-Schwachstellen gelistet? Und was dann?<\/p><\/blockquote>

Es gibt Bibliotheken im Netz, die identifizierte Schwachstellen auflisten und nach bestimmten Kriterien das mit Ihnen einhergehende Risiko definieren. Bei bis einer zu einer f\u00fcnfstelligen Menge von Eintr\u00e4ge ist eine pers\u00f6nliche und manuelle Analyse nur mit hohem Aufwand m\u00f6glich. F\u00fcr eine effektive Auswertung ist es au\u00dferdem wichtig genau zu wissen, welche Ger\u00e4te mit welcher Software im eigenen Unternehmen genutzt werden. Gerade Software, die nur von wenigen Mitarbeitenden im Unternehmen verwendet wird, fliegt ohne gute \u00dcbersichtslisten schnell unter dem Radar.<\/p>

Unsere Empfehlung<\/strong>: Eine automatisierte Erfassung von in der Firma verwendeten Ger\u00e4ten und Software ist empfehlenswert. Wenn hierf\u00fcr ein Software-Tool genutzt wird, ist es eine logische Weiterentwicklung, dass das eingesetzte Tool parallel die verwendeten L\u00f6sungen mit entsprechenden Online-Datenbanken abgleicht und eine entsprechende \u00dcbersicht gefundener Schwachstellen inklusive Risikoeinsch\u00e4tzung mitliefert. Es gibt diverse Anbieter und die einhergehenden Kosten sind auch f\u00fcr den Mittelstand inzwischen akzeptabel und kontrollierbar.<\/p>

Was ist mit Open Source?<\/p><\/blockquote>

Es gibt auch Open Source-Tools f\u00fcr Schwachstellen-Management, die, wenn entsprechendes Fachwissen intern zur Verf\u00fcgung steht, in eigene Programmierungen und Systeme eingef\u00fcgt und selbst betrieben werden k\u00f6nnen. So entstehen keine Kosten f\u00fcr Software-Lizenzen, daf\u00fcr ben\u00f6tigt die Firma kostspieligere inhouse-Expertise, um eine effektive und vor allem fehlerfreie Implementierung der Open Source-L\u00f6sung zu garantieren. Wenn dies nicht garantiert werden kann, ist es besser, auf externe Dienstleister mit der passenden Expertise zur\u00fcckzugreifen. Hier ist ein Software-Tool meistens die preisg\u00fcnstigere Wahl.<\/p>

Warum ist Schwachstellen-Management auch f\u00fcr die Gesch\u00e4ftsf\u00fchrung wichtig?<\/p><\/blockquote>

Schwachstellen-Management und zugeh\u00f6rige Prozesse sind heute ein zentraler Punkt z.B. bei Vergabe von Versicherungspolicen oder Zertifizierungen. Deswegen muss jedes Unternehmen eine f\u00fcr die eigene Situation passende L\u00f6sung entwickeln. F\u00fcr interne IT-Abteilungen ist die gr\u00f6\u00dfte Herausforderung h\u00e4ufig die Kapazit\u00e4t: Ist es dem Team m\u00f6glich ein regelm\u00e4\u00dfiges, organisiertes Schwachstellen-Management zu betreiben, das externen Anforderungen gen\u00fcgt, w\u00e4hrend es parallel daf\u00fcr sorgt, dass alle Abteilungen des Unternehmens IT-seitig reibungslos arbeiten k\u00f6nnen? H\u00e4ufig ist daf\u00fcr die Ressourcenlage nicht ausgelegt und es m\u00fcssen effektivere L\u00f6sungen gefunden werden.<\/p>

Automatisierung ist im Schwachstellen-Management eine gute Unterst\u00fctzung.<\/p><\/blockquote>

Updates und Patches k\u00f6nnen f\u00fcr im Unternehmen verwendete L\u00f6sungen automatisiert eingespielt werden: Viele Unternehmen nutzen heute Tools, die entsprechende Softwarepakete auf die einzelnen Arbeitspl\u00e4tze verteilen. So werden aktuelle Softwarest\u00e4nde auf den Clients entsprechend abgesichert ohne das IT-Team zus\u00e4tzlich zu belasten.<\/p>

Diese Automatisierung erm\u00f6glicht, dass sich die IT kapazit\u00e4r auf ein schwierigere Themen fokussiert. Eines davon ist das Updaten von Servern<\/strong>. Bei Servern k\u00f6nnen Updates nicht einfach eingespielt werden. Unkontrolliert durchgef\u00fchrte Updates und Patches k\u00f6nnen hier zu Stillst\u00e4nden f\u00fchren, die sich negativ auf das gesamte Unternehmen auswirken. So muss z.B. vor einem Betriebsupdate gepr\u00fcft und getestet werden, ob es mit s\u00e4mtlichen Softwarepaketen, die auf diesem Server laufen, kompatibel ist.<\/p>

Firmen sollten strategisch analysieren, wie schnellstm\u00f6gliches Schwachstellen-Management mit optimaler Kapazit\u00e4tsausnutzung kombiniert werden kann.<\/p><\/blockquote>

Diese Informationen m\u00fcssen in die aktuelle Risikostrategie des Unternehmens einflie\u00dfen, denn die Gesch\u00e4ftsf\u00fchrung muss entscheiden, wie verbundene Risiken mitigiert werden sollen. Wie w\u00e4gt man die Nutzung vorhandener IT-Kapazit\u00e4ten und notwendige Bearbeitung von Schwachstellen effektiv ab? Welche Risiken sollen eingegangen, welche in jedem Falle vermieden werden?<\/p>

Damit die IT die f\u00fcr Entscheider relevanten Informationen in einem passenden Format erstellen kann, ben\u00f6tigt sie eine \u00dcbersicht \u00fcber s\u00e4mtliche betriebsrelevanten Systeme:<\/p>