Adacor - IT Security

Vulnerability Management – mehr IT-Security dank Früherkennung

23. April 2019 von Michael Seefried

Das Vulnerability Management (oder auch auf Deutsch Schwachstellenmanagement genannt) hat die Aufgaben die Verwundbarkeit in der IT-Infrastruktur eines Unternehmens zu identifizieren und zu beheben. Das Ziel ist die Reduzierung der Risiken für die IT-Systeme sowie die nachhaltige Verbesserung der gesamten Sicherheitsniveaus. Bestenfalls werden mithilfe der Schutzmechanismen Schwachstellen so frühzeitig erkannt, dass sie behoben werden können – noch bevor Cyberkriminellen diese ausnutzen können. Allerdings unterliegt das Vulnerability Management nicht nur technischen Einflüssen. Schwachstellen entstehen ebenfalls aufgrund fehlender Policy- und Compliance-Vorgaben oder einem mangelnden Sicherheitsbewusstsein der Mitarbeitenden. Aus diesem Grund ist es wichtig, die Beschäftigten für das Thema zu sensibilisieren und ihnen aufzuzeigen, welches enorme Gefährdungspotenzial sich hinter den Sicherheitslücken verbirgt. Gegen Social Engineering helfen nur Datenschutzschulungen, Awareness-Kampagnen sowie klare Richtlinien, deren Einhaltung das Unternehmen regelmäßig kontrolliert.

Wozu dient das Vulnerability Management?

850 Millionen Schadprogramme. 53.000 registrierte Sicherheitsvorfälle. 2.200 Datenlecks. Unternehmen wie Volkswagen oder staatliche Institutionen wie die Bundeswehr müssen täglich bis zu 6.000 Cyber-Attacken abwehren. Und die Zahl der Angriffe steigt. Die Zahlen aus dem Jahr 2018 verdeutlichen, dass das Thema Sicherheit die IT-Branche bewegt. Doch wie können Unternehmen ihre IT-Infrastruktur noch sicherer machen? Eine Antwort hierauf ist Vulnerability Management.

Viele IT-Verantwortliche sorgen sich um hochverfügbare Infrastrukturen, reduzieren Ausfallzeiten, erarbeiten Disaster-Recovery-Pläne und nutzen Predictive Maintenance und Predictive Security Analytics – alles, um die IT stets verfügbar und ausfallsicher zu machen.
Doch die wenigsten Unternehmen kümmern sich proaktiv um Schwachstellen in ihrer IT oder wissen, wie sie damit umzugehen haben. Das sogenannte Vulnerability Management – das Schwachstellen-Management – wird sträflich vernachlässigt. Dabei bietet das Vulnerability Management die besten Möglichkeiten, Cyberangriffe im Vorfeld zu stoppen.

Wichtig: Vulnerability Management ist keine einmalige Optimierung, sondern ein fortwährender Prozess. Nur wenn alle Sicherheitslücken rechtzeitig geschlossen werden, verbessert sich die IT-Sicherheit nachhaltig.

Adacor Private Cloud für Unternehmen

Adacor Private Cloud so sicher wie im eigenen Rechenzentrum.

Jetzt über Business Cloud informieren!

Moderne Cloud Lösung für eine sichere IT.
Betrieben in Deutschland.

Wie funktioniert das Vulnerability Management bei Adacor?

Der Ablauf des Vulnerability Managements richtet sich nach Art und Höhe des Gefährdungspotenzials. Je höher das Gefährdungspotenzial ist, desto schneller muss gehandelt werden – meist innerhalb weniger Stunden. Sind Systeme von Kunden betroffen, informieren wir diese unverzüglich per E-Mail.

Neue Impulse gefällig?

Nix verpassen: Abonniere den Adcaor Newsletter!

Nein, Danke.

Ist die Sicherheitslücke kritisch, rufen wir ein CAB (Change Advisory Board) zusammen. Dieses Board besteht aus IT-Experten mit langjähriger Erfahrung. Hierzu zählen Vertreter aus den verschiedenen technischen Fachabteilungen wie Information Security Management (ISM), Customer Operations (COP), Technology Operations (TOP), Network Operations (NOP), Development sowie Customer Sucess Management (CSM).
Je nach Sicherheitsvorfall kann die Zusammensetzung des CAB variieren. So werden Vertreter aus COP immer integriert, wenn Kundensysteme betroffen sind. NOP und TOP werden hinzugeschaltet, wenn zusätzlich interne Systeme wie Firewalls kritische Sicherheitslücken aufweisen.
Die Aufgabe der Experten des CAB ist die Bewertung der Sicherheitslücke und der sich daraus ableitenden Risiken. In Form eines „Emergency Change“ werden anschließend Maßnahmen umgesetzt, um die Sicherheitslücke zu schließen.

Das Besondere: Das CAB hat aufgrund seiner Expertise einen hohen Stellenwert in der IT-Security und verfügt über weitreichende Entscheidungsbefugnis. Die letzten CABs wurden bei Adacor im August 2018 (Foreshadow) und im Oktober 2018 (VMware-Lücke) einberufen.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Schnell und sicher – das Adacor-Ticket-System

Sicherheitsrelevante Maßnahmen (sogenannte „Emergency Changes“) müssen schnellstmöglich umgesetzt werden. Dabei ist es wichtig, die Auswirkungen der Änderungen auf das System eines Kunden genau zu beleuchten und alle relevanten Fragen im Vorfeld mit dem Kunden zu besprechen. Die Kundenkommunikation erfolgt in der Regel über das Adacor-Ticketsystem. Dort wird der Change einwandfrei erfasst und protokolliert.


Der Kunde erfährt dabei:

  • Welche Änderungen sind geplant?
  • Welche Auswirkungen haben die Änderungen auf das laufende System?
  • Wann erfolgt der Change und wie lange dauert er?
  • Wann konnte der Change abgeschlossen werden?

Während der Wartungsarbeiten laufen viele Prozesse parallel und automatisiert ab. Die Abstimmung erfolgt über das CAB. Dadurch werden die meisten Sicherheitslücken innerhalb kürzester Zeit beseitigt. Nach den Wartungsarbeiten und dem Patch sind die Kundensysteme wieder sicher. Im Anschluss informieren wir die betroffenen Kunden über den Abschluss des Change. Das Ticket wird geschlossen, die Änderungen werden in Form eines Changelogs dokumentiert. Je nach Kundenvereinbarung erstellen wir weitere Dokumentationen, wie zum Beispiel einen SLA-Report. Nach den Wartungs- und Reparaturarbeiten diskutiert das CAB abschließend, wie solche Sicherheitslücken zukünftig noch frühzeitiger erkannt und beseitigt werden können. Wichtige Erkenntnisse werden für alle Kolleginnen und Kollegen dokumentiert.

Vulnerability Management – IT Schwachstellen erkennen

Was passiert bei kleineren Sicherheitslücken?

Weniger kritische Sicherheitslücken lassen sich durch automatisierte Prozesse oder schnelle Interventionen unserer IT-Experten beheben. Wenn der Kunde der Meinung ist, dass die Sicherheitslücke für ihn nicht relevant sei, kann er einen Sicherheits-Patch auch auslassen. Wir empfehlen jedoch allen unseren Kunden, jede Sicherheitslücke zu schließen – egal, wie klein diese erscheinen mag. Denn Cyberkriminelle suchen gerne nach solchen „Hintertürchen“, um unbemerkt in ein System zu gelangen.

Lässt sich solch ein Change nicht im laufenden Betrieb umsetzen, werden die Wartungs- und Reparaturarbeiten auf die Nacht verschoben. Hierfür bieten wir einen 24/7-Service, der nachts und an Feiertagen für die Kunden bereitsteht. Durch immer unterschiedlichere IT-Infrastrukturen steigen die Komplexität und die Zahl der Komponenten, die berücksichtigt werden müssen. Ein Unternehmen, das nur ein Rechenzentrum und eine Private Cloud nutzt, stellt andere Anforderungen als ein Konzern mit einer Hybrid Cloud, in der zahlreiche cloudbasierte Services integriert sind.

Das Wichtigste: Die Freigabe und die Priorisierung erfolgen in enger Zusammenarbeit und Kommunikation mit dem Kunden über unser Ticketsystem. Dank festgelegter Kriterien können sicherheitsrelevante Änderungen so innerhalb kürzester Zeit umgesetzt werden. Das spart Zeit und sorgt für reibungslose Prozesse.

Vorbereitung ist alles

Damit wir stets über die aktuellsten Sicherheitslücken informiert sind, nutzen wir:

  1. Schwachstellen-Scans mittels Nessus (Abdeckung für mehr als 47.000 verschiedenartige IT-Assets). Das Beste: Mit dem Adacor Vulnerability Assessment Service können Kunden ihre IT-Systeme automatisch auf neue Sicherheitslücken testen lassen. Wir beraten Sie gerne hierzu.
  2. Die Datenbanken des Warn- und Informationsdienstes (WID) des Bundesamts für Sicherheit in der Informationstechnik. Regelmäßig greifen wir auf die Datenbanken des WID zu, um zu prüfen, ob es für die IT-Systeme unserer Kunden sicherheitsrelevante Schwachstellen gibt.
  3. Datenbanken des Common Vulnerabilities and Exposures (CVE): Das amerikanische Pendant zum WID vergibt automatisch IDs für neu erkannte Sicherheitslücken. Damit unterstützt und erleichtert das CVE die Arbeit vieler IT-Sicherheitsexperten.
  4. Fachmedien (Golem, heise Security), Communitys und soziale Netzwerke (zum Beispiel Twitter) im Bereich IT-Security.

Die 10 häufigsten Sicherheitslücken

Sicherheitslücke ist nicht gleich Sicherheitslücke. Ob nachlässig programmierte Software, Risiken wie Botnetze oder die Bedrohung durch Ransomware und Phishing – Onlinegefahren lauern in vielen Bereichen. Aber welche Arten von Sicherheitslücken gibt es und wie gefährlich sind sie?

  1. Veraltete Software und nicht mehr aktualisierte Plug-ins zählen zu den größten Sicherheitsproblemen in Unternehmen. Gerade in Content-Management-Systemen ist das CMS zwar aktuell, aber oft wird ein beliebtes Plug-in verwendet, das die Entwickler schon vor Jahren aufgegeben haben und das zu einem immer größeren Risiko wird.
  2. Bring your own device (BYOD) ist für viele Unternehmen zu einem großen Problem geworden. Viele Mitarbeiter nutzen zum Arbeiten zu Hause gerne ihre eigenen PCs, Smartphones und Tablets oder bringen diese sogar mit ins Büro. Für IT-Security-Experten eine fast unkontrollierbare Gefahrenquelle.
  3. Auch die Schatten-IT kann schnell zu einem Sicherheitsproblem werden. Manche Abteilungen nutzen unerlaubterweise Software oder File-Sharing-Services, um miteinander zu kommunizieren. Die IT-Abteilung hat keine Ahnung davon und kann entsprechend auch keine Sicherheitsmaßnahmen vornehmen.
  4. Das viel gepriesene Internet of Things (IoT) ist eine Fundgrube für Sicherheitslücken. Viele Hersteller verwenden Standardpasswörter, die für alle Geräte gelten. Oft wurden nicht mal die minimalsten Sicherheitsvorkehrungen getroffen, weil das Thema IT-Sicherheit bisher keine Rolle spielte.
  5. Von einem Denial of Service (DoS) sprechen IT-Experten, wenn ein Internetdienst plötzlich nicht mehr zur Verfügung steht. Das kann aufgrund von Überlastungen der IT-Infrastruktur geschehen. Häufiger verursachen jedoch mutwillige Angriffe auf einen Server diese Defekte. Zwar erhalten die Angreifer dabei in der Regel keine geheimen Informationen, die Angriffe lösen aber schwerwiegende Blockaden aus.
  6. Distributed Denial of Service (DDoS) ist darauf ausgelegt, so viel Traffic wie möglich zu erzeugen und an ein Zielsystem zu schicken, sodass auf der Seite des Zielsystems nicht mehr genug Kapazität bleibt, um zu antworten. So entsteht eine klassische Überlastung eines Servers oder des dahinter liegenden Netzwerks, wie im Artikel zum Thema DDos beschrieben.
  7. Bei Brute-Force-Attacken (Rohe-Gewalt-Attacken) führen die Angreifer automatische Programme aus, die versuchen, sich Tag und Nacht über immer wieder neue Passwörter in ein System einzuloggen. Gegen solche Angriffe schützen Gateways, die nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche den anvisierten User-Zugang für eine bestimmte Zeit blockieren.
    Unser Tipp: Keine Standardpasswörter verwenden und keine Passwörter oder Buchstaben, die sich erraten lassen. Am besten sind Passwörter wie zum Beispiel „3un%&2ZLksog11“.
  8. Der Mensch selbst stellt ebenfalls eine große Sicherheitslücke dar. Social Engineering manipuliert Nutzer durch psychologische Tricks, um ihnen unternehmensrelevante oder sensible Informationen zu entlocken. Dies geschieht häufig per E-Mails und Phishing-Attacken.
    Vorsicht auch vor verschenkten USB-Sticks auf Messen!
  9. Manche Cyberkriminelle infiltrieren Server mittels Remote Code Execution (RCE). Sie führen Schadcode über einen angreifbaren Dienst auf fremden Systemen aus. Das ermöglicht ihnen, mit den gleichen Rechten auf das System zuzugreifen wie der aktuelle Dienst, der angegriffen wird. Im schlimmsten Fall gelingt es den Angreifern dadurch, das System komplett zu übernehmen.
  10. Bei einem Memory Leak – einem Speicherleck – torpedieren die Angreifer den Arbeitsspeicher eines Systems. Zum einen kann dies dazu führen, dass Bereiche aus dem Speicher ausgelesen und Informationen preisgegeben werden, die eigentlich geheim sind. Zum anderen kann es vorkommen, dass die Schadsoftware zunehmend mehr Arbeitsspeicher blockiert. Programmfehler und Systemabstürze können die Folge sein.

Sicherheitslücken schließen – aber richtig

Mit den richtigen Maßnahmen lassen sich die meisten Sicherheitslücken frühzeitig erkennen und schließen. Zu beachten ist allerdings, dass Vulnerability Management nicht nur ein technisches Problem darstellt. Vielmehr ist essenziell, die Beschäftigten eines Unternehmens für das Thema zu sensibilisieren und ihnen aufzuzeigen, welches große Gefährdungspotenzial Sicherheitslücken bergen. Gegen Social Engineering helfen nur Datenschutzschulungen, Awareness-Kampagnen sowie klare Richtlinien, deren Einhaltung regelmäßig kontrolliert wird.

Adacor zum Beispiel schult seine Mitarbeiterinnen und Mitarbeiter regelmäßig, um das Bewusstsein für Sicherheitslücken zu erhöhen. Außerdem führen wir interne Audits durch, die alle Maßnahmen kontrollieren und kontinuierlich an die aktuellen Entwicklungen anpassen. Für uns ist das Vulnerability Management kein zusätzlicher Service, sondern ein fest integrierter Prozess in unserer täglichen Arbeit.

Verwandte Artikel

IT Security

EU-DSGVO: Was sich ab sofort im Datenschutz ändert

Seit dem 25. Mai ist die neue EU-DSGVO inkraft: Haben Sie alles getan, um Ihr Unternehmen vor den Auswirkungen der EU-Datenschutz-Grundverordnung zu wappnen?

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

IT Security

Weniger Bugs – Tipps zum Fehlermanagement im Softwarebereich

Thomas Wittbecker berichtet darüber, wieso es keine absolute Sicherheit vor Software-Bugs geben kann.