Wie das Vulnerability Management gelingt

  • Wie erfahren die Techniker von aktuellen oder drohenden Sicherheitslücken?
  • Welche Schritte laufen bei einem Managed Service Provider ab, um schnell reagieren zu können?
  • Wie sieht das Zusammenspiel zwischen Managed Service Provider und Kunden aus?

Der Prozess des Vulnerability Managements gestaltet sich je nach Art und Bedeutsamkeit einer Sicherheitslücke unterschiedlich. Von Lücken mit großer Kritikalität erfahren IT-Verantwortliche meist über einschlägige Fachmedien. Bei Adacor setzt sich in einem solchen Fall sofort ein Expertenteam für IT-Sicherheit zusammen, um die Sicherheitslücke zu bewerten. Welche Systeme und wie viele und welche Kunden sind betroffen?

Stellt das Team fest, dass Kundensysteme von einer Sicherheitslücke bedroht sind, heißt es: Schnell handeln! In der Regel entscheidet Adacor innerhalb von zwei Stunden, ob das Change Advisory Board – das ist ein Gremium aus den Teamleitern aller Abteilungen – eingeschaltet wird. Dort bewerten die Experten den „Fall“ noch einmal ausführlich im Kundenkontext. Nachdem also eine allgemeine Bewertung der Lücke durch die IT-Sicherheitsexperten sowie eine kundenspezifische Bewertung über die Teamleiter vorgenommen wurde, erfolgt die endgültige Einschätzung. Sollte demnach ein „Notfall“ vorliegen, werden die betroffenen Kunden unverzüglich per E-Mail informiert.

In dieser E-Mail erfahren die Kunden, welches Sicherheitsproblem aufgetreten ist und ob die Reparatur der Lücke Auswirkungen auf den laufenden Betrieb der Systeme hat. Innerhalb von weiteren zwei Stunden müssen die Kundenunternehmen entscheiden, ob sie ein Veto gegen die Reparaturarbeiten einlegen wollen. Dies kann zum Beispiel der Fall sein, wenn ein Serverausfall für ein Unternehmen hohe Umsatzverluste mit sich bringen würde. Häufig entscheiden sich Unternehmen dann, Wartungs- und Reparaturarbeiten auf die Nacht zu verschieben. In diesen Fällen werden die Administratoren nachts tätig, denn den Kunden steht dieser Service 24 Stunden am Tag, sieben Tage in der Woche zur Verfügung.

Legen die Kunden kein Veto ein, starten die Sicherheitsexperten nach zwei Stunden mit den Reparaturarbeiten. Dabei stehen die Mitarbeiter in einem ständigen Austausch, sodass ähnliche Konfigurationen möglichst schnell mit Sicherheits-Updates versorgt werden können und keine Zeit für doppelte Recherchen verschwendet wird. Alle Kunden können davon ausgehen, dass ihre Systeme innerhalb von 48 Stunden in den Wartungsmodus gehen. Insgesamt bleiben Adacor also zwei Tage Zeit, um alle Systeme zu fixen. Viele Prozesse werden dabei automatisiert durchgeführt, häufig sind innerhalb weniger Stunden alle Sicherheitslücken geschlossen, oder wie es in der IT-Sprache heißt: „gepatcht“ [patch = Pflaster]. Nur bei sehr komplexen oder extrem individuellen Anwendungen schöpft das Team in Ausnahmefällen die 48 Stunden aus. Eine abschließende E-Mail informiert alle Kunden, wenn die Wartungsfenster beendet sowie alle Systeme gepatcht und auf sicherem Stand sind. Den Abschluss eines solchen Wartungszyklus bildet immer eine Retrospektive. Administratoren, Teamleiter und Kundenbetreuer setzen sich zusammen und analysieren, wie der Prozess verlaufen ist, wie Schnittstellen noch verbessert werden können oder welche Erkenntnisse für die kommenden Projekte dokumentiert und an alle Teammitglieder kommuniziert werden sollten. Vulnerability Management ist ein kontinuierlicher Prozess.

Der Notfallprozess in 5 Schritten

  1. Der Kunde wird per E-Mail über den Notfall informiert.
  2. Innerhalb einer Reaktionszeit von zwei Stunden kann der Kunde Veto gegen die Wartungs- und Reparaturarbeiten einlegen und dafür eine abweichende Zeit vereinbaren.
  3. Danach starten die Wartungs- und Reparaturarbeiten inklusive des Einspielens von Sicherheits-Updates für ähnliche Konfigurationen. Sie dauern maximal 48 Stunden.
  4. Der Kunde wird per E-Mail über das Ende des Wartungsfensters informiert.
  5. Es erfolgt eine Retrospektive im Team (Administratoren, Teamleiter, Kundenbetreuer).

Bedeutende Analysequellen

Nicht immer sind Sicherheitslücken von so großer Relevanz, dass sich die Fachmedien damit befassen und sie den Einsatz eines ganzen Expertenteams erfordern. Viele Schwachstellen können durch Automatisierungsprozesse oder schnelle Interventionen behoben werden. Welche Quellen nutzt zum Beispiel ein Hosting-Unternehmen wie Adacor, um von Sicherheitslücken zu erfahren?

Zum einen gibt es klassische Schwachstellenscans, die auf eine Datenbasis zurückgreifen, die von den Software-Herstellern gespeist wird. Ein solcher Scanner ist zum Beispiel „Nessus“, der regelmäßig alle laufenden Systeme auf neue Sicherheitslücken überprüft.

Daneben geben die Datenbanken des Warn- und Informationsdienstes (WID) des Bundesamts für Sicherheit in der Informationstechnik Auskunft über neue Sicherheitsgefahren. Mindestens einmal am Tag greift Adacor auf die Datenbanken zu und gleicht die Warnungen mit den installierten Systemen ab, um zu entscheiden, ob Lücken existieren, die gepatcht werden müssen. Das amerikanische Pendant zum WID in Deutschland sind die Datenbanken des Common Vulnerabilities and Exposures (CVE). Die CVE-Datenbanken vergeben eindeutige IDs für neue Sicherheitslücken, anhand derer Sofortmaßnahmen eingeleitet werden können.

Neben klassischen Medien wie Golem oder Heise Security sind die sozialen Netzwerke wichtige Informationsquellen für einen Managed Service Provider. Über die bekannten Plattformen wie Twitter oder Reddit ebenso wie über Foren für Computersicherheit erfahren die Experten meist zeitnah, wo neue Sicherheitslücken aufgetaucht sind und welche Reparaturmöglichkeiten empfohlen werden.
Wie Vulnerability Management gelingt

Häufig vorkommende Sicherheitslücken

Sicherheitslücke ist nicht gleich Sicherheitslücke. Ob nachlässig programmierte Software, Risiken wie Botnetze oder die Bedrohung durch Ransomware und Phishing – Online-Gefahren lauern in vielen Bereichen. Welche Arten von Sicherheitslücken gibt es?

Manche Angreifer infiltrieren einen Server über eine sogenannte Remote Code Execution. Sie führen Schadcode über einen angreifbaren Dienst auf fremden Systemen aus. Das ermöglicht es ihnen, mit den gleichen Rechten auf das System zuzugreifen wie der aktuelle Dienst, der angegriffen wird. Im schlimmsten Fall gelingt es den Angreifern dadurch, das System komplett zu übernehmen. Ein Beispiel für einen solchen Fall aus der Vergangenheit: Eine schwerwiegende Lücke im kompletten Linuxsystem betraf vor einiger Zeit die Übersetzung der Website-Namen in IP-Adressen. Plötzlich tauchten unter verschiedenen Webadressen Seiten mit vollkommen unsinnigen Inhalten auf. Solcher Schadcode kann auch zu einem Buffer Overflow – einem Pufferüberlauf – führen. Die Folge: der Absturz des betreffenden Programms, die Verfälschung von Daten oder die Beschädigung von Datenstrukturen.

Bei einem Memory Leak – einem Speicherleck – torpedieren die Angreifer den Arbeitsspeicher eines Systems. Zum einen kann dies dazu führen, dass Bereiche aus dem Speicher ausgelesen und Informationen preisgegeben werden, die eigentlich geheim sind. Zum anderen kann es vorkommen, dass die Schadsoftware zunehmend mehr Arbeitsspeicher blockiert. Das kann zu Programmfehlern und Systemabstürzen führen.

Von Denial of Service (DoS) – zu Deutsch: Dienstverweigerung – sprechen IT-Experten, wenn ein Internet-Dienst plötzlich nicht mehr zur Verfügung steht. Das kann aufgrund von Überlastungen der IT-Infrastruktur geschehen. Häufiger verursachen jedoch mutwillige Angriffe auf einen Server diese Defekte. Zwar erhalten die Angreifer dabei in der Regel keine geheimen Informationen, die Angriffe lösen aber schwerwiegende Blockaden aus. Distributed Denial of Service (DDoS) ist darauf ausgelegt, so viel Traffic wie möglich zu erzeugen und an ein Zielsystem zu schicken, sodass auf der Seite des Zielsystems nicht mehr genug Kapazität bleibt, um zu antworten. So entsteht eine klassische Überlastung eines Servers oder des dahinter liegenden Netzwerks wie wir im Artikel zum Thema DDos beschrieben haben.

Image

Mission Managed Cloud

Hosting in Public-Cloud-Infrastruktur: Optimiert auf Ihre spezifischen Anforderungen!

Mit der ADACOR Managed Cloud erhalten Sie die passende Kombination aus der vCloud-Virtualisierungslösung des Marktführers VMware und den Managed Services der ADACOR.

Jetzt informieren!

Bei Brute-Force-Attacken (Rohe-Gewalt-Attacken) führen die Angreifer automatische Programme aus, die versuchen, sich Tag und Nacht über immer wieder neue Passwörter in ein System einzuloggen. Gegen solche Angriffe schützen Gateways, die nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche den anvisierten User-Zugang für eine bestimmte Zeit blockieren. Für die automatischen Angreifer-Prozesse sind in der Regel schon fünf Minuten tödlich. Der Angreifer-Automat sucht sich meist schnell ein anderes Ziel.

Leider ist nach wie vor der Mensch eine große Sicherheitslücke. Neben fehlerhaften Konfigurationen sind vor allem Unwissenheit und Gutgläubigkeit Quellen von Problemen. Mittels „Social Engineering“ werden Nutzer durch psychologische Tricks manipuliert, um ihnen unternehmensinterne oder sensible Informationen zu entlocken. Immer wieder antworten Menschen auf gefälschte E-Mails und geben geheime Codes oder Daten preis. In großen Konzernen wuseln angebliche Handwerker durch die Büroräume und greifen sicherheitsrelevante Daten ab. Gefundene USB-Sticks werden einfach angedockt. Dagegen helfen nur fundierte Datenschutzschulungen sowie klare Richtlinien, deren Einhaltung auch regelmäßig kontrolliert wird. Adacor zum Beispiel schult die Mitarbeiter regelmäßig, um das Bewusstsein für Sicherheitslücken zu erhöhen. Außerdem führt das Unternehmen interne Audits durch, die alle Maßnahmen kontrollieren und kontinuierlich an die aktuellen Entwicklungen anpassen.


Dieser Beitrag ist vorab bereits in der Funkschau erschienen.

, , , , , ,


Weitere Artikel zum Thema lesen

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Hosting, IT Security, IT-News

Hackattack – Systemadministratoren besuchen Hacking-Seminar

Alexander Wichmann berichtet von Besuch des Seminars bei Hackattack.

weiter lesen

Nur ein Viertel verwenden Passwort-Manager

Biz & Trends, IT Security

Nur ein Viertel verwenden Passwort-Manager

Passwort-Safes sind eine bequeme und sichere Lösung für die verschlüsselte Verwaltung von Kennwörtern für Webanwendungen.

weiter lesen

Verkehrs chaos durch DoS-Angriffe

IT Security

Verkehrschaos durch DoS-Angriffe muss nicht sein

Mit Blackholing Chaos bei DoS-Angriffen verhinden.

weiter lesen


Neueste Nachrichten von Adacor

Cloud Integration

Cloud

Beschleunigte Digitalisierung durch Cloud Computing

Ohne Prozessveränderungen kein Fortschritt bei der Digitalisierung. Doch Erfolgsfaktoren für eine erfolgreiche Cloud-Integration lassen sich benennen.

weiter lesen

Definition DevOps

Cloud

DevOps: Automatisieren anstelle von Reparieren

DevOps erforden ein Umdenken bei der Adminstration. OpenStack oder OpenNebula – womit gelingt die schnellere Umsetzung von Webservices?

weiter lesen

Mit SSL sicher verschlüsselt

IT Security, IT-News

SSL-Zertifikate mit dreijähriger Laufzeit am Ende

Erste Anbieter haben dreijährige Zertifikate bereits aus dem Programm genommen. Welche Auswirkungen hat dies auf den Bezug und die Erneuerung von SSL-Zertifikaten?

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.