Menü
Ein Beitrag von Adacor

Wie das Vulnerability Management gelingt

  • Wie erfahren die Techniker von aktuellen oder drohenden Sicherheitslücken?
  • Welche Schritte laufen bei einem Managed Service Provider ab, um schnell reagieren zu können?
  • Wie sieht das Zusammenspiel zwischen Managed Service Provider und Kunden aus?

Der Prozess des Vulnerability Managements gestaltet sich je nach Art und Bedeutsamkeit einer Sicherheitslücke unterschiedlich. Von Lücken mit großer Kritikalität erfahren IT-Verantwortliche meist über einschlägige Fachmedien. Bei Adacor setzt sich in einem solchen Fall sofort ein Expertenteam für IT-Sicherheit zusammen, um die Sicherheitslücke zu bewerten. Welche Systeme und wie viele und welche Kunden sind betroffen?

Stellt das Team fest, dass Kundensysteme von einer Sicherheitslücke bedroht sind, heißt es: Schnell handeln! In der Regel entscheidet Adacor innerhalb von zwei Stunden, ob das Change Advisory Board – das ist ein Gremium aus den Teamleitern aller Abteilungen – eingeschaltet wird. Dort bewerten die Experten den „Fall“ noch einmal ausführlich im Kundenkontext. Nachdem also eine allgemeine Bewertung der Lücke durch die IT-Sicherheitsexperten sowie eine kundenspezifische Bewertung über die Teamleiter vorgenommen wurde, erfolgt die endgültige Einschätzung. Sollte demnach ein „Notfall“ vorliegen, werden die betroffenen Kunden unverzüglich per E-Mail informiert.

In dieser E-Mail erfahren die Kunden, welches Sicherheitsproblem aufgetreten ist und ob die Reparatur der Lücke Auswirkungen auf den laufenden Betrieb der Systeme hat. Innerhalb von weiteren zwei Stunden müssen die Kundenunternehmen entscheiden, ob sie ein Veto gegen die Reparaturarbeiten einlegen wollen. Dies kann zum Beispiel der Fall sein, wenn ein Serverausfall für ein Unternehmen hohe Umsatzverluste mit sich bringen würde. Häufig entscheiden sich Unternehmen dann, Wartungs- und Reparaturarbeiten auf die Nacht zu verschieben. In diesen Fällen werden die Administratoren nachts tätig, denn den Kunden steht dieser Service 24 Stunden am Tag, sieben Tage in der Woche zur Verfügung.

Legen die Kunden kein Veto ein, starten die Sicherheitsexperten nach zwei Stunden mit den Reparaturarbeiten. Dabei stehen die Mitarbeiter in einem ständigen Austausch, sodass ähnliche Konfigurationen möglichst schnell mit Sicherheits-Updates versorgt werden können und keine Zeit für doppelte Recherchen verschwendet wird. Alle Kunden können davon ausgehen, dass ihre Systeme innerhalb von 48 Stunden in den Wartungsmodus gehen. Insgesamt bleiben Adacor also zwei Tage Zeit, um alle Systeme zu fixen. Viele Prozesse werden dabei automatisiert durchgeführt, häufig sind innerhalb weniger Stunden alle Sicherheitslücken geschlossen, oder wie es in der IT-Sprache heißt: „gepatcht“ [patch = Pflaster]. Nur bei sehr komplexen oder extrem individuellen Anwendungen schöpft das Team in Ausnahmefällen die 48 Stunden aus. Eine abschließende E-Mail informiert alle Kunden, wenn die Wartungsfenster beendet sowie alle Systeme gepatcht und auf sicherem Stand sind. Den Abschluss eines solchen Wartungszyklus bildet immer eine Retrospektive. Administratoren, Teamleiter und Kundenbetreuer setzen sich zusammen und analysieren, wie der Prozess verlaufen ist, wie Schnittstellen noch verbessert werden können oder welche Erkenntnisse für die kommenden Projekte dokumentiert und an alle Teammitglieder kommuniziert werden sollten. Vulnerability Management ist ein kontinuierlicher Prozess.

Der Notfallprozess in 5 Schritten

  1. Der Kunde wird per E-Mail über den Notfall informiert.
  2. Innerhalb einer Reaktionszeit von zwei Stunden kann der Kunde Veto gegen die Wartungs- und Reparaturarbeiten einlegen und dafür eine abweichende Zeit vereinbaren.
  3. Danach starten die Wartungs- und Reparaturarbeiten inklusive des Einspielens von Sicherheits-Updates für ähnliche Konfigurationen. Sie dauern maximal 48 Stunden.
  4. Der Kunde wird per E-Mail über das Ende des Wartungsfensters informiert.
  5. Es erfolgt eine Retrospektive im Team (Administratoren, Teamleiter, Kundenbetreuer).

Bedeutende Analysequellen

Nicht immer sind Sicherheitslücken von so großer Relevanz, dass sich die Fachmedien damit befassen und sie den Einsatz eines ganzen Expertenteams erfordern. Viele Schwachstellen können durch Automatisierungsprozesse oder schnelle Interventionen behoben werden. Welche Quellen nutzt zum Beispiel ein Hosting-Unternehmen wie Adacor, um von Sicherheitslücken zu erfahren?

Zum einen gibt es klassische Schwachstellenscans, die auf eine Datenbasis zurückgreifen, die von den Software-Herstellern gespeist wird. Ein solcher Scanner ist zum Beispiel „Nessus“, der regelmäßig alle laufenden Systeme auf neue Sicherheitslücken überprüft.

Daneben geben die Datenbanken des Warn- und Informationsdienstes (WID) des Bundesamts für Sicherheit in der Informationstechnik Auskunft über neue Sicherheitsgefahren. Mindestens einmal am Tag greift Adacor auf die Datenbanken zu und gleicht die Warnungen mit den installierten Systemen ab, um zu entscheiden, ob Lücken existieren, die gepatcht werden müssen. Das amerikanische Pendant zum WID in Deutschland sind die Datenbanken des Common Vulnerabilities and Exposures (CVE). Die CVE-Datenbanken vergeben eindeutige IDs für neue Sicherheitslücken, anhand derer Sofortmaßnahmen eingeleitet werden können.

Neben klassischen Medien wie Golem oder Heise Security sind die sozialen Netzwerke wichtige Informationsquellen für einen Managed Service Provider. Über die bekannten Plattformen wie Twitter oder Reddit ebenso wie über Foren für Computersicherheit erfahren die Experten meist zeitnah, wo neue Sicherheitslücken aufgetaucht sind und welche Reparaturmöglichkeiten empfohlen werden.
Wie Vulnerability Management gelingt

Häufig vorkommende Sicherheitslücken

Sicherheitslücke ist nicht gleich Sicherheitslücke. Ob nachlässig programmierte Software, Risiken wie Botnetze oder die Bedrohung durch Ransomware und Phishing – Online-Gefahren lauern in vielen Bereichen. Welche Arten von Sicherheitslücken gibt es?

Manche Angreifer infiltrieren einen Server über eine sogenannte Remote Code Execution. Sie führen Schadcode über einen angreifbaren Dienst auf fremden Systemen aus. Das ermöglicht es ihnen, mit den gleichen Rechten auf das System zuzugreifen wie der aktuelle Dienst, der angegriffen wird. Im schlimmsten Fall gelingt es den Angreifern dadurch, das System komplett zu übernehmen. Ein Beispiel für einen solchen Fall aus der Vergangenheit: Eine schwerwiegende Lücke im kompletten Linuxsystem betraf vor einiger Zeit die Übersetzung der Website-Namen in IP-Adressen. Plötzlich tauchten unter verschiedenen Webadressen Seiten mit vollkommen unsinnigen Inhalten auf. Solcher Schadcode kann auch zu einem Buffer Overflow – einem Pufferüberlauf – führen. Die Folge: der Absturz des betreffenden Programms, die Verfälschung von Daten oder die Beschädigung von Datenstrukturen.

Bei einem Memory Leak – einem Speicherleck – torpedieren die Angreifer den Arbeitsspeicher eines Systems. Zum einen kann dies dazu führen, dass Bereiche aus dem Speicher ausgelesen und Informationen preisgegeben werden, die eigentlich geheim sind. Zum anderen kann es vorkommen, dass die Schadsoftware zunehmend mehr Arbeitsspeicher blockiert. Das kann zu Programmfehlern und Systemabstürzen führen.

Von Denial of Service (DoS) – zu Deutsch: Dienstverweigerung – sprechen IT-Experten, wenn ein Internet-Dienst plötzlich nicht mehr zur Verfügung steht. Das kann aufgrund von Überlastungen der IT-Infrastruktur geschehen. Häufiger verursachen jedoch mutwillige Angriffe auf einen Server diese Defekte. Zwar erhalten die Angreifer dabei in der Regel keine geheimen Informationen, die Angriffe lösen aber schwerwiegende Blockaden aus. Distributed Denial of Service (DDoS) ist darauf ausgelegt, so viel Traffic wie möglich zu erzeugen und an ein Zielsystem zu schicken, sodass auf der Seite des Zielsystems nicht mehr genug Kapazität bleibt, um zu antworten. So entsteht eine klassische Überlastung eines Servers oder des dahinter liegenden Netzwerks wie wir im Artikel zum Thema DDos beschrieben haben.

Image

6 Kriterien, die Ihr Hosting-Projekt groß machen

Cloud-Lösungen bieten Unternehmen zahlreiche Vorteile. Worauf Sie achten sollten, verraten wir hier.

Weiter lesen

Bei Brute-Force-Attacken (Rohe-Gewalt-Attacken) führen die Angreifer automatische Programme aus, die versuchen, sich Tag und Nacht über immer wieder neue Passwörter in ein System einzuloggen. Gegen solche Angriffe schützen Gateways, die nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche den anvisierten User-Zugang für eine bestimmte Zeit blockieren. Für die automatischen Angreifer-Prozesse sind in der Regel schon fünf Minuten tödlich. Der Angreifer-Automat sucht sich meist schnell ein anderes Ziel.

Leider ist nach wie vor der Mensch eine große Sicherheitslücke. Neben fehlerhaften Konfigurationen sind vor allem Unwissenheit und Gutgläubigkeit Quellen von Problemen. Mittels „Social Engineering“ werden Nutzer durch psychologische Tricks manipuliert, um ihnen unternehmensinterne oder sensible Informationen zu entlocken. Immer wieder antworten Menschen auf gefälschte E-Mails und geben geheime Codes oder Daten preis. In großen Konzernen wuseln angebliche Handwerker durch die Büroräume und greifen sicherheitsrelevante Daten ab. Gefundene USB-Sticks werden einfach angedockt. Dagegen helfen nur fundierte Datenschutzschulungen sowie klare Richtlinien, deren Einhaltung auch regelmäßig kontrolliert wird. Adacor zum Beispiel schult die Mitarbeiter regelmäßig, um das Bewusstsein für Sicherheitslücken zu erhöhen. Außerdem führt das Unternehmen interne Audits durch, die alle Maßnahmen kontrollieren und kontinuierlich an die aktuellen Entwicklungen anpassen.


Dieser Beitrag ist vorab bereits in der Funkschau erschienen.

, , , , , ,


Weitere Artikel zum Thema lesen

Shellshock – Schwere Sicherheitslücke bedroht Mac und Linux Rechner

Biz & Trends, Hosting, IT Security

Shellshock – Schwere Sicherheitslücke bedroht Mac und Linux Rechner

Die Bash Sicherheitslücke übertrifft in ihrer Relevanz den Heartbleed-Bug. Wir informieren über den aktuellen Stand.

weiter lesen

IT Security

Hintergründe und aktuelle Informationen zur WannaCry-Attacke

Zum Heulen - wie die bislang größte Malware-Attacke ihren Ausgang nahm und welche Gegenmaßnahmen möglich sind.

weiter lesen

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Biz & Trends, IT Security

Verschlüsselung von Wechseldatenträgern: der USB-Stick im Fokus

Wie sich USB-Sticks verschlüsseln lassen und wieso dies immens wichtig ist.

weiter lesen


Neueste Nachrichten von Adacor

OpenStack Cloud Module

Cloud

Von VMware zur Self Managed Cloud – OpenStack auf dem Prüfstand

Was leistet die Open-Source-Software OpenStack? Wo liegen ihre Grenzen?

weiter lesen

IT Security

EU-DSGVO stellt hohe Ansprüche an Datenschutz

Geforderte Maßnahmen der EU-DSGVO beginnen bei der Datenportabilität d.h. Wie Unternehmen informieren müssen und umfassen den Datenschutz durch Technikgestaltung.

weiter lesen

Nach der Cloud Foq-Computing

Biz & Trends

Eine Orientierung zum Fog-Computing

Nach dem Cloud-Computing kommt mit dem Fog-Computing ein neuer Trend in die IT.

weiter lesen

Diese Website verwendet Cookies. Mit der weiteren Nutzung der Website stimmen Sie unserer Datenschutzerklärung zu.
Für weitere Informationen klicken Sie bitte hier.