[datensicherheit.de, 13.03.2025] Security-Teams kämpfen heutzutage mit einer Unmenge an Sicherheitslücken und kommen kaum hinterher, diese zu schließen – doch es gibt Hoffnung. Max Rahner, Senior Business Development Manager bei Tenable, erklärt im Gespräch mit datensicherheit.de (ds), wie Unternehmen ihre Exposure mit einem risikobasierten Schwachstellenmanagement systematisch priorisieren, das Verlustrisiko senken, die Vorgaben der NIS2-Richtlinie besser umsetzen und letzlich die Cybersicherheit zu erhöhen.

Max Rahner, Senior Business Development Manager bei Tenable, Bild: Tenable

ds: Herr Rahner, viele Unternehmen tun sich schwer damit, eine effektive und effiziente Cybersicherheit aufzubauen. Warum ist das so?

Derzeit gehen die meisten Unternehmen noch nach dem Gießkannenprinzip vor. Das heißt, sie adressieren ihre Schwachstellen unabhängig davon, in welchem Kontext diese auftreten. Von diesem Ansatz müssen wir wegkommen. Wer sich stattdessen zuerst um die Schwachstellen kümmert, die kritische Auswirkungen auf den Geschäftsprozess haben können, senkt das Risiko eines Ausfalls erheblich. Gartner etwa geht davon aus, dass Unternehmen die Wahrscheinlichkeit eines Geschäftsausfalls so dritteln können.

ds: Die Priorisierung von Schwachstellen ist demnach Teil eines guten Cyber-Risikomanagements.

Genau! Ein risikobasierter Ansatz wird im Übrigen auch explizit von NIS 2 und DORA gefordert. Dafür muss ich mir als Unternehmen zunächst Gedanken darüber machen, welches meine wichtigsten Geschäftsprozesse sind und wie diese mit meiner Technologie zusammenhängen. Wo gibt es Abhängigkeiten? Und welche Abhängigkeiten gibt es jeweils innerhalb meiner Technologien oder Geschäftsprozesse? Wer diese Zusammenhänge untersucht, kann seine wirklich kritischen Schwachstellen um einiges schneller beheben.

ds: Klingt einleuchtend. Eine robuste Cybersicherheit geht also über eine rein Technologie-zentrierte Perspektive hinaus, die in erster Linie die einzelnen Assets schützen will?

So ist es. Der technologische Aspekt ist zunächst einmal nachgelagert. Eine effektive Priorisierung von Schwachstellen folgt dem Grundgedanken, zuallererst die Umsatzgenerierung zu schützen, da diese für die meisten Unternehmen – von Sonderfällen wie Gesundheitseinrichtungen abgesehen, wo natürlich die Patientensicherheit im Vordergrund stehen muss – am wichtigsten ist. Dafür brauchen Unternehmen allerdings Klarheit darüber, wie ihre Geschäftsabläufe sind, wie sie ihr Geld verdienen. Der Schlüssel dazu kann Business Process Modeling sein, das die Prozesse analysiert und sauber beschreibt. Und da geht es um mehr als nur die IT, das betrifft das ganze Unternehmen. Eine Übersicht über Assets und Risiken zu erlangen, ist dabei heute schon Teil der meisten Security-Konzepte. Aber der entscheidende Punkt ist die Kenntnis der geschäftskritischen Prozesse, weil man nur so die unbedingt schützenswerten Systeme identifizieren kann. Und diese Prozesskenntnis fehlt in vielen Cybersicherheitsstrategien, um den notwendigen Zusammenhang zwischen Geschäftserfolg und Risiken durch den IKT-Einsatz herzustellen.

ds: Wie gehen Unternehmen konkret daran, dies umzusetzen? Wer muss alles eingebunden werden?

Die Entscheidung über die Priorisierung, also welche die wichtigsten Prozesse zur Umsatzgenerierung oder die geschäftskritischen Prozesse allgemein sind, kann nur auf der Führungsebene getroffen werden. Das bedeutet, dass jemand aus der Geschäftsführung diese Aufgabe übernehmen muss, da auch nur diese wirklich weiß, wo und wie die einzelnen Fäden letztendlich zusammenlaufen. Das kann ein IT-Leiter gar nicht leisten, und die NIS 2 betont auch explizit die Geschäftsführerhaftung ohne Delegierbarkeit des Risikos. Deshalb ist es im ureigenen Interesse der Führungsebene, Cybersicherheit zur Chefsache zu machen. Dabei läuft es immer auf die gleichen zwei Fragen hinaus: Kann ich meinen Geschäftsprozess beschreiben? Und kann ich auch die Technologien auflisten, die ich benötige, um den Geschäftsprozess auszuführen? Dafür müssen dann jeweils die einzelnen Abteilungen einbezogen werden, die im Detail meist den besseren Überblick darüber haben, welche Assets für sie unverzichtbar sind oder starken Einfluss auf ihre Arbeitsfähigkeit haben. Wir reden da zum Teil auch über so banale Dinge wie die Heizung, bei deren Ausfall die Maschinen in der Produktionshalle oder die Drucker für die Versandlabel nicht funktionieren. Bei der Analyse von Geschäftsprozessrisiken geht es aber um mehr als nur Technologie.

Nämlich?

Wenn das richtige Personal fehlt, oder es nur einen einzigen Admin für ein System gibt und keine Vertreterregelung für dessen Ausfall existiert, dann liegt das Risiko nicht im technischen Bereich. Und daraus folgt auch, dass der Begriff der Schwachstelle missverständlich sein kann.

ds: Inwiefern?

Bei dem Wort Schwachstelle denken deutschsprachige Security-Experten sofort an technische, also Software-Schwachstellen. In der NIS 2 steht Schwachstelle allerdings für jedwede Form von potenzieller Sicherheitslücke im Delivery-Prozess, egal ob es sich dabei um Personen, unzureichende Organisationsschritte, Fehlkonfigurationen, digitale Identitäten oder Software-Fehler handelt. Unter Umständen sind keine Software-Schwachstellen in einem Unternehmen vorhanden, aber trotzdem ist die Wertschöpfungskette des Unternehmens hochgradig verwundbar, weil zum Beispiel ein Cloud Service nicht richtig eingerichtet ist oder eine digitale Identität kompromittiert ist. Und auch bei technischen Schwachstellen geht es ja primär um diejenigen, die für einen Angreifer auch wirklich zu erreichen sind. Wir sind bei Tenable deshalb auch schon länger vom Begriff der Vulnerability abgerückt und sprechen von Exposure. Auch das gehört zu diesem neuen Ansatz von Cybersicherheit.

ds: Stichwort „neuer Ansatz“: Das Prinzip der Priorisierung von Schwachstellen wird ja eigentlich schon seit Längerem angewendet.

Das ist richtig, aber die Bewertungskriterien sind bislang nicht zielführend. In den meisten Security-Konzepten wird die Dringlichkeit, mit der Schwachstellen behoben werden, nach deren Wert im Common Vulnerability Scoring System, kurz CVSS, bestimmt. Die Security-Teams konzentrieren sich dann auf diese technisch hochkritischen Fälle mit CVSS 9 oder 10, während die Schwachstellen von mittlerer Schwere im Schnitt drei Monate offenbleiben und deshalb auch häufiger ausgenutzt werden. Zusätzlich kommt als dritter Faktor die eingangs gestellte Frage ins Spiel, wo die Schwachstelle auftritt. Ein CVSS-Score von 9 in einem abgeschotteten und segmentierten Netzwerk ist ein viel geringeres Risiko als eine Schwachstelle mit CVSS 5 oder 6 auf einem über das Internet zugänglichen Asset.

ds: Wie können Unternehmen ihre Schwachstellen denn differenzierter bewerten?

Indem sie Tools einsetzen, die den Kontext stärker einbeziehen. Bei Tenable bieten wir zum Beispiel zwei weitere Bewertungsoptionen. Die eine ist unser Vulnerability Priority Rating oder VPR. Dabei verknüpfen wir das CVSS mit unserer eigenen Threat Intelligence. So stellen wir fest, ob die jeweilige Schwachstelle zurzeit aktiv von Cyberkriminellen ausgenutzt wird. Eine Schwachstelle mit einem hohen CVSS-Score, die aber von niemandem ausgenutzt wird, erhält also ein niedriges VPR. Umgekehrt haben Schwachstellen von nur mittlerer Schwere, auf die sich die Angreifer aber regelrecht stürzen, ein sehr hohes VPR. Die zweite Bewertungsoption ist das Asset Criticality Rating, kurz ACR. Dieser Wert wird vom Anwender selbst auf einer Skala von 1 bis 10 vergeben. Unternehmen können damit granular festlegen, welchen Stellenwert ein Asset für die eigenen Geschäftsprozesse hat. An diesem Punkt wird klar, warum die Kenntnis der Geschäftsprozesse so entscheidend ist: Ohne diese ist die Abbildung des ACR sehr schwierig. Viele Unternehmen haben die entsprechenden Daten übrigens schon in ihrer CMBD – es lohnt sich also, sich umzusehen, wo im Unternehmen solche Daten schon erhoben werden, so dass wir sie übernehmen können.

Multipliziert man VPR und ACR, ergibt sich unser Asset Exposure Score. In diesen fließt also ein, wie wichtig ein Asset ist, ob und in welcher Kritikalität Schwachstellen vorliegen und wie aktiv diese Schwachstellen derzeit bereits ausgenutzt werden. Diese Bewertung lässt sich dabei nicht nur für Schwachstellen mit CVSS-Score vornehmen, sondern zum Beispiel auch für Fehlkonfigurationen in Cloud-Plattformen – wie etwa die Verwendung von Standardpasswörtern oder das Fehlen von Multi-Factor Authentication. Das Ergebnis ist eine maßgeschneiderte Priorisierung, mit der Unternehmen genau die Sicherheitslücken als Erstes beheben können, die das größte Risiko für ihre Geschäftsprozesse darstellen.

[datensicherheit.de, 04.12.2020] Das Schwachstellenmanagement (Vulnerability Management) behandelt die sicherheitsrelevanten Schwachstellen von Systemen in IT-Infrastrukturen. Dabei werden Prozesse und Techniken aufgesetzt, die zu einer Steigerung der Datensicherheit im Unternehmen beitragen sollen. Im Interview sprechen Jörg Vollmer, General Manager, Field Operations, DACH, Qualys und Herausgeber Carsten J. Pinnow für datensicherheit.de (ds) in diesem Zusammenhang über die Lösung Vulnerability Management Detection and Response (VDMR).

ds: Was kann die erweiterte Qualys-Lösung VMDR?

Jörg Vollmer: Das Herzstück der Qualys-Lösung ist unsere Plattform. Diese bildet die Basis für mehr als 20 unterschiedliche Security Services (“Apps“). Die Daten können mittels unterschiedlicher Sensoren, wie Agents, virtuellen oder hardwarebasierten Scannern, passiven Scannern, durch Schnittstellen über die API etc. erhoben werden und werden in dieser Plattform zentral verwaltet und ausgewertet. Seit letztem Jahr haben wir erweiterte Detection and Response-Features hinzugefügt. Aus diesem Grundgerüst entstand dann VMDR (Vulnerability Management Detection and Response). Diese Anwendung bringt viele Lösungen in einer zusammen und erleichtert die Handhabung des Schwachstellenmanagementprozesses. Die meisten unserer Kunden nutzten besonders unsere VM-Lösungen und konnten dann die Schwachstellen mit einer weiteren App, beispielsweise mit Threat Protect von Qualys, priorisieren. Ab sofort bietet VMDR dies als einen neuen, integrierten Service. Das beginnt bei der Inventarisierung aller Systeme, also der Asset Inventory, der Priorisierung und der Klassifizierung der Systeme und nicht zuletzt dem Auslesen der installierten Software. Darüber hinaus verfügt das Tool über Detection, also einem umfassenden Scanning aller vorhandenen Assets. Diese Daten werden dann durch die Qualys Machine Learning Engine verarbeitet. Die eigene Klassifizierung der Systeme wird in Betracht gezogen und die aktuelle Kritikalität der Schwachstellen aufgezeigt. So kann dem Unternehmen dann in der Folge relativ einfach eine Priorisierung der Schwachstellen nach Dringlichkeit des Patchens dargestellt werden. Wenn beispielsweise ein Unternehmen mit 100 000 Systemen gescannt wird, werden rasch eine Vielzahl an Schwachstellen gefunden und aufgezeigt. Logischerweise sollten alle geschlossen werden, doch dies gelingt i.d.R. mangels Ressourcen nicht auf einmal, sodass eine grundlegende Priorisierung notwendig ist. Dieser Prozess kann automatisiert ablaufen, alternativ ist sie manuell einzustellen. Dies ist beispielsweise dann sinnvoll, wenn das Unternehmen für sich selbst erkennt, welche Geräte priorisiert gepatcht werden sollten und an vorderster Stelle stehen. Beispielsweise könnte das der Produktionsserver sein, während der Druckserver erst etwas später gepatched werden kann. Mit Hilfe dieser Schwachstellenbasis können aktuelle Patches gemeldet werden. Besitzt beispielsweise ein Unternehmen seit längerer Zeit eine Schwachstelle mit niedrigerem Schweregrad und plötzlich wird diese aufgrund eines neuen Angriffvektors in der Kritikalität generell höher bewertet, so wird dies direkt in der Prioritätsliste oben angezeigt. Auf dem Dashboard werden dann die fehlenden Patches angezeigt, mittels der optionalen Patch Management App können diese auch direkt aus der Oberfläche ausgerollt werden. So schließt sich der Kreislauf. Innerhalb einer einzigen Oberfläche können Schwachstellen ermittelt und auch behoben werden. Das erhöht die Sicherheit um ein Vielfaches – mit weniger Aufwand.

Bild: Qualys

Jörg Vollmer, General Manager, Field Operations, DACH, Qualys

Im Rahmen von Covid-19 wird von Qualys eine vollständige 60 Tage Version kostenfrei angeboten, inkl. der Malware-Detection, da viele Unternehmen ein grundlegendes Problem mit dem Patchen mit Systemen, welche zu dieser Zeit verteilt in Homeoffices eingesetzt werden, haben. Die Endgeräte dort verbinden sich oft via VPN mit dem Unternehmensnetzwerk. Doch falls die Organisation ein zentrales Patch-Management hat und im großem Stil Sicherheitslücken gepatcht werden, kann die Bandbreite des Unternehmens-VPNs negativ beeinflusst werden, wenn die Patches darüber verteilt werden. Die Qualys-Platform nutzt den Cloud-Agent, um Patches direkt aus dem Internet herunterzuladen und belastet damit nicht mehr das Unternehmensnetzwerk. Nach wie vor kann manuell durch Priorisierung entschieden werden, welches Gerät zuerst gepatcht werden soll. Die Rückmeldung erfolgt über die Plattform.

ds: Inventarisierung spielt eine wichtige Rolle. Wie genau erkennt Qualys die Systeme? Läuft die Erkennung mit oder ohne Agenten ab?

Jörg Vollmer: Wie eingangs erwähnt, bieten wir verschiedenste Arten von Sensoren an. Der Agent ist die eleganteste Art, da er alle Informationen über das System liefert. Es gibt auch die Möglichkeit, mit unseren Standardscannern, welche virtuell und harwarebasiert verfügbar sind, die Systeme zu erkennen, wenn dabei authenticated Scanning durchgeführt wird. So werden die Systeme eindeutig identifiziert. Bei einem nicht authentifizierten Scanning wird das Ergebnis unscharf, denn dabei werden Systeminformationen erhalten, doch die Klassifizierung wird erschwert. Bei ICS ist es nicht möglich, einen Agenten zu installieren. Besonders bei alten ICS-Systemen ist es oft nicht ratsam, aktive Scans durchzuführen. Selbst ein einfacher ICMP Request auf beispielsweise sehr alte Produktionssteuerungsgeräte kann oftmals schon Probleme hervorrufen, was bis hin zum Absturz des Systems führen kann. Aus diesem Grund gibt es bei Qualys auch einen passiven Scanner. Dieser überprüft den Netzwerk-Traffic und kann anhand dessen die Inventarisierung durchführen. Es wird auch die Kommunikation eines Gerätes mit anderen Systemen überwacht; so kann umgehend festgestellt werden, falls mit unbefugten Geräten kommuniziert wird und es können entsprechend Maßnahmen ergriffen werden.

ds: Sie sprachen eingangs das Thema „Detection and Response“ an, bietet Qualys noch weitere Dienste in diese Richtung?

Jörg Vollmer: In der Tat – wir haben aktuell einen eigenen Multi-Vector EDR-Service (Endpoint Detection and Response) veröffentlicht, um Sicherheitsverantwortliche bei Ihrer täglichen Arbeit zu entlasten. Herkömmliche EDR-Lösungen konzentrieren sich nur auf die Endpunktaktivitäten, denen der für eine genaue Analyse von Angriffen erforderliche Kontext fehlt und daher zu einer hohen Rate an Fehlalarmen führt. Qualys Multi-Vector EDR nutzt die Stärke von EDR und erweitert gleichzeitig die Visibilität über den Endpunkt hinaus, um einen umfassenderen Schutz bereitzustellen. Multi-Vector EDR lässt sich in die Qualys Plattform integrieren, um wichtigen Kontext und Einblick in die gesamte Angriffskette zu bieten und gleichzeitig die Anzahl von false und negative Positives im Vergleich zu herkömmlichen EDR-Systemen drastisch zu reduzieren.

ds: Welche sogenannte Vektoren ziehen Sie bei der Analyse in Betracht?

Jörg Vollmer: Die Integration in die Qualys Plattform vereint mehrere Kontextvektoren wie Asset-Discovery, das Softwareinventar, Informationen über EOL von Software und Systemen, Schwachstellen und Exploits, Fehlkonfigurationen, detaillierte Endpunkttelemetrie und die Erreichbarkeit und Verbindungen der Systeme im Netzwerk. Diese Informationen sind alle für die Erkennung, Bewertung und Reaktion in einer einzigen App korreliert. Dies bietet dem Security-Team wichtige Echtzeit-Einblicke in die Vorgänge auf dem Endpunkt.

Darüber hinaus speichert Qualys EDR Telemetriedaten für die aktive und die historische Ansicht und korreliert diese mit unterschiedlichen intelligenten Feeds für externe Bedrohungen. Dadurch entfällt die Notwendigkeit, sich auf eine einzelne Malwaredatenbank zu verlassen und es wird eine priorisierte risikobasierte Bedrohungsansicht bereitgestellt. Auf diese Weise können die Securityteams proaktiv und reaktiv mit einem einheitlichen Kontext aller Sicherheitsvektoren nach Bedrohungen suchen, falsche Warnungen verringern und die Teams dabei unterstützen, sich auf das Wesentliche zu konzentrieren.

ds: Wie funktioniert das Lizenzmodell?

Jörg Vollmer: Bei uns funktioniert das Modell pro Asset. Das Lizenzmodell wurde durch VMDR vereinfacht. Früher gab es eine Vielzahl an Services, welche wir separat lizensiert hatten. Durch die Zusammenführung in VMDR ist es um einiges einfacher geworden. Es gibt auch keine Unterscheidung mehr zwischen Enterprise und Small-Medium-Enterprise mehr. Es handelt sich um ein degressives Preismodell. Je mehr Assets einfließen, desto geringer wird der entsprechende Preis je Asset. Dabei handelt sich ein Asset um jedes Gerät, welches bei Qualys in Betracht gezogen werden soll.

Weitere Informationen zum Thema:

datensicherheit.de, 20.09.2018
IT-Sicherheit: Priorisierung beim Schwachstellenmanagement nötig

Ein Kommentar von Max Rahner, Sales Director DACH bei Claroty

[datensicherheit.de, 10.06.2020] Der jährliche Verizon Data Breach Investigation Report (DBIR) ist seit seiner ersten Veröffentlichung im Jahr 2008 zu einer bedeutenden Ressource für IT-Sicherheitsexperten geworden. Der aktuelle Report 2020 ist insofern bemerkenswert, da viele seiner Erkenntnisse nicht nur für die IT-Security relevant sind, sondern auch für die OT-Security (Sicherheit von Operational-Technology-Netzwerken). Entsprechend wollen wir die wichtigsten Ergebnisse aus der OT-Perspektive genauer betrachten.

OT-Sicherheitsvorfälle sind (noch) selten, aber besorgniserregend

Zum ersten Mal überhaupt untersucht der DBIR 2020 die Rolle der Informationstechnologie (IT) gegenüber der operativen Technologie (OT) bei Sicherheitsvorfällen. 4 Prozent der beobachteten Sicherheitsverletzungen betrafen die OT, im Vergleich zu 96 Prozent bei der IT. Dieser Prozentsatz mag zwar relativ unbedeutend erscheinen, der Bericht charakterisiert ihn jedoch als einen beachtenswerten Grund zur Besorgnis für Unternehmen mit robusten OT-Umgebungen.

Konsequentes Patchen ist der Schlüssel für effektives Schwachstellenmanagement

In einem Experiment haben die Autoren des Reports die Anfälligkeit von Servern mit einer bestimmten Schwachstelle mit der Anfälligkeit von zufällig ausgewählten Servern verglichen. Dabei zeigte sich, dass die Server etwa mit Exim- oder Eternal Blue-Sicherheitslücken auch deutlich anfälliger für alte, andere Schwachstellen waren. Das bedeutet, dass Unternehmen mit einem langfristigen, gut priorisierten Patch-Management-System weitaus seltener Opfer von Exploits werden. Der Bericht zeigt zudem, dass Patches, die nicht innerhalb von drei Monaten nach ihrer Veröffentlichung aufgespielt werden, in der Regel überhaupt nicht installiert werden. Entsprechend wichtig ist ein konsequentes, regelmäßiges und zeitnahes Patch-Management.

Gerade in OT-Umgebungen stellen Identifizierung von Schwachstellen und die Priorisierung von Patches eine große Herausforderung dar. Wichtig ist hierbei eine tiefe Transparenz. Viele Tools zur Erfassung von Informationen über OT-Assets sind allerdings nur in der Lage, grundlegende Attribute wie IP-Adresse und Hersteller zu identifizieren, nicht aber präzise Daten wie das genaue Modell und die Firmware-Version. Diese sind jedoch für ein effektives Patch-Management sowie eine Risikoberechnung und -minderung unerlässlich.

Max Rahner, Bild: Claroty

Angreifer nutzen am liebsten den einfachen Weg

Eine Analyse der Angriffspfade bei beobachteten Zwischenfällen ergab, dass die überwiegende Mehrheit der Angriffe in weniger als fünf Schritten erfolgt. Dies deutet darauf hin, dass die Angreifer bevorzugt niedrig hängende Früchte suchen, die es ihnen ermöglichen, relativ einfache Angriffe durchzuführen, um hochwertige Ziele zu kompromittieren. Entsprechend machen zusätzliche Barrieren, die Angriffe komplexer und zeitaufwändiger machen, Ziele wesentlich unattraktiver. So ist beispielsweise die Zwei-Faktor-Authentifizierung zwar an sich ein unvollkommener Sicherheitsmechanismus, aber sie fügt dem Angriffspfad einen zusätzlichen Schritt hinzu. Der Data Breach Investigation Report stellt fest, dass die Differenz zwischen zwei und drei Schritten oder drei und vier Schritten im Hinblick auf die Verbesserung des Sicherheitsstatus einen wesentlichen Unterschied macht. Dies gilt sowohl für IT- als auch für OT-Umgebungen.

OT-bezogene Sicherheitsvorfälle konzentrieren sich weitgehend auf bestimmte Branchen

Bei den untersuchten OT-Sicherheitsvorfällen stechen zwei Branchen deutlich heraus: die verarbeitende Industrie sowie Energie- und Versorgungsunternehmen (inklusive Bergbau, Öl- und Gasförderung).

Wie bei allen im DBIR aufgeführten Branchen war die häufigste Motivation für die beobachteten Vorfälle mit Auswirkungen auf die verarbeitende Industrie ein potenzieller finanzieller Gewinn (73 %). Allerdings spielt in diesem Sektor auch Cyberspionage mit 27 Prozent eine große Rolle. Der starke Bedarf an Lösungen zur Überwachung von und zum Schutz vor Insider-Bedrohungen wird durch die Tatsache unterstrichen, dass hinter 25 Prozent der Verstöße im verarbeitenden Gewerbe interne Bedrohungen stehen und 13 Prozent der Verstöße auf den Missbrauch von Mitarbeiterprivilegien oder Datenmissbrauch zurückzuführen sind. Bei Angriffen von außen machen staatlich unterstützte Angreifer mit 38 Prozent den Löwenanteil aus. Insofern sollten Unternehmen in dieser Branche sich gut auf raffinierte, gut ausgestattete Angreifer vorbereiten, deren vornehmliches Ziel der Diebstahl von geistigem Eigentum und anderer sensibler Daten ist. Wie der Bericht kurz und bündig formuliert, „ist es billiger und einfacher, etwas zu stehlen, als es selbst zu entwickeln.“

Der DBIR fasst Bergbau, und Öl- und Gasförderung sowie Versorgungsunternehmen für eine gemeinsame Betrachtung der beobachteten Vorfälle und Verstöße zusammen. Auch hier spielen mit 28 Prozent Insider-Bedrohungen eine große Rolle. Die Bewertung der Motive ist in diesen Branchen jedoch deutlich schwieriger: Finanzielle Motive dominieren mit Werten zwischen 63 und 95 Prozent, jedoch spielt auch Spionage mit einer Bandbreite von 8 bis 43 Prozent eine große Rolle. Eine präzise Interpretation dieser Werte ist kaum möglich, jedoch liegen die Werte in aller Regel deutlich über den 10 Prozent im Mittel aller Branchen. Die Angriffsmuster, denen sich Unternehmen in diesem Sektor ausgesetzt sehen, sind sehr unterschiedlich und häufig auch überlappend. Deshalb war die quantitative Bestimmung der vorherrschenden Angriffsvektoren statistisch unmöglich. Entsprechend lautet die schlichte Empfehlung an alle CISOs in diesem Bereich: „Alles sichern!“

Weitere Informationen zum Thema:

datensicherheit.de, 21.05.2020
Verizon Business: Data Breach Investigations Report 2020 vorgestellt

Von unserem Gastautor Marco Rottigni, Chief Technical Security Officer EMEA, Qualys

[datensicherheit.de, 07.05.2020] Das Schwachstellenmanagement ist und bleibt eine der besten Maßnahmen, um Sicherheit zu gewährleisten. Laut des jüngsten Data Breach Investigations Reports von Verizon waren 2019 nur rund sechs Prozent der Sicherheitsverletzungen auf die Ausnutzung von Schwachstellen zurückzuführen. Effektives Patchen ist also ein einfacher Weg, um zu verhindern, dass Angreifer in IT-Systeme eindringen.

Bild: Qualys

Marco Rottigni, Chief Technical Security Officer EMEA, Qualys

Home-Office als neue Herausforderung

Das Schwachstellenmanagement entwickelt sich allerdings laufend weiter, getrieben von der Implementierung neuer IT-Systeme, aber auch der raschen Zunahme von Home-Office-Szenarien im Gefolge der Coronavirus-Pandemie. Die IT-Sicherheitsteams müssen beim Schwachstellenmanagement heute weit mehr im Blick haben als nur Desktop-Computer und Betriebssysteme. Sie müssen der Tatsache Rechnung tragen, dass ein erheblicher Prozentsatz der Benutzer von zu Hause aus arbeitet, dass immer mehr Cloud-Dienste genutzt werden und Software-Container und IoT-Geräte ins Unternehmensnetz gelangen. Wie können die Sicherheitsteams angesichts all dieser Veränderungen mit der Entwicklung der Schwachstellen Schritt halten?

Mehr Plattformen, mehr Probleme

Eine der größten Veränderungen, mit denen Unternehmen konfrontiert sind, betrifft die Rolle der Software und insbesondere der Container. In einen Software-Container werden alle Elemente verpackt, die zur Ausführung einer Anwendung gebraucht werden – nicht mehr und nicht weniger. Diese verschlankte Methode für das Hosting von Anwendungskomponenten erleichtert es, neue Dienste zu implementieren und – in der Theorie jedenfalls – agile Entwicklungskonzepte zu unterstützen.

Für Container existiert jedoch kein standardmäßiges Security by Design-Modell. Sie müssen anders abgesichert und auf dem neuesten Stand gehalten werden als herkömmlichere Server oder virtuelle Maschinen. Das bedeutet, dass die Sicherheitsteams Container-Hosts, Repositories und Live-Laufzeitumgebungen mehr scannen und überprüfen müssen. Eine Aufgabe, die zeitintensiv werden und die Belastung der Sicherheitsteams erhöhen kann.

Gleichzeitig nutzen Unternehmen verstärkt Cloud-Dienste zur Ausführung ihrer Anwendungen. Diese Implementierungen können sich je nach Bedarf schnell verändern, was das Verfolgen von Cloud-Diensten und Containern erschwert. Herkömmliche Verfahren für Schwachstellenmanagement und Scannen sind für solch kurzlebige Workloads ungeeignet. Stattdessen ist ein kontinuierlicherer Ansatz nötig.

Die dritte große Veränderung ist der Übergang zu mehr Telearbeit. Der große Schub, den COVID-19 in diese Richtung gebracht hat, war zwar nicht vorhersehbar, doch schon seit vielen Jahren gewinnt das mobile Arbeiten an Bedeutung. Die schiere Zahl der Mitarbeiter, die jetzt von zu Hause aus arbeiten, erhöht den Druck auf die IT-Sicherheit, da die verwendeten Geräte künftig eher von ihren Benutzern als von den IT-Teams verwaltet und kontrolliert werden. Ohne entsprechende Planung wird es daher schwieriger werden, die Sicherheitsstandards durchzusetzen und zu gewährleisten, dass Patches tatsächlich auf allen Rechnern und Geräten installiert werden.

Wie sich die Probleme lösen lassen

Um die Herausforderungen durch Schwachstellen bewältigen zu können, müssen Sie Ihre Sicherheitsprozesse Schritt für Schritt vereinfachen. Der erste Schritt besteht darin, sich besseren Überblick über alle vorhandenen Plattformen und Assets zu verschaffen. Dazu zählen herkömmliche IT-Ressourcen wie Endpunkte und Server, verbundene Geräte im Netzwerk, aber auch Cloud- und Container-Implementierungen. Um diese Übersicht zu gewinnen, benötigen Sie eine Kombination aus passiven Netzwerk-Scans, Agenten, die auf den Geräten installiert werden, sowie Container-Scans.

Wenn Sie diese erste Inventarisierung abgeschlossen haben, müssen Sie dafür sorgen, dass sie laufend weitergeführt wird. All die verschiedenen Gruppen von Assets müssen verfolgt und ihre Daten auf dem neuesten Stand gehalten werden, gleich, wie schnell sie sich verändern. Im Endeffekt muss jetzt kontinuierlich auf Schwachstellen gescannt werden, da ständig Änderungen auftreten können. Auf diese Weise sollten sich sowohl Probleme bei kurzlebigen Assets aufdecken lassen als auch solche bei kritischen Ressourcen wie Betriebstechnik oder industriellen Steuersystemen, bei denen Änderungen sehr selten sind. Gleich, welche Assets Ihr Unternehmen im Einsatz hat – diese Daten sollten Ihnen zeigen, welche Risiken bestehen und welche Prioritäten Sie setzen müssen.

Anschließend können Sie diese Daten in Ihren Prozessen und Arbeitsabläufen besser nutzen. Sie können nicht nur einen konkreten Ansatz zur Priorisierung von Risiken entwickeln, sondern die Daten auch verwenden, um verschiedene Teams im Unternehmen über Änderungen und deren Auswirkungen zu informieren. Wenn Sie dies in standardisierte Arbeitsabläufe integrieren, können Sie einige der Schritte automatisieren, für die sonst die Sicherheitsmitarbeiter Zeit aufwenden müssten. Zudem können Sie überlegen, wie Sie diese Informationen an andere Abteilungen weiterleiten können, etwa an die Software-Entwickler, indem Sie die Daten aus den Schwachstellenscans auch in deren Tools und Workflows einbetten.

Und schließlich müssen die Veränderungen im Schwachstellenmanagement in die Arbeitsabläufe vieler Teams einfließen, nicht nur die der Sicherheit. Es ist schwieriger, Änderungen tatsächlich umzusetzen, wenn sie nur für eine Abteilung relevant sind. Den Mitarbeitern, die an der Software-Entwicklung beteiligt sind, kann es helfen, wenn sie leichter On-Demand-Scans durchführen können. So können die Entwickler potenzielle Probleme selbst feststellen, statt auf die Berichte des Sicherheitsteams angewiesen zu sein. Im Idealfall wird diese Aktivität automatisiert und standardmäßig in der Continuous Integration/Continuous Deployment-Pipeline verankert, indem Scan-Tools über APIs eingebunden werden.

Die Zukunft sichern

Um das Schwachstellenmanagement auf diese Weise zu verändern, bedarf es eines deutlich anderen Arbeitsablaufs und einer ganz neuen Denkweise. Statt statische, einzelne Scans durchzuführen, um Probleme aufzeigen zu lassen, werden Schwachstellen laufend entdeckt, priorisiert und behoben. Das bedeutet: Isolierte Aktivitäten werden ersetzt durch eine fortlaufende Anforderung, die sich weiterentwickelt und niemals als „erledigt“ betrachtet werden kann. Dadurch entsteht ein anderer Druck auf das Team. Es empfiehlt sich deshalb, eine neue Metrik zu entwickeln, um die Erfolge bei der Problembehebung zu verfolgen.

Ein Blick auf Ihre Time to Remediate (Zeit zur Behebung, TTR) kann hier hilfreich sein. Mit der TTR sollten Sie nachvollziehen können, wie gut Sie Probleme bewältigen – gleich, ob es sich um einfache Patches handelt oder um komplexere Projekte, die mehrere Anwendungen betreffen. Bei Anwendungen, bei denen sich ein Problem nicht beheben lässt, sollten Sie sicherstellen, dass die kompensierenden Kontrollen regelmäßig getestet und aktualisiert werden. Wenn dafür ein Dashboard oder eine Visualisierung zur Verfügung steht, können Sie leichter verfolgen, wie gut Ihr Team reagiert. Zugleich kann Ihr Team auf diese Weise zeigen, dass es seine Leistung verbessert.

Wenn Sie Ihre Sicherheit erhöhen und Schwachstellen effektiv bewältigen möchten, müssen Sie sich weiterentwickeln und nach vorn bewegen. Die Zahl der Sicherheitslücken nimmt von Jahr zu Jahr zu: Laut der US National Vulnerability Database stieg sie von 18.153 im Jahr 2018 auf 18.938 in 2019, und wenn mit der gleichen Geschwindigkeit Schwachstellen offengelegt werden wie bisher, wird dieses Jahr die Marke von 20.000 überschritten. Es ist unmöglich, all diese kumulativen Probleme manuell nachzuverfolgen. Um mit den Veränderungen Schritt zu halten, muss kontinuierlich gescannt werden. Wir müssen über das Schwachstellenmanagement hinaus- und zu einer fortgeschritteneren Problembehebung übergehen. Nur wenn wir klarer erkennen, wo wir stehen, können wir uns laufend verbessern.

Weitere Informationen zum Thema:

Qualys, Inc.
Information Security and Compliance

datensicherheit.de, 06.05.2020
Serverlose Architektur: Neun Ratschläge gegen Schwachstellen

datensicherheit.de, 01.05.2020
Salt: Sehr kritische Schwachstellen entdeckt

datensicherheit.de, 26.06.2020
Digitale Transformation: Durchblick bei den Kunden, Blindheit in der IT

[datensicherheit.de, 20.09.2018] Schwachstellenmanagement (Vulnerability Management) ist ein unverzichtbarer Bestandteil einer hohen IT-Sicherheit. Traditionelle Ansätze sind allerdings angesichts der horrenden Zahl potenzieller Sicherheitslücken zum Scheitern verurteilt, erklären NTT Security (Germany) und „Security Center of Excellence“ der NTT Group. Nur eine starke Priorisierung ermöglicht ein effizientes Schwachstellenmanagement.

Ein wesentlicher Aspekt bei der IT-Sicherheit ist das Vulnerability und Patch Management, bei dem Unternehmen allerdings schnell an Grenzen stoßen – schlicht und ergreifend durch die hohe Anzahl von Verwundbarkeiten. Das Verzeichnis bekannter Sicherheitslücken in IT-Systemen, der von der Mitre Corporation in Zusammenarbeit mit Herstellern von Sicherheitssoftware, Behörden und Bildungseinrichtungen verwaltete Industriestandard CVE (Common Vulnerabilities and Exposures), enthält allein für 2017 14.714 Meldungen über neue Verwundbarkeiten und aktuell sind es bereits über 12.000. Ein 100-Prozent-Ansatz beim Patchen ist somit kaum realistisch.

Die Lösung für diese Herausforderung lautet: Etablierung eines intelligenten, also eines sogenannten Smart-Vulnerability-Managements. Es setzt bei der Bestandsaufnahme der IT an und bewertet, filtert und priorisiert Risiken. Die Risikoabschätzung ist von zentraler Bedeutung, da jedes Unternehmen ein individuelles Risikoprofil aufweist, das durch eine Klassifizierung und Bewertung der schützenswerten Daten und Prozesse ermittelt werden muss. Darauf bauen dann alle weiteren Maßnahmen im Rahmen einer umfassenden Vulnerability-Management-Strategie auf.

Ein Smart-Vulnerability-Management scannt IT-Systeme und untersucht sie auf Schwachstellen. Dabei nutzt es auch systemübergreifende Informationen, die eine Priorisierung ermöglichen. Tritt etwa eine Schwachstelle bei den Microsoft Remote Desktop Services (RDS) auf, muss nicht zwangsläufig ein Patchen aller Windows-Server mit hoher Priorität erforderlich sein. So liegen durch Echtzeit-Informationen der Firewall Erkenntnisse darüber vor, welche Windows-Systeme überhaupt über das Microsoft Remote Desktop Protocol (RDP) erreichbar sind. Und über die von vielen Unternehmen genutzten Intrusion-Prevention- und Intrusion-Detection-Systeme sind eventuell bereits Pattern-Updates für diese Verwundbarkeit vorhanden. Setzt ein Unternehmen zudem eine Configuration Management Database (CMDB) ein, kennt es auch diejenigen Systeme, die überhaupt kritische Daten beinhalten. Auch durch die damit mögliche Priorisierung können Patch-Prozesse entscheidend optimiert werden.

Weiß ein Unternehmen, an welchem Ort wichtige Daten liegen und sicherheitsrelevante Gefahren bestehen, kann es überdies nicht nur gezielt reagieren, sondern auch proaktive Vorkehrungen treffen und frühzeitig in entsprechende Security-Maßnahmen investieren. Dazu zählen zum Beispiel die Transportverschlüsselung, der Einsatz sicherer Authentifizierungsmethoden, effiziente Berechtigungsmodelle, die Datenverschlüsselung und die Netzwerksegmentierung – immer angepasst auf die jeweilige Risikolage.

Bild: NTT Security

Matthias Straub, Director Consulting Deutschland und Österreich bei NTT Security

„Traditionelle Vulnerability-Management-Prozesse sind zeitaufwändig, ressourcenintensiv und ineffizient und fokussieren oft die falschen Kriterien, sodass Sicherheits- und Compliance-Lücken die Folge sein können“, betont Matthias Straub, Director Consulting Deutschland und Österreich bei NTT Security. „Ein Smart-Vulnerability-Management-Ansatz hingegen, der auf Priorisierung basiert, adressiert primär die größten Schwachstellen in einer IT-Umgebung. Er bietet damit eine schnelle und effiziente Möglichkeit für die Umsetzung eines erfolgreichen Vulnerability-Managements – auch wenn eine große Anzahl potenzieller Schwachstellen zu berücksichtigen ist.“

Ein umfassendes intelligentes Smart-Vulnerability-Managementsystem beinhaltet:

• Identifizierung: Echtzeit-Vulnerability-Informationen in einer zentralen Datenbank
• Priorisierung: Kunden- und anforderungsspezifische Schwachstellen-Klassifizierung
• Management: Remediation-Tracking, Kunden-Reports, -Dashboards und -Charts
• Audit: Auditierbare Aufzeichnungen von Remediation-Prozessen von der Schwachstellen-Identifizierung bis zur -Beseitigung
• Vulnerability-Threat-Korrelation
• Asset-bezogenes Scheduling, Scanning und Reporting

Weitere Informationen zum Thema:

NTT Security
Solutions for Resilient Cyber Security

datensicherheit.de, 09.08.2018
Cyberattacken: Basisarbeit in der IT-Sicherheit ist wesentliche Abwehrmaßnahme

datensicherheit.de, 07.08.2018
Fünf Empfehlungen zur Steigerung der IT-Sicherheit

datensicherheit.de, 25.04.2018
Connected Cars: NTT Com Security fordert konsistente IT-Sicherheits-Architektur

datensicherheit.de, 08.05.2014
Datensicherheit als Daueraufgabe: Fortschritt mobiler IKT erfordert Fortbildung

datensicherheit.de, 11.10.2011
Auf die Reihenfolge kommt es an: Die vier Säulen der Datensicherheit