Schwachstellen-Management (Vulnerability Management)

Schwachstellen-Management ist Bestandteil Ihrer IT-Compliance: Innerhalb der Informationssicherheit ist die technische Sicherheit durch einen laufenden Management-Prozess zu gewährleisten, der den Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken zum Ziel hat. Geschäftsführer und CIOs müssen für den lückenlosen Schutz der Unternehmensdaten sorgen. Der kontinuierliche Prozess besteht in seiner einfachsten Form aus drei Schritten:

Analyse -> Maßnahmen -> Kontrolle

Die einmal getroffenen Sicherheitsmaßnahmen müssen fortwährend an veränderte Rahmenbedingungen angepasst werden. Diese dazu notwendige Steuerung und Kontrolle wird am Besten durch ein automatisiertes und integriertes System vorbereitet.

Maßnahmen:

Schwachstellen werden häufig auch durch reine Fehlkonfiguration erzeugt. Ein Administratoren-Passwort „12345678“ ist ein klassisches Beispiel, ein weiteres sind Dateisystem-Freigaben, die aus Versehen zum Internet geöffnet werden. Schwachstellen-Scans sind der erste Schritt, um solche Probleme zu finden. Natürlich muss die technische IT-Abteilung mit Mitteln versehen werden, um die erkannten Schwachstellen zu schließen oder wenigstens zu entschärfen. Auch geeignete Sicherheitsrichtlinien, die eine Fehlkonfiguration zu vermeiden helfen, sind über einen Organisationsprozess in den Griff zu bekommen.

 

Wo beginnt man und wie hoch ist das Risiko?

Es hat sich in der Praxis als hilfreich erwiesen, dort zu beginnen, wo das operative Risiko am höchsten ist. Das Common Vulnerability Scoring System (CVSS) ist ein Industriestandard um die Schwere der Verwundbarkeit von Computersystemen zu klassifizieren, damit der Aufwand für die Entschärfung priorisiert werden kann.  Die Beurteilung erfolgt nach Kriterien wie Sicherheitsrelevanz, zu erwartender Gesamtschaden oder Verbreitung. Dem Erkennen der Schwachstellen  muss  die  Beseitigung (Update,  Patch  oder  Rekonfiguration) oder die Behandlung über einen anderen Sicherheitsmechanismus  (IDS,  FirewallRegel) folgen. IDS (Intrusion Detection System) und Firewall sind bezüglich Schwachstellen oft eine schnelle Hilfe solange kein Update zum Schließen der Sicherheitslücke verfügbar ist.

 

Maßnahmen:

Schwachstellen werden häufig auch durch reine Fehlkonfiguration erzeugt. Ein Administratoren-Passwort „12345678“ ist ein klassisches Beispiel, ein weiteres sind Dateisystem-Freigaben, die aus Versehen zum Internet geöffnet werden. Schwachstellen-Scans sind der erste Schritt, um solche Probleme zu finden. Natürlich muss die technische IT-Abteilung mit Mitteln versehen werden, um die erkannten Schwachstellen zu schließen oder wenigstens zu entschärfen. Auch geeignete Sicherheitsrichtlinien, die eine Fehlkonfiguration zu vermeiden helfen, sind über einen Organisationsprozess in den Griff zu bekommen.

Aber Vorsicht:
Je mehr Ausnahmeregeln Firewall und IDS gegen bekannte Probleme ansammeln ohne dass die eigentlichen Sicherheitslücken in der IT gesucht und beseitigt werden, desto höher ist das Risiko eines Schadensfalls und desto größer sind die Ausfall- und Beseitigungskosten sobald er eintritt.

 

Audit-Unterstützung:

Während in der Vergangenheit Sicherheits-Audits nur punktuell durchgeführt werden konnten, bietet der GSM automatische tagesaktuelle Berichte oder auch Alarme.

 

Kontrolle:

Der Greenbone Security Manager (GSM) ermöglicht eine Dokumentation des Sicherheitsstatus bzw. Änderung des Sicherheitsstatus und Benchmark der Sicherheit. Durch das Überführen der Scan-Ergebnisse in den Management-Prozess ist es möglich, mit einfachen Kennzahlen oder Ampeln aufzuzeigen, ob Schwachstellen existieren, ob sie zwischenzeitlich von der IT-Administration geschlossen wurden oder ob neue Schwachstellen im Rahmen der fortlaufenden Schwachstellen-Analyse aufgedeckt wurden. Im Rahmen des Organisationsprozesses können Prüfungen der Richtlinien in Greenbone Prüf-Routinen überführt werden. Die damit automatisierte Prüfung auf Einhaltung der Sicherheitsrichtlinien bedeutet eine erhebliche Arbeitserleichterung. Auch die Gegenmaßnahmen sind in diesem Prozess zu dokumentieren und auf die technische Wirksamkeit zu prüfen. Dies kann durch einen erneuten Schwachstellen-Scan oder durch einen detaillierten Test mit einem anderem Software-Werkzeug erfolgen.

 

Beispiel IT-Grundschutz:

Der Greenbone Security Manager kann automatische Prüfungen zu den IT-Grundschutz-Katalogen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ausführen. Unterstützt wird die aktuellste Ergänzungslieferung mit Prüfungen für über 100 Maßnahmen. Dies ist die maximale Zahl von Maßnahmen, die sich mit automatischen Test unterstützen lassen. Einige Maßahmen sind recht umfangreich, so dass weitaus mehr als 100 Einzeltests pro Ziel-System ausgeführt werden. Damit wird der Greenbone Security Manager zum schnellen Mitarbeiter bei der Durchführung eines IT-Grundschutz Audits und erlaubt überhaupt erst eine automatische Prüfung auf Verstöße als regelmäßiger Vorgang im Hintergrund.