Das Management von Schwachstellen – Vulnerability Management – ist ein wesentlicher Baustein einer guten IT-Security-Strategie. Aber wo anfangen? Selbst Experten können sich bei der Identifikation und Analyse von Schwachstellen leicht verzetteln. Die Relevanz einer bekannten Schwachstelle lässt sich nicht abschließend festlegen, sondern ist abhängig vom individuellen Unternehmen und der aktuellen Bedrohungslage. Zudem werden täglich neue Schwachstellen bekannt. Eine naive Herangehensweise an das Vulnerability Management kann schnell zu einem Ressourcenfresser werden, ohne Ihre IT-Security zu verbessern.

Die Lösung dieses Problems: das risikobasierte Vulnerability Management. Hier wird die Flut der Rückmeldungen von Vulnerability-Scannern und anderen Datenquellen nicht stumpf abgearbeitet – stattdessen erfolgt eine intelligente Priorisierung von Schwachstellen nach individuellem Risiko, um die Ressourcen dort zu konzentrieren, wo sie am wirksamsten sind.

IT-Landschaft wird zu komplex für herkömmliches Vulnerability Management

Die Anzahl der Schwachstellen in der IT eines Unternehmens steigt natürlich mit der Anzahl der Assets, aber auch mit der Zahl der Schnittstellen zwischen Assets sowie von unterschiedlichen Modellen und Herstellern. Voraussetzung eines effektiven Vulnerability Management ist stets die Kenntnis der unternehmenseigenen Assets, nach dem Prinzip: „Man kann nicht schützen, was man nicht sieht.“

Das klingt zunächst offensichtlich – aber nicht in jedem Unternehmen ist die IT-Inventarisierung umfassend und auf dem aktuellen Stand. 65 Prozent der Unternehmen in Deutschland beklagen eine immer größer werdende digitale Angriffsfläche, und 50 Prozent sehen sich nicht imstande, diese zu kontrollieren (Quelle: CSO). Auch herkömmliche Schwachstellen-Scanner haben oft blinde Flecken und überprüfen nicht die ganze IT-Landschaft der Organisation, liefern aber andererseits in dem von ihnen geprüften Bereich eine Vielzahl an teils irrelevanten potenziellen Schwachstellen zurück. Viele der in den Common Vulnerabilities and Exposures (CVE) katalogisierten Schwachstellen stellen für Unternehmen eher theoretische als praktische Gefahren dar. Denn die dort vorgenommene Bewertung nach Common Vulnerability Scoring System (CVSS) misst nur das Gefährdungspotenzial einer Schwachstelle, nicht das tatsächliche Risiko, das sich Schadenspotenzial und Eintrittswahrscheinlichkeit eines Schadens ergibt.

Pentests dagegen können zwar gezielt auf solche Assets ausgerichtet werden, von denen bekannt ist, dass ihre Sicherheit besonders kritisch für die Geschäftskontinuität ist. Hier wiederum ist aber das Problem, dass Pentests nur ein punktuelles und kein kontinuierliches Bild der Schwachstellen-Landschaft liefern. Zwischen Pentests können zahlreiche Zero-Day-Exploits bekannt werden und ausgenutzt werden. Nach Zahlen des TÜV Rheinland von 2021[MR1]  erfolgt alle 39 Sekunden ein Hackerangriff auf ein deutsches Unternehmen, und erfolgreiche Angriffe bleiben im Durchschnitt 200 Tage lang unentdeckt. 

Risikobasiertes Vulnerability Management: Was ist notwendig?

Um mit einem risikobasierten Vulnerability Management die eigenen Ressourcen dort einzusetzen, wo sie den größten Nutzen bringen, ist eine systematische Vorgehensweise notwendig.

Hierzu gehört zunächst die Inventarisierung und Bewertung aller zu sichernden Netzwerke, Assets, Anwendungen, Clouddienste etc. sowie ihrer Nutzer. Dies muss selbst in kleineren Unternehmen aufgrund der heterogenen IT-Landschaft schon automatisiert und regelmäßig erfolgen. Wichtig: Auch Privatgeräte, die im Rahmen von Bring Your Own Device (BYOD) eingebracht werden, sowie IoT-Geräte und Anwendungen in der Cloud dürfen nicht übersehen werden.

Für all diese Assets und Anwendungen muss bekannt sein, in welchem Geschäftskontext sie eingesetzt werden und welche Relevanz sie für Geschäftskontinuität und Compliance haben, und es muss ein kontinuierliches Monitoring von Angriffen darauf erfolgen.

Aus diesem Monitoring und den resultierenden Logfiles lassen sich schon grundlegende Daten für die Threat Intelligence ableiten, wie etwa die Zunahme bestimmter Arten von Datenverkehr, die Präsenz verdächtiger Domainnamen oder wiederholte Anmeldeversuche bei bestimmten Diensten. Ausreichend sind sie aber nicht, zumal sie eine zeitlich nur relativ kurze Aussagekraft haben.

Zusätzlich sollte für ein effektives risikobasiertes VM daher eine Vielzahl von anderen Informationsquellen hinzugezogen werden. Eine davon ist natürlich die bereits erwähnte CVE-Datenbank, die mit ihren CVSS-Werten zwar keine tatsächliche Risikobewertung einer Schwachstelle abgibt, aber doch einige brauchbare Charakteristika der jeweiligen Schwachstelle liefert. Hinzu kommen Open-Source-Plattformen, die Daten zur Threat Intelligence sammeln und zur Verfügung stellen, die Befragung interner und externer Experten zur aktuellen Bedrohungslage, die automatisierte oder manuelle Beobachtung von Social Media und Webseiten im herkömmlichen wie auch im Dark Web und so weiter. Ein wesentlicher Faktor für die Risikobewertung einer Schwachstelle ist die Verfügbarkeit und tatsächliche Ausnutzung von Exploits, ein anderer die Ziele, Aktivitäten und Möglichkeiten wichtiger Bedrohungsakteure. Die Menge der aus diesen Quellen gewonnenen Informationen macht aufwendige Analysen und Auswertungen notwendig, oft mittels Machine Learning. Das Ergebnis sollte schließlich eine priorisierte Liste notwendiger Maßnahmen sein, um die IT-Landschaft des Unternehmens optimal zu schützen. So kann beispielsweise ganz konkret ermittelt werden, wo Patches und Updates besonders zeitnah installiert werden müssen, wo sich Awareness-Maßnahmen konzentrieren sollten oder welche Konfigurationen von Firewalls sinnvoll sind.

Lösungen für das Vulnerability Management

Fazit: Ein wirksames, das heißt risikobasiertes Schwachstellenmanagement ist unabdingbar, aber sehr aufwendig und ohne spezialisierte Werkzeuge kaum zu leisten. Gartner zufolge soll der Markt für Plattformen und Tools im risikobasierten Vulnerability Management im Jahr 2023 ein Volumen von 639 Millionen USD erreichen – eine eher konservative Schätzung, andere Experten erwarten noch deutlich mehr. Allerdings ist das Angebot der zur Verfügung stehenden Lösungen mittlerweile sehr unübersichtlich, was eine weitere Hürde zur Implementierung darstellt. Outpost24 steht Ihnen hierbei mit langjähriger Branchenexpertise als Trusted Partner zur Verfügung. Mit unseren Produkten und Managed Services im Bereich Risikobasiertes Vulnerability Management sind Sie in sicheren Händen, ohne dass Ihre Inhouse-Experten sich selbst in wechselnde Tools einarbeiten müssen. Wir helfen Ihnen, Ihre Ressourcen für risikobasiertes Vulnerability Management effektiv und punktgenau einzusetzen.