Was ist Vulnerability-Management und wie lässt es sich effizienter gestalten?  

In keinem noch so gut gesicherten IT-System lässt sich hundertprozentige Sicherheit erreichen. Aber: Man kann den 100 Prozent nahekommen. Notwendig dazu ist ein fundiertes Schwachstellenmanagement (Vulnerability-Management). Mit diesem können Schwachstellen nicht komplett eliminiert, aber ihre Auswirkungen auf die Sicherheit der Unternehmens-IT eingegrenzt werden.

IT-Landschaft: Man kann nur schützen, was man sieht

Grundlage des Vulnerability-Managements ist stets eine aktuelle Kenntnis der IT-Assets – also Hardware wie auch Software. Diese sollten am besten in Echtzeit katalogisiert und einsehbar sein. Blinde Flecken der Unternehmens-IT sind oft auch gerade die Bereiche, die besonders anfällig für Angriffe sind.

Solche nicht katalogisierten Bereiche entstehen beispielsweise durch unzureichend dokumentierte oder inoffizielle Schnittstellen – etwa zu privaten Geräten der Mitarbeitenden oder zu IT-fähigen Geräten (Internet of Things), deren Relevanz für die Gesamt-IT unterschätzt wird. Auch Cloudanwendungen werden häufig bei der Inventarisierung nicht berücksichtigt.

Diese Grundlage des Vulnerability-Managements wird durch das IT-Asset-Management geschaffen, das typischerweise mit Hilfe einer IT-Dokumentationssoftware durchgeführt wird. Ein systematisches und aktuelles IT-Asset-Management hat auch über das Vulnerability-Management hinaus positive Wirkungen – so können beispielsweise Lizenzen stets rechtzeitig erneuert bzw. überflüssige Lizenzen gekündigt werden, und durch die Übersicht aller vorhandenen Geräte werden nicht notwendige Zukäufe vermieden. Auch zusätzlicher Bedarf, etwa beim Onboarding neuer Mitarbeiter, kann rechtzeitig gedeckt werden. Und apropos Mitarbeiter: Auch über diese Art von Asset und insbesondere ihre Zugriffe und Berechtigungen in der vorhandenen Infrastruktur müssen stets aktuelle Informationen vorliegen. Oft vernachlässigt wird in diesem Zusammenhang das Offboarding, bei dem vergebene Berechtigungen beim Weggang eines Mitarbeiters auch wieder entzogen werden müssen, um die Sicherheit der Infrastruktur zu gewährleisten.

Schwachstellen erkennen, evaluieren, priorisieren

Sobald die Assets vollständig katalogisiert sind, können bekannte Schwachstellen identifiziert werden. Hierzu können Datenbanken wie etwa die Common Vulnerabilities and Exposures (CVE) abgefragt und mit der vorhandenen Infrastruktur abgeglichen werden. Die IT-Landschaft der meisten Unternehmen ist so komplex, dass das Scannen auf Schwachstellen nur automatisiert sinnvoll ist. Hierzu sind unter dem Stichwort Vulnerability Scanner zahlreiche Lösungen am Markt.

In der CVE-Datenbank sind die Schwachstellen bereits mit sogenannten CVSS-Werten (Common Vulnerability Scoring System) aufgeführt. Diese liefern einige zusätzliche Informationen, können aber keine echte Risikobewertung einer Schwachstelle sein – denn die ist immer abhängig vom konkreten Unternehmen und seiner IT-Infrastruktur.

Als Nächstes muss also eine Bewertung der Schwachstellen in Bezug auf das konkrete Unternehmen erfolgen. Wenn ein Tool zum automatisierten Scannen der IT-Infrastruktur in Bezug auf Schwachstellen eingesetzt wird, dann kann auch dieser Schritt bereits Teil der Software sein.

Zusätzliche Datenquellen, die bei diesem Schritt helfen, sind etwa Open-Source-Datenbanken aktueller Threat Intelligence, automatisierte Beobachtung des Dark Web und auch herkömmlicher Webseite und Social Media, sowie intern und extern gewonnene Expertenmeinungen.

Im Rahmen dieser Bewertung und Priorisierung werden sich zahlreiche der Schwachstellen aus der CVE-Datenbank und anderen Quellen als irrelevant für das Unternehmen herausstellen. Andere dagegen gehen mit Handlungsbedarf einher – der mehr oder weniger dringlich sein kann.

Schwachstellen flicken: Patch-Management

In die Bewertung einer Schwachstelle fließt ihre Schwere (etwa laut CVSS-Wert) ein, aber auch in welchem Geschäftskontext das betroffene Asset eingesetzt wird – und wie relevant das Asset für die Business Continuity des Unternehmen ist.

Ein wichtiges Werkzeug bei der Behandlung von Schwachstellen im Vulnerability-Management sind Updates und Patches. Diese werden von den Herstellern in der Regel so schnell wie möglich nach Bekanntwerden einer neuen Schwachstelle zur Verfügung gestellt. Aber es gibt Ausnahmen – insbesondere, wenn Legacy-Systeme Teil der IT-Infrastruktur des Unternehmens sind, also solche Systeme, deren Support und Weiterentwicklung seitens des Herstellers bereits eingestellt wurden. Auch für systematisches Patch-Management ist das zuvor genannte Asset-Management eine notwendige Grundlage.

Wenn ein Patch (noch) nicht vorhanden ist, dann muss entschieden werden, wie sonst mit der Schwachstelle umgegangen wird. Denkbar sind neben anderen technischen Lösungen als Patches – etwa zusätzlichen technischen Sicherheitsmaßnahmen – auch organisatorische Maßnahmen, die die Schwere einer Schwachstelle für das Unternehmen mindern. Hierzu zählen beispielsweise Verhaltenshinweise für Mitarbeitende, wie mit bestimmten Systemen umzugehen ist. Und hier schließt sich bei einem kontinuierlichen Vulnerability-Management der Kreis: Sobald Schwachstellen behandelt wurden, erfolgt eine Neubewertung und ein Reporting, um weiterhin auf dem aktuellen Stand zu sein und die Effektivität der Maßnahmen messen zu können.

Risikobasiertes Vulnerability-Management

Fazit: Mehrere Trends führen dazu, dass die Anzahl der Schwachstellen in IT-Infrastruktur immer weiter steigt. Hierzu zählen die zunehmende Vernetzung auch von früher offline betriebenen Geräten, die zu einem exponentiellen Anstieg von Schnittstellen führt. Zudem auch die Vielfalt der Anwendungsszenarien für Software, die von den unterschiedlichsten Applikationen abgedeckt werden, und auch die Tatsache, dass IT-Infrastruktur immer interessanter für Angreifer wird, auch im Rahmen von instabilen politischen Lagen.

Dieser Komplexität ist praktisch nur noch mit automatisierten Lösungen beizukommen. Hierzu gehört natürlich ein automatisiertes Scanning der IT-Landschaft, aber auch die automatisierte und mit Machine Learning unterstützte Evaluation und Priorisierung von Schwachstellen für das individuelle Unternehmen.

Dieser Ansatz ist nichts neues und wird als risikobasiertes Vulnerability-Management bezeichnet. Wir sehen in dieser Lösung eine Möglichkeit die Schwachstellenflut einzudämmen und den Überblick zu behalten: Nur mit Hilfe von intelligenter, risikobasierter Bewertung kann aus den im Überfluss vorhandenen Daten eine sinnvolle Entscheidungsgrundlage geschaffen werden.

Und mit Outpost24 gelingt Ihr Einstieg in das risikobasierte Vulnerability Management besonders leicht. Wir bieten diesen Dienst im Rahmen unserer Managed Services an, so dass Sie Ihre Ressourcen so effizient wie möglich einsetzen können und keinen zusätzlichen Aufwand für Einarbeitung des internen Personals haben. Wenn Sie tiefer in das Thema Risikobasiertes Schwachstellenmanagement einsteigen wollen, dann lesen Sie unseren Beitrag Mit risikobasiertem Vulnerability Management die Schwachstellenflut effizient eindämmen oder kontaktieren Sie uns für ein unverbindliches Beratungsgespräch.

About the Author

Dr. Christina Czeschik ist Ärztin und Medizininformatikerin und schreibt seit etwa 10 Jahren als freie Autorin über Datenschutz, Informationssicherheit und Digitalisierung im Gesundheitswesen, unter anderem für die B2B-Content-Marketing-Agentur ucm.