Was ist Schwachstellenmanagement?

Mithilfe von Schwachstellenmanagement können Sie Softwareprobleme und Fehlkonfigurationen – die von Angreifern ausgenutzt werden, zur unbeabsichtigten Freigabe sensibler Daten führen oder den Geschäftsbetrieb unterbrechen können – identifizieren, priorisieren und darauf reagieren.

Das moderne Cyber-Ökosystem ist alles andere als statisch: Es ist vielmehr ein Gebilde, das sich ständig wandelt, weiterentwickelt und um neue Technologien, Systeme und Personen erweitert wird. Unglücklicherweise wird die Gewährleistung der Sicherheit dadurch zu einer Sisyphos-Aufgabe.

Nahezu täglich werden neue digitale Schwachstellen entdeckt, die zusammengenommen jedes Jahr Tausende neuer Bedrohungsvektoren ergeben. Diese können ausgenutzt werden und Unternehmen in praktisch jeder Branche vor erhebliche Probleme stellen. Nach Angaben des Ponemon Institute belaufen sich die durchschnittlichen Kosten für eine Datenschutzverletzung in den USA auf 8,64 Millionen US-Dollar. Auf Angriffe erst dann zu reagieren, wenn sie bereits stattgefunden haben, ist daher schlichtweg kein wirksamer Schutz.

Hinzu kommt, dass Systeme und Services immer komplexer werden und in der modernen Gesellschaft eine immer größere Rolle spielen. Wenn Benutzer die Umgebung konfigurieren, warten und weitere Technologien und Geräte hinzufügen, kann es zu Fehlern kommen. Und jeder Fehler kann zu einem echten Problem werden.

Schwachstellenmanagement bietet hierfür eine Lösung.

Schwachstellenmanagement – Definition

Unter dem Begriff „Schwachstellenmanagement“ werden die verschiedenen Prozesse, Tools und Strategien zur Identifizierung, Bewertung, Behandlung und Meldung von Sicherheitsschwachstellen und Fehlkonfigurationen in der Software und den Systemen eines Unternehmens zusammengefasst. Mit anderen Worten: Es ermöglicht Ihnen, die digitale Umgebung Ihres Unternehmens zu überwachen, um potenzielle Risiken zu erkennen und sich ein aktuelles Bild von Ihrem Sicherheitsstatus zu machen.

Sicherheitsschwachstellen

Im weitesten Sinne ist eine Schwachstelle eine Sicherheitslücke – ein Fehler, der ausgenutzt werden kann. In der Informatik ist das nicht anders. Hier sind Sicherheitsschwachstellen das Ziel von Angreifern, die sie ausnutzen wollen, um auf geschützte Systeme zuzugreifen.

Schwachstellenscanner

Die Identifizierung von Schwachstellen in Ihren Systemen, Netzwerken und Anwendungen erfordert spezielle Tools. Ein Schwachstellenscanner ist ein Programm, das Ihre digitalen Systeme durchforstet und potenzielle Schwachstellen aufspürt, damit Sie diese managen können.

Risikobasiertes Schwachstellenmanagement

Risikobasierte Programme für Schwachstellenmanagement stellen eine Erweiterung des Schwachstellenmanagements dar. Sie zielen darauf ab, die Schwachstellen digitaler Systeme auszumerzen, einschließlich Software, Hardware und Infrastruktur. Das risikobasierte Schwachstellenmanagement nutzt maschinelles Lernen, um Schwachstellen über herkömmliche IT-Assets hinaus zu managen und auch Cloud-Infrastruktur, IoT-Geräte, Webanwendungen und mehr einzubeziehen. So erhalten Unternehmen Einblicke in ihre gesamte Angriffsfläche.

Risikobasiertes Schwachstellenmanagement ermöglicht darüber hinaus eine präzisere, risikobasierte Priorisierung. Ihr Unternehmen kann sich zunächst auf die Identifizierung und Behebung der Schwachstellen konzentrieren, die am wahrscheinlichsten zu einer Sicherheitsverletzung führen, und weniger kritische Schwachstellen zurückstellen.

Schwachstellenmanagement im Vergleich zur Schwachstellenbewertung

Sowohl das Schwachstellenmanagement als auch die Schwachstellenbewertung tragen dazu bei, Schwachstellen in der Cybersicherheit wirksam zu erkennen und zu beheben. Schwachstellenmanagement und Schwachstellenbewertung sind jedoch keineswegs gleichzusetzen.

Eine Schwachstellenbewertung stellt lediglich die erste Phase des Schwachstellenmanagements dar. Die meisten Unternehmen verwenden Scantools, um die Geräte in ihrem Netzwerk zu untersuchen und Informationen über die Version der installierten Software zu sammeln. Diese werden dann mit den von den Softwarelieferanten gemeldeten Schwachstellen verglichen. In der Regel sind mehrere Scantools mit oder ohne Service Desk-Mitarbeiter oder Anmeldeinformationen erforderlich, um die gesamte Bandbreite der verwendeten Software (Anwendungen, Betriebssysteme, Cloud Service Provider usw.) abzudecken. Unternehmen führen in regelmäßigen Abständen – in der Regel monatlich oder vierteljährlich – Scans durch und verwenden dann diese Liste, die nicht selten als Tabelle per E-Mail verschickt wird, um Upgrade- oder Patching-Aufgaben zuzuweisen. Wenn eine Zero-Day-Schwachstelle bekannt wird, die aktiv ausgenutzt wird und für die möglicherweise noch kein Patch verfügbar ist, kann ein Unternehmen einen On-Demand-Scan starten, der je nach Größe und Konfiguration der Infrastruktur Tage oder Wochen in Anspruch nimmt.

Demgegenüber handelt es sich beim Schwachstellenmanagement um einen Lebenszyklus und nicht nur um einen geplanten oder einen Ad-hoc-Scan. Vielmehr stellt das Schwachstellenmanagement ein fortlaufendes Programm dar, das von der Bewertung über die Priorisierung bis hin zur Behebung reicht. Es nutzt mehrere Datenquellen, um den aktuellen Status Ihrer Software und Services kontinuierlich zu beurteilen und neu zu bewerten. Durch Hinzufügen von Geschäfts-, Bedrohungs-, Ausnutzungs- und Risikokontext zu den von den Bewertungstools generierten Softwareinformationen kann ein Schwachstellenmanagement-System effizient auf die Schwachstellen hinweisen, die sofort behoben werden müssen, und sogar die beste Lösung oder Abhilfe vorschlagen. Die fortlaufende Beurteilung, Bewertung, Behebung und Berichterstattung über Schwachstellen ermöglicht es Ihnen, Sicherheitsschwachstellen tagesaktuell zu verwalten und zu beheben. Das bedeutet, dass Schwachstellen schneller entdeckt werden können, die Probleme mit den größten Auswirkungen zuerst behoben werden können und weniger Schwachstellen übersehen werden.

Einfach ausgedrückt: Eine Schwachstellenbewertung liefert Ihnen eine Momentaufnahme des Zustands Ihrer IT-Software. Das Schwachstellenmanagement bietet Ihnen hingegen fortlaufend aktualisierte Informationen in Echtzeit, Anleitungen zur Problembehebung und Berichte.

Je mehr Informationen in digitalen Systemen erstellt und gespeichert werden und je stärker Unternehmen mobile Technologien und IoT-Geräte einsetzen, desto mehr neue Sicherheitsschwachstellen tauchen auf. Im Folgenden werfen wir einen Blick auf einige der wichtigsten Statistiken im Zusammenhang mit dem Schwachstellenmanagement:

  • 2020 wurden 17.002 neue Sicherheitsschwachstellen entdeckt und veröffentlicht. (Stack Watch)
  • Die durchschnittliche Schwachstelle wurde mit einem Schweregrad von 7,1 von 10 bewertet. (Stack Watch)
  • 48 % der Unternehmen geben an, dass es bei ihnen in den letzten zwei Jahren zu einer Datenschutzverletzung gekommen ist. (ServiceNow)
  • 60 % der Opfer von Sicherheitsverletzungen gaben an, dass sie aufgrund einer bekannten Schwachstelle, die nicht gepatcht worden war, zu Schaden gekommen sind. (ServiceNow)
  • 62 % der Befragten wussten vor der Datenschutzverletzung nicht, dass ihr Unternehmen angreifbar war. (ServiceNow)
  • 52 % der Befragten gaben an, dass ihre Unternehmen bei der Reaktion auf Schwachstellen nicht optimal vorgehen können, da sie manuelle Prozesse verwenden. (ServiceNow)

Die fünf Lieferanten mit den meisten dokumentierten Sicherheitsschwachstellen im Jahr 2020 sind Microsoft, Google, Oracle, Apple und IBM. (Stack Watch)

Cyberkriminellen mangelt es keineswegs an Schwachstellen, die sie ins Visier nehmen können. Und angesichts des Schadens, der durch eine Datenschutzverletzung entstehen kann – nicht nur in Form finanzieller Verluste, sondern auch im Hinblick auf Unterbrechungen des Betriebs, Beeinträchtigung des Kundenvertrauens oder der Markenreputation und sogar potenzielle rechtliche Konsequenzen – ist das Aufspüren und Beheben von Schwachstellen unerlässlich.

Effektives Schwachstellenmanagement ist ein wichtiger zusätzlicher Schutz, der Ihnen die Möglichkeit gibt, IT-Sicherheitslücken zu verwalten und fortlaufend zu beheben.

Keine Diskussion über das Schwachstellenmanagement wäre vollständig, ohne auf Exploits einzugehen – was sie sind und wie man sich darauf vorbereitet.

Ein Exploit ist ein bösartiges Softwareprogramm (Malware). Es besteht aus einem speziellen Code, der bekannte Schwachstellen in einem System ausnutzt. Bedrohungsakteure verwenden Exploits zunächst, um aus der Ferne auf Netzwerke und zugehörige Systeme zuzugreifen. Sie können dann Daten stehlen oder verändern, sich selbst Systemberechtigungen verschaffen, autorisierte Benutzer aussperren, tiefer in das Netzwerk eindringen und die Tür für andere Malware oder Angriffstechniken öffnen.

Besonders hervorzuheben ist, dass es sich bei Exploits um Softwareprogramme handelt, die auf bekannte Schwachstellen abzielen und diese ausnutzen – oder, im Falle einer Zero-Day-Schwachstelle, auf eine Schwachstelle, die möglicherweise noch nicht bekannt ist und daher nicht gepatcht wurde. Wenn Sie in Ihrem Unternehmen ein Schwachstellenmanagement einführen, können Sie genau die Schwachstellen beheben, auf die es Exploits abgesehen haben.

Neben einem fortlaufenden Schwachstellenmanagement können Sie folgende Maßnahmen zur Vorbereitung Ihres Unternehmens ergreifen:

  • IT-Sicherheitsschulungen für alle Mitarbeiter
    Ihre IT-Abteilung ist nicht die einzige Abteilung, die wissen muss, wie sie sich gegen mögliche Angriffe schützen kann. Schulen Sie all Ihre Mitarbeiter in den Best Practices für IT-Sicherheit und sorgen Sie dafür, dass die Cybersicherheitsrichtlinien Ihres Unternehmens auf dem neuesten Stand sind.
  • Datenverkehrsfilter und -scans
    Die Filterung und Überprüfung des Datenverkehrs verschafft Ihnen einen besseren Einblick in den Netzwerkverkehr und ermöglicht es Ihnen, die richtigen Arten von Datenverkehr an die richtigen Überwachungstools zu senden. Das verhindert Engpässe im Datenverkehr, verringert die Latenzzeit und ermöglicht eine schnellere Identifizierung und Reaktion auf bösartige Software.
  • Regelmäßiges Patching
    Die Anbieter von Software stellen regelmäßig Patches und Updates zur Verfügung, um neue Schwachstellen in ihren Produkten zu beheben. Indem Sie regelmäßig nach Patches suchen und sicherstellen, dass all Ihre Systeme und Anwendungen mit den aktuellen Versionen betrieben werden, können Sie sicherstellen, dass bekannte Sicherheitslücken nicht für Angriffe gegen Sie missbraucht werden.

Weitere Informationen zum Schutz Ihres kritischen IT-Ökosystems finden Sie in Implementieren einer agilen Sicherheitsreaktion: Die ultimative Prüfliste.

Wenn Lieferanten und Entwickler Softwarelösungen auf den Markt bringen, haben sie nicht immer die Zeit, alle möglichen Schwachstellen zu identifizieren und zu beheben, bevor das Produkt veröffentlicht wird. Daher können Schwachstellen und Bugs für einige Zeit unentdeckt bleiben.

Wenn Lieferanten, Sicherheitsdienstleister, Tester und herkömmliche Benutzer neue Schwachstellen entdecken, werden diese in der Regel über die entsprechenden Kanäle gemeldet und offengelegt. Die Lieferanten sind dann dafür verantwortlich, ihre betroffenen Produkte mit Patches zu versehen. Je nach Schweregrad oder potenziellen Folgen der Schwachstelle werden die Lieferanten mehr oder weniger schnell einen Patch veröffentlichen. Große Lieferanten fassen die Patches in der Regel in einer einzigen Veröffentlichung am „Patch Tuesday“ (Patch-Dienstag) zusammen und testen sie, damit ihre Kunden weniger Unterbrechungen und weniger Arbeit mit der Implementierung der Patches haben.

Obwohl die Lieferanten wahrscheinlich ihre eigenen Tester und sogar Drittparteien für Penetrationstests einsetzen, um Schwachstellen zu identifizieren, bleiben viele Lücken unbemerkt, bis sie von Benutzern entdeckt oder von Hackern aufgespürt werden. Vor diesem Hintergrund gewinnt fortlaufendes Schwachstellenmanagement zusätzlich an Bedeutung.

Schwachstellenmanagement ist ein zyklischer Prozess, der eine bestimmte Anzahl von Phasen durchläuft und sich dann wiederholt. Dieser Zyklus umfasst sechs Schritte:

Schwachstellen entdecken

Je länger eine Schwachstelle unentdeckt bleibt, desto größer ist die Wahrscheinlichkeit, dass sie zu einer Sicherheitsverletzung führt. Führen Sie wöchentlich externe und interne Netzwerkscans durch, um bestehende und neue Schwachstellen zu erkennen. Dieser Prozess umfasst das Scannen von Systemen, auf die über das Netzwerk zugegriffen werden kann, die Identifizierung offener Ports und Dienste auf diesen Systemen, das Sammeln von Systeminformationen und den Vergleich der Systeminformationen mit bekannten Schwachstellen.

Assets priorisieren

Sobald Sie wissen, welche Ressourcen genutzt werden, können Sie jedem Asset einen Wert zuweisen, der auf seiner Verwendung oder Rolle in Ihrem Unternehmen basiert: Handelt es sich um einen Anwendungs- oder Webserver, der zur Unterstützung Ihrer besten Kunden oder geschäftskritischen Mitarbeiter eingesetzt wird? Oder geht es nur um einen Drucker? Ist das Asset ein Laptop der Geschäftsleitung oder ein Help Desk-Terminal für Kunden? Indem Sie diesen Kontext in die Liste Ihrer Systeme aufnehmen, können Sie feststellen, welcher Stellenwert der Behebung einer Schwachstelle zukommt.

Schwachstellen bewerten

Bei der Bewertung wird der Status der Anwendungen und Systeme in Ihrer Umgebung gescannt.

Schwachstellen priorisieren

Wenn Ihre Scans Schwachstellen aufdecken, müssen Sie diese anhand des potenziellen Risikos für Ihr Unternehmen, Ihre Mitarbeiter und Ihre Kunden priorisieren. Plattformen für das Schwachstellenmanagement bieten in der Regel verschiedene integrierte Metriken zur Bewertung und Einstufung von Schwachstellen. Allerdings müssen Sie den Prozess um Geschäfts-, Bedrohungs- und Risikokontext erweitern, der aus internen oder externen Quellen stammen kann. Ziel ist es, die für Sie relevantesten Schwachstellen mit hoher Auswirkung und hoher Wahrscheinlichkeit einer Ausnutzung zu identifizieren. Angesichts der explosionsartigen Zunahme von Software, Services und Geräten in Ihrem Unternehmen werden Sie vielleicht nie alle Schwachstellen beheben können. Doch die Identifizierung der wichtigsten und wahrscheinlichsten Angriffsziele ist eine gute Grundlage.

Schwachstellen beheben

Wenn die Schwachstellen identifiziert, priorisiert und katalogisiert wurden, besteht der nächste Schritt natürlich darin, sie zu beheben oder ihre Folgen zu mindern. Doch häufig sind die Personen, die im Unternehmen für das Einschätzen des Risikos aus Schwachstellen verantwortlich sind, nicht diejenigen, die am Ende auch eine passende Lösung implementieren. Vor diesem Hintergrund sollte Ihr Unternehmen darauf hinarbeiten, dass die Teams für Security Operations, IT-Betrieb und Systemverwaltung eine gemeinsame Sprache, gemeinsame Entscheidungskriterien und einen gemeinsamen Prozess entwickeln.

Abhilfe überprüfen

Der letzte, oft vernachlässigte Schritt in diesem Prozess ist die Überprüfung, ob die Schwachstelle behoben wurde. Führen Sie im Anschluss an die oben genannten Schritte einen weiteren Scan durch, um sicherzustellen, dass die Hauptrisiken effektiv behoben oder gemindert wurden. Dieser letzte Schritt erlaubt es, den Incident im Tracking-System abzuschließen und liefert wichtige Leistungsmetriken wie die durchschnittliche Zeit bis zur Fehlerkorrektur (Mean Time to Remediation, MTTR) oder die Anzahl der offenen kritischen Schwachstellen.

Berichte zum Status

Wenn Sicherheitsprobleme Schlagzeilen machen, wie z. B. eine große Software- oder eine ausgenutzte Zero-Day-Schwachstelle, fragen sich Führungskräfte und der Vorstand wahrscheinlich, wie gut Sie die Schwachstellen in Ihrem Unternehmen bewertet und beseitigt haben. Und auch Berichte über Schwachstellentrends, Risiken und die Leistung des Schwachstellenmanagements können dabei helfen, den Einsatz von Personal oder Tools gegenüber der Führungsetage zu rechtfertigen. Die besten Plattformen für Schwachstellenmanagement bieten Optionen für die automatische Erstellung visueller Berichte und interaktiver Dashboards, um verschiedene Benutzer, Stakeholder und Perspektiven zu unterstützen.

2-What-is-Vulnerability-Mngmt-A

Die oben beschriebenen sechs Phasen entsprechen einem strukturierten, sequenziellen Ansatz für das Schwachstellenmanagement. Die angemessene Struktur ist auch bei der Einrichtung Ihres Schwachstellenmanagements von entscheidender Bedeutung. Hier finden Sie die Schritte, die Sie in Betracht ziehen sollten:

Definieren Sie Ihre Ziele

Das Hauptziel jeder Schwachstellenmanagement-Lösung sollte natürlich darin bestehen, Schwachstellen in Ihrem System zu identifizieren, zu beheben oder zu entschärfen, bevor diese Schwachstellen ausgenutzt werden können. Sie sollten jedoch auch alle sekundären Ziele ermitteln, die Ihr Unternehmen im Zusammenhang mit dem Schwachstellenmanagement verfolgt.

Sekundäre Ziele ermöglichen es Ihnen, die Gesamteffektivität des Schwachstellenmanagements und die Umsetzung der daraus resultierenden Daten in Ihrem Unternehmen zu verbessern. Zu diesen sekundären Zielen kann es gehören, die Häufigkeit von Schwachstellenscans zu erhöhen oder die Zeit zur Behebung erkannter Schwachstellen zu verringern.

Definieren Sie die Rollen innerhalb Ihres Unternehmens

Damit Ihre Lösung für das Schwachstellenmanagement effektiv ist, müssen alle Stakeholder an einem Strang ziehen und ihre Rollen und Zuständigkeiten in diesem Prozess müssen klar definiert sein. Obwohl unterschiedliche organisatorische Strukturen und Fähigkeiten eine andere Aufteilung der Zuständigkeiten erfordern können, zeigt die Erfahrung, dass es für die meisten Unternehmen empfehlenswert ist, die Rollen „Überwachung“, „Lösung“ und „Autorisierung“ auf verschiedene Personen zu verteilen.

  • Überwachung
    Diese Rolle bewertet Schwachstellen nach Schweregrad und Risiko, dokumentiert ihre Ergebnisse und benachrichtigt dann die für die Behebung der Probleme zuständigen Personen.
  • Lösung
    Diese Rolle ist dafür verantwortlich, nach Patches für bekannte Probleme zu suchen oder eigene Lösungen zur Abhilfe zu erstellen, wenn keine Patches verfügbar sind oder sie nicht angewendet werden können.
  • Autorisierung
    Diese Rolle hat einen umfassenden Überblick über die Schwachstellen des Systems und ist dafür verantwortlich, bei Bedarf Änderungen an der Strategie und den Verfahren vorzunehmen, um die Folgen von Schwachstellen jetzt und in Zukunft zu mindern.

Bewerten Sie die Effektivität Ihres Schwachstellenmanagement-Programms

Ein fortlaufendes Schwachstellenmanagement verschafft Ihrem Unternehmen einen klaren und aktuellen Überblick über den gesamten Sicherheitsstatus. Darüber hinaus können Sie dank der Kontinuität dieser Prozesse genau beurteilen, welche Aspekte Ihres Schwachstellenmanagements funktionieren und welche angepasst werden müssen.

Zur Erinnerung: Obwohl die grundlegenden Schritte des Schwachstellenmanagements relativ einheitlich sind, können je nach Unternehmen geringfügige Anpassungen der Vorgehensweise angebracht sein. Scheuen Sie sich nicht, Änderungen an Ihren Prozessen vorzunehmen, um die Genauigkeit, Klarheit und Behebung zu verbessern.

Um ein wirksames fortlaufendes Schwachstellenmanagement zu erreichen, umfassen die besten Lösungen folgende Punkte:

Scannen

Dazu gehören Netzwerkscans und Firewall-Protokollierung ebenso wie Penetrationstests und automatisierte Tools. In der Tat gibt es viele verschiedene Quellen für Scandaten, sodass Sie sich nicht auf ein einziges Unternehmen oder Tool beschränken müssen.

Finden

Dies umfasst die Analyse der Ergebnisse Ihrer Scans, um Schwachstellen sowie mögliche Hinweise auf vergangene oder stattfindende Sicherheitsverletzungen zu ermitteln.

Überprüfen

Dazu gehört eine Bewertung der Schwachstellen selbst, um festzustellen, wie sie von Cyberkriminellen ausgenutzt werden können und welches Risiko sie mit sich bringen.

Priorisieren anhand von Risiken und Folgenminderung

Dies kann ein risikobasiertes Schwachstellenmanagement beinhalten, um festzustellen, welche Bugs das höchste Risikopotenzial bergen und daher mit höherer Priorität behoben oder entschärft werden sollten.

Patchen

Dazu gehört, dass erkannte Schwachstellen gepatcht werden, um sie effektiv als potenzielle Bedrohungsvektoren zu beseitigen.

Messen

Dazu gehört, die Wirksamkeit der Lösung für das Schwachstellenmanagement zu bewerten und gegebenenfalls Änderungen am Prozess vorzunehmen.

Erste Schritte mit SecOps

Identifizieren und priorisieren Sie Sicherheitsbedrohungen und beschleunigen Sie Ihr Reaktionsvermögen.