Schwachstellen-Management: erster Schritt zum sicheren Behörden-Netzwerk

An allen Türen rütteln, um Schwachstellen aufzudecken

| Autor / Redakteur: Irmgard Schlembach / Susanne Ehneß

Firewall, Antiviren-Software oder Intrusion-Detection-Systeme reichen nicht aus, um Daten der Öffentlichen Verwaltung zu schützen
Firewall, Antiviren-Software oder Intrusion-Detection-Systeme reichen nicht aus, um Daten der Öffentlichen Verwaltung zu schützen ( © ThorstenSchmitt - Fotolia)

Ein Tresor ohne Sicherheitsschloss oder ein ungesichertes Verwaltungsgebäude – die Gefahr würde jedem sofort ins Auge stechen. Bei einem unzureichend geschützten Behörden-Netzwerk hingegen fallen Sicherheitslücken nicht so leicht auf. Ein automatisiertes Schwachstellen-Management hilft, die Risiken aufzudecken, zu priorisieren und zu minimieren.

Sicherheitsvorkehrungen mithilfe der üblichen Tools wie Firewall, Virenschutz-Programmen oder In­trusion-Detection-Systemen (IDS) sind wichtig und hilfreich. Das ist unbestritten. Aber sie reichen nicht aus, um Daten und Systeme in der Öffentlichen Verwaltung zuverlässig vor Angriffen aus dem Cyberraum zu schützen. Lukas Grunwald, CTO bei Greenbone Networks, erklärt: „Herkömmliche Antiviren-Programme und Firewall-Systeme bilden die harte Schale um einen weichen Kern. Gelingt es, die Schale zu knacken, ist der Kern ungeschützt.“

Doch wie lässt sich der ungeschützte Kern härten? Grunwald nennt einen wichtigen Ansatzpunkt: „Nur wer seine Schwachstellen kennt, kann sie schützen. Es geht darum, sie vor dem Feind zu erkennen, das Risiko einzuschätzen und gezielt Maßnahmen zu ergreifen. Und eines ist sicher: Schwachstellen gibt es in jedem Behörden-Netzwerk.“

Cyberkriminalität auf dem Vormarsch

Die virtuellen Gefahren nehmen ständig zu. Das liegt zum einen da­ran, dass die IT-Architekturen immer komplexer werden. Zum anderen lernen auch die Cyberkriminellen ständig dazu. In Deutschland schätzt das Bundesamt für Sicherheit in der Informationstechnik (BSI) derzeit die folgenden Gefährdungen als besonders relevant ein:

  • DDoS-Angriffe mit Botnetzen, um die Erreichbarkeit von Webservern zu stören oder die Netzanbindung der betroffenen Institution zu unterbrechen.
  • Gezieltes Hacking von Webservern, um dort Schadsoftware zu platzieren oder weitergehende Spionageangriffe in angeschlossenen Netzen oder Datenbanken vorzubereiten.
  • Drive-by-Exploits, um die angegriffenen Verwaltungen beispielsweise über Werbebanner mit Schadsoftware zu infiltrieren. Diese übernimmt anschließend die Kontrolle über die betroffenen Rechner.

Die größten Lücken zuerst schließen

Regelmäßige Schwachstellen-Scans bringen alle Sicherheitsrisiken im Behörden-Netzwerk ans Licht. Das klingt erst mal gut. Doch so manchem IT-Verantwortlichen wird dabei angst und bange. Denn dann zeigt sich, wie viele Lücken es tatsächlich zu schließen gäbe und wo zusätzliche Arbeiten notwendig wären.

Doch wie ist das mit der dünnen Besetzung und dem knappen IT-Budget zu bewerkstelligen? Dann doch lieber erst gar nicht so genau hinsehen. Dabei ist bei näherer Betrachtung genau in diesem Fall ein Scan-Report besonders hilfreich: Das Unternehmen erhält einen realistischen Überblick über seine Schwachstellen und kann die vorhandenen Ressourcen gezielt einsetzen – beispielsweise indem die Verantwortlichen die fünf gefährlichsten Einfallstore ins Behörden-Netz herausgreifen und damit das Sicherheitsniveau um 90 Prozent erhöhen.

Denn ein gezieltes Vorgehen nach Risiko und Schadenskategorie ist wesentlich effizienter, als willkürlich möglichst viele kleine Löcher zu stopfen. Auch erfordert nicht jede Schwachstelle sofort eine aufwendige Lösung. So können die IT-Mitarbeiter etwa einen verwundbaren Dienst, der nicht für einen Kernprozess notwendig ist, einfach zeitweise oder komplett abschalten oder durch eine Firewall absichern.

Doch wie können die Verantwortlichen in den Unternehmen entscheiden, wo die größten Risiken liegen und welche Aufgaben höchste Priorität haben? Dazu ist erforderlich, das Bedrohungsszenario, den potenziellen Schaden und den Schweregrad der einzelnen Schwachstellen zu kennen.

Dazu liefern professionelle Tools wie der Greenbone Security Manager (GSM) eindeutige Kennzahlen. Bedrohungs-Szenario und Schaden lassen sich in der ­Regel schnell einer vordefinierten Kategorie zuordnen. Ist beispielsweise ein Webserver in einer demilitarisierten Zone (DMZ) an das Internet angeschlossen, ist das Risiko höher als bei einem Webserver, der nur über eine Telefon-Einwahlleitung erreichbar ist.

Fazit

So wie der Wachschutz für die physikalische Sicherheit, sollte für die IT ein Schwachstellen-Management Standard sein. Denn unabhängig davon, welche Software und Hardware eine Behörde einsetzt: Ohne professionelles Schwachstellen-Management fehlt das Sicherheitsschloss.

Schritt eins ist die Identifizierung, Quantifizierung und Priorisierung der potenziellen Schwachstellen aller vorhandenen IT-Ressourcen.

Hacker-Angriffe auf Behörden und Ministerien

Im zweiten Schritt gilt es, alle vorhandenen Systeme regelmäßig zu kontrollieren, zu beobachten und zu pflegen – nur so ist die Sicherheitslage dauerhaft im grünen Bereich zu halten.

Automatisierte Tools wie der Greenbone Security Manager versetzen Behörden und öffentliche Einrichtungen in die Lage, schnell und unkompliziert einen effektiven Schutz zu erreichen. Denn die Verantwortlichen erhalten neben solider Hardware und Software auch Tag für Tag aktuelles Expertenwissen zu neuen Bedrohungen und den damit verbundenen Risiken. Und das brauchen sie in jedem Fall.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42850341 / System & Services)