Schwachstellen minimieren

Hard- und Software im Auge behalten

| Autor / Redakteur: Walker White* / Susanne Ehneß

Fehlt die genaue Einsicht in die IT-Infrastruktur, wird das Support-Ende oft übersehen
Fehlt die genaue Einsicht in die IT-Infrastruktur, wird das Support-Ende oft übersehen (© tr3gi - stock.adobe.com)

Sicherheitsexperten empfehlen bei Bekanntwerden neuer Malware­ als Erstes, die betroffene Software upzudaten und zu patchen. Was aber, wenn keine Updates mehr für die Anwendung zur Verfügung stehen, da die Software längst überholt und End-of-Life ist?

Veraltete Computer, Betriebssysteme und Anwendungen sind überall noch im Einsatz – in Behörden und auch in Unternehmen. Meist ist das Erfassen von End-of-Life (EOL) oder End-of-Support (EOS) ein manueller, sehr zeitaufwendiger Prozess. Da EOL/EOS-Angaben nicht in der Software selbst enthalten sind, müssen Security Manager einen Weg finden, die ­Daten zu zentralisieren und kontinuierlich zu aktualisieren.

Darüber hinaus verwenden sowohl Unternehmen als auch Behörden nicht nur Software eines einzigen Anbieters. Tatsächlich müssen die Daten von einer Vielzahl von Anbietern recherchiert und erfasst werden.

Schwachstellen verschwinden nicht einfach

In den US-Behörden werden zwischen 2016 und 2019 IT-Assets im Wert von mehr als 3 Milliarden Dollar ihr End-of-Life erreicht haben. Für jedes dieser Assets stehen somit keine Patches, Upgrades, Services oder Support von Seiten des Herstellers zur Verfügung. In Folge dessen sind die EOL-Assets eine leichte Beute für Hacker, die ungepatchte Schwachstellen ausnutzen und Schadsoftware einschleusen.

Das Patchen von Schwachstellen ist jedoch von entscheidender Bedeutung. Die am häufigsten ausgenutzten Sicherheitslücken, die sogenannten Common Vulnerabilities and Exposures (CVEs) sind 10 bis 15 Jahre alt oder noch älter. Trotzdem werden sie weiterhin erfolgreich von Hackern ausgenutzt. Das liegt daran, dass EOL-Software und -Hardware, die solche CVEs enthalten, weiterhin in Netzwerken der Bundesbehörden zum Einsatz kommen – oft ohne Wissen der IT-Verantwortlichen.

Organisationen haben wenig bis gar keinen Einblick in EOL/EOS ihrer Soft- und Hardware-Assets. Viele kennen auch nicht das Common Vulnerability Scoring System (CVSS), das Sicherheitslücken nach verschiedenen Kriterien (Metrics) bewertet und miteinander vergleicht, mit dem Ziel, eine Prioritätenliste für Gegenmaßnahmen zu erstellen.

Es ist leicht nachvollziehbar, warum das so ist: Heute gibt es 31 Millionen Benennungskonventionen für 2 Millionen Hardware- und Softwareprodukte – darunter beispielsweise 16.000 Bezeichnungen von Inventarisierungstools für SQL-Server. Diese fehlende Einheitlichkeit führt zu einem Sammelsurium an Daten und erschwert einen umfassenden Überblick des IT-Bestands sowie das Erstellen eines Risikoprofils eines Netzwerks.

IT-Manager können so mit ihrem Netzwerk verbundene IT-Assets auf genehmigten und nicht genehmigten Verzeichnissen oft nicht ohne weiteres identifizieren. Auch Rogue-Assets, die ohne explizite Autorisierung eines Systemadministrators installiert wurden, bleiben so unentdeckt.

Schluss mit reaktiver IT-Sicherheit

Für CIOs oder IT-Sicherheitsmanager ist der beschriebene Zustand beunruhigend. Schlimmer kommt es noch, wenn die Zuständigen keine präzisen Daten zu den „blinden Flecken“ in ihrer Software besitzen und nicht wissen, in welcher Reihenfolge die Schwachstellen ­adressiert werden sollen.

In Sachen IT-Sicherheit sollte ein proaktives Handeln nach eigenen Vorgaben und Bedingungen das zentrale Ziel sein, anstatt auf bereits ausgenutzte Schwachstellen zu reagieren. Leider arbeiten zu viele Organisationen, wie auch viele staatliche Behörden, immer noch reaktiv. Ihnen fehlen in der Regel zwei Dinge:

  • 1. Genaue Einsicht in die eigene IT-Infrastruktur und die dort lauernden potenziellen Schwachstellen und
  • 2. aktuelle, exakte Informationen darüber, welche Schwachstellen hinsichtlich des Risikomanagements priorisiert und gemanagt werden sollen.

Ohne diese Art von „Vulnerability Intelligence“ und Transparenz in der IT-Infrastruktur ist es praktisch unmöglich, Verfahren und Richtlinien zur Bewältigung von Cyberrisiken einzusetzen. Ein umfassender Überblick über alle aktuellen wie künftigen EOL-Assets trägt wesentlich zu einem proaktiven Vorgehen bei der Priorisierung von Schwachstellen bei.

Ein Ansatz ist zum Beispiel, die Liste der EOL- oder künftigen EOL-Assets sowie die nicht genehmigten Assets zu analysieren, um im Anschluss die Assets mit hohen CVSS-Werten zu identifizieren. Diese Art von Transparenz und Wissen informiert das IT-Sicherheitspersonal nicht nur über die IT-Assets, auf die es sich zu konzentrieren gilt. Die Vulnerability Intelligence unterstützt auch die Budgetierung, das Contracting und die logistischen Anforderungen im Zusammenhang mit dem Austausch von EOL-Hardware und -Software frühzeitig zu planen.

Vier Schritte zur Umsetzung

  • Bestandsaufnahme EOL/EOS-Assets: Eine Bestandsaufnahme von EOL/EOS-Assets der gesamten vernetzten Hard- und Software sorgt für ein umfassenderes Risikobewusstsein hinsichtlich der IT-Security. Die Kenntnis, welche IT-Ressourcen heute EOL sind und welche in Zukunft EOL sein werden, ermöglicht Sicherheitsteams ihre Risiken im Auge zu behalten und sie zu minimieren.
  • Ermitteln von genehmigten/nicht genehmigten IT-Assets: Es ist wichtig, Listen genehmigter sowie nicht genehmigter IT-Assets zu führen und zu nutzen. So können Sicherheitsteams die Hardware und Software in ihren Netzwerken identifizieren – einschließlich unautorisierter Rogue-Assets. Im nächsten Schritt lässt sich feststellen, welche Assets genehmigt und nicht genehmigt sind. Ebenso wichtig ist das Ermitteln von IT-Assets, die in keine der beiden Kategorien fallen und damit folglich neu zu bewerten sind.
  • Erstellen eines Bewertungssystems für häufige Schwachstellen: Um das Gefährdungspotenzial von IT-Assets zu bewerten, lohnt sich ein Blick auf öffentlich zugängliche Warn- und Informationsdienste: In den USA führt die Bundesbehörde National Institute of Standards and Technology (NIST) eine Liste definierter ­Risikobewertungen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BIS) bietet mit der sogenannten „Schwachstellenampel“ einen ­guten Überblick der aktuellen Lage in Bezug auf Sicherheits­lücken in gängigen Software­produkten. So lässt sich entscheiden, wie Ressourcen am effektivsten zur Risikominimierung gesteuert werden können.
  • Verknüpfen von EOL- und CVSS-Daten: Um potentiell ­tickende Zeitbomben innerhalb der IT-Infrastruktur schnell zu entschärfen und Gegenmaßnahmen einzuleiten, gilt es EOL- und CVSS-Daten im Zusammenhang zu betrachten: Welche Anwendungen sind End-of-Life oder werden in Kürze nicht mehr ­unterstützt? Und wie hoch ist das Gefährdungspotenzial dieser ­Anwendungen gemessen nach CVSS-Kriterien?

Der Autor: Walker White
Der Autor: Walker White (© Flexera)

Konsolidierung

In diesem Zusammenhang sind die Konsolidierung der IT, die zentrale Bereitstellung von IT-Services über alle Bundesebenen und ein einheitliches Betriebs- und Sicherheitsmanagement entscheidend. Ein wichtiger Schritt in diese Richtung stellt die Fusion der drei IT-Bundesdienstleister zum Informationstechnikzentrum Bund (ITZBund) im Jahr 2016 dar.

Dennoch gibt es immer noch erhebliche „blinde Flecken“, die die Sichtweise einer Behörde auf ihre Infrastruktur und Schwachstellen lähmen. Umfassende Informationen über Schwachstellen in der gesamten Infrastruktur ermöglichen IT-Managern, ihre bestehende IT-Umgebung besser zu steuern und ein höheres Maß an allgemeiner Sicherheit zu gewährleisten.

* Der Autor: Walker White, Vice President Data Platform bei Flexera.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45403193 / Commerce & Procurement)