Schneller sein als die Hacker: IT-Schwachstellen im Unternehmen suchen und finden

Angriffsfläche im Unternehmen minimieren 

Von unserem Gastautor Robert Blank, Regional Sales Manager DACH bei Algosec

[datensicherheit.de, 27.03.2019] Es ist allgemein bekannt, dass Cyber-Angriffe aller Art vielen Unternehmen Schaden zufügen. Oftmals aber ist es erst ein Datenleck, welches das wahre Ausmaß der möglichen Kosten verdeutlicht.

Eine Studie des IBM Security und des Ponemon Institutes über die Kosten eines Datenlecks von 2018, beziffert die durchschnittlichen Kosten eines Vorfalls auf 3,86 Millionen US-Dollar – über 6 Prozent höher als im Jahr 2017. Diese Zahl beinhaltet Faktoren wie forensische Untersuchungen, Gegenmaßnahmen, Benachrichtigungen der Aktionäre, rechtliche und regulatorische Aktivitäten, sowie die Kosten für Betriebsausfälle und verlorene Reputation.

Flut an Informationen überwältigt IT-Sicherheitsleute

Die Kosten, die auf Unternehmen zukommen können, sind teilweise erheblich. Daher ist es für Firmen wichtig, ihre Angriffsfläche zu minimieren, indem sie ihre Netzwerke auf Schwachstellen überprüfen, bevor ein Angreifer sie ausnutzt. Eine separate Studie des Ponemon Institutes aus dem Jahr 2018 ergab jedoch, dass fast 60 Prozent der Gefährdungen auf bestehende, bekannte Schwachstellen zurückzuführen sind. Das bedeutet, dass die IT-Sicherheitsleute der Unternehmen kontinuierlich nach diesen alten Sicherheitslücken suchen und auch schließen müssen.

Bild: AlgoSec

Robert Blank, Regional Sales Manager DACH bei AlgoSec

Einer der Gründe, warum bekannte Schwachstellen nicht schnell behoben werden, ist der, dass die Unternehmen sich des wahren Risikos für das Geschäft oft nicht bewusst sind. Die meisten IT-Abteilungen bearbeiten Schwachstellen derart, dass sie sich alleine auf die Berichte ihrer Schwachstellen-Scanner verlassen, wie beispielsweise Tenable Nessus, Rapid7 Nexpose oder Qualys Cloud Platform. Diese Radare liefern zwar detaillierte technische Informationen über jede gefundene Schwachstelle, in der Regel geordnet nach der IP-Adresse oder dem DNS-Namen eines Servers. Einige Scan-Tools liefern sogar Informationen darüber, wie Administratoren die Fehler durch ein Software-Upgrade oder einen Patch beheben können.

Doch die schiere Menge an Warnungen und potentiellen Risiken, die durch Schwachstellen-Scans gekennzeichnet werden, kann überwältigend sein. Wie können Sicherheits-Teams also Überflüssiges herausfiltern und den Risiken, die eine echte Bedrohung für das Unternehmen darstellen, die notwendige Priorität einräumen? Indem der geschäftliche Rahmen beachtet wird, den die Risiken bedrohen.

Risiken in den Geschäftskontext stellen

Herkömmliche Werkzeuge für das Schwachstellen-Management zeigen nur, dass ein Server gefährdet ist. Sie identifizieren aber nicht die Anwendungen, die wiederum vom Server abhängig sind. Während also ein Schwachstellen-Scan zwei verschiedene Server mit demselben Software-Problem identifizieren und jedem das gleiche Risiko zuweisen kann, könnten diese beiden Server sehr unterschiedlich wichtige Anwendungen bedienen. Eine Anwendung kann besonders geschäftskritisch sein (z.B. eine E-Commerce-Plattform) oder sensible Daten enthalten. Daher muss die Behebung der Schwachstellen in den Servern, die kritische Anwendungen bedienen, priorisiert werden.

Um sich ein genaues Bild der Bedrohungen für das Unternehmen zu machen, müssen Unternehmen die Schwachstellen, die in Servern oder Geräten gefunden wurden, mit den spezifischen Geschäftsanwendungen verknüpfen, die von ihnen abhängen. Nur dann können die Anwendungseigner zusammen mit den Verantwortlichen des Unternehmens die Gegenmaßnahmen priorisieren und gezielt verwalten.

Schwachstellen bewerten und nach schädigenden Auswirkungen priorisieren

IT-Administratoren können dank der Verknüpfung von Servern und geschäftskritischen Anwendungen genau abwägen, wie das potentielle Risiko eines Sicherheitsvorfalls im Verhältnis steht zu den Auswirkungen auf das Unternehmen, die mögliche Ausfallzeiten wegen der Behebung des Fehlers nach sich zögen. Die Verknüpfung wird ermöglicht durch ein Schwachstellen-Scanning, das in eine passende, automatisierte Security-Management-Lösung integriert wird. Schwachstellen können so direkt den Geschäftsanwendungen zugeordnet werden, mit denen sie verknüpft sind, wobei für jede Anwendung eine Sicherheitsbewertung bereitgestellt wird. Diese Einstufungen werden bei jeder Netzwerkänderung automatisch berechnet, um sicherzustellen, dass Firmen einen aktuellen, geschäftsorientierten Überblick ihrer Risiken haben.

Diese Verknüpfung von Schwachstellen mit kritischen Geschäftsprozessen und die Einbeziehung aller relevanten Geschäfts-, Sicherheits- und Netzwerkbeteiligten stellt sicher, dass die IT-Sicherheit auf die Geschäftsstrategie des Unternehmens abgestimmt ist. Das ist elementar für moderne Unternehmen, denn es muss in den Sicherheitsabteilungen heutzutage darum gehen, alle Schwachstellen im Firmennetzwerk zu identifizieren und beheben, bevor ein Hacker diese Arbeit auf äußerst unangenehme Weise übernimmt.

Weitere Informationen zum Thema:

datensicherheit.de, 15.01.2019
Wie man einen Mehrwert im Network Security Policy Management schafft

datensicherheit.de, 30.11.2018
Hotelkette Marriott: Riesiges Datenleck gemeldet

datensicherheit.de, 24.07.2018
Datenleck bei Automobil-Zulieferer: Schutz von Daten jenseits der Unternehmensgrenzen