:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Best Practice für IT-Leiter und Geschäftsführer An Patch-Management führt kein Weg vorbei
Jede Woche werden neue Sicherheitslücken entdeckt und Patches veröffentlicht, um sie zu schließen. Doch Hacker haben insbesondere bei längst bekannten Schwachstellen oft großen Erfolg. Denn viele IT-Verantwortliche vernachlässigen das Patch-Management – ein schwerwiegender Fehler.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
2799 Sicherheitslücken wurden dieses Jahr bis Ende Juni alleine in den Top 50 der meist verwendeten Softwareprodukte verifiziert (Quelle: CVEdetails.com). Entsprechend müsste die zeitnahe Installation von Patches gegen bekannte Sicherheitslücken, in der Prioritätsliste von IT-Administratoren und CSOs eigentlich ganz oben stehen. Müsste! Denn die Realität, zumindest bei kleinen und mittleren Unternehmen, zeichnet ein anderes Bild. Wie sonst ist es beispielsweise zu erklären, dass für die im Jahr 2014 am häufigsten attackierten Sicherheitslücken jeweils bereits seit über einem Jahr ein Patch verfügbar gewesen wäre.
Allein in den Betriebssystemen und Applikationen der Top-5-Hersteller - gemessen an der Anzahl der bekannten Sicherheitslücken - wurden im Jahr 2015 pro Arbeitstag durchschnittlich mehr als zwölf Schwachstellen erkannt, bei Einsatz von Produkten der Top-50 Hersteller sogar 23 pro Arbeitstag. Solch imposante Statistiken sind wahrscheinlich ein Grund dafür, das Thema Patch-Management vor lauter Resignation erst gar nicht anzupacken. Fast in jeder IT fehlt es schließlich an Zeit, Personal und häufig auch an geeigneten Werkzeugen für die Verteilung von Security-Patches und Updates.
Zudem haben viele IT-Verantwortliche bereits die Erfahrung gemacht, dass Patch-Management per „Turnschuh-Administration“ langwierig, ineffizient und im Endeffekt zu teuer ist. Denn zu allem Übel ist für die Wirkungsweise von Sicherheits-Updates auch noch ganz entscheidend, wann sie eingespielt werden. Impfungen helfen auch nicht mehr, wenn der Erreger sich bereits im Körper ausgebreitet hat. Und so kann man mit einem verspäteten Sicherheitsupdate auch nur noch die multiple Infektion weiterer Systeme durch die identische Sicherheitslücke verhindern, nicht mehr aber den ursprünglichen Ausbruch der Krankheit. Und Angreifer benötigen in der Regel lediglich wenige Wochen oder maximal Monate, um einen Großteil der Sicherheitslücken auszunutzen.
Hacker lieben Oldies
Für Hacker sind gerade „Oldies“ besonders einfach anzugreifende und damit attraktive „Goldies“, denn „alte“ Lücken sind umfassend dokumentiert und Malware-Bausätze leicht verfügbar. Den Cyber-Kriminellen kommt zudem zugute, dass viele Unternehmen beim Patch-Management offenbar nach dem Motto „Aus den Augen, aus dem Sinn“ verfahren. Damit ist auch der Umstand erklärbar, dass nur wenige CVEs (Common Vulnerabilities and Exposures: Industriestandard für eindeutige Sicherheitslücken) für den weitaus größten Anteil der ausgenutzten Sicherheitsschwächen verantwortlich sind. 2014 waren zehn bekannte Sicherheitslücken für 97 % der Angriffe verantwortlich, obwohl Patches dafür längst verfügbar waren.
Letztendlich ist aber fast jede Sicherheitslücke vor einer Patch-Freigabe bereits ein Oldie. Denn die wichtigsten Anbieter benötigen durchschnittlich drei Monate ab Bekanntwerden der Sicherheitslücke, bis sie überhaupt eine entsprechende Problemlösung liefern können. Das Risiko bis zur Patch-Veröffentlichung liegt nicht in der Verantwortung der IT. Ab der Freigabe von Patches lebt die potenzielle Haftung wegen möglicher „Fahrlässigkeit“ bei IT-Verantwortlichen oder der Geschäftsleitung aber durchaus auf. Wer kann schon behaupten, von der Notwendigkeit von Patch-Management nichts gewusst zu haben?
Anti-Malware alleine reicht nicht aus
Anti-Viren Lösungen versuchen schädliche Software fernzuhalten, um damit eine Infektion bereits im Vorfeld zu verhindern. Patches schließen die bekannten Angriffsziele von Mal- und Ransomware, indem die betroffenen Sicherheitslücken geschlossen werden und damit von Schadsoftware nicht mehr kompromittiert werden können. Bei über 60 % aller Angriffe öffnen die eigenen Mitarbeiter dem Schädling meist aus Unwissenheit oder Neugier die Tür und unterziehen nicht nur die Frontend-IT, sondern das gesamte Netzwerk durch USB-Malware oder Phishing-Attachments einem Stresstest. Sehr ungünstig dann, wenn die aktuelle Malware-Signatur den Virus noch nicht erkennt und die Sicherheitslücke noch besteht.
Patchen gegen Phishing
Früher war alles besser, zumindest bei Phishing-E-Mails. Schlecht getarnte Absenderadressen, auffällig viele orthografische und grammatikalische Fehler, die selbst simpelste Online-Übersetzungstools besser umsetzen hätten können oder eine steinreiche Verwandtschaft in Kenia, die man beerbt hat, deuteten schon auf den ersten Blick auf betrügerische E-Mails mit schlechten Absichten hin. Wie viele Anwender aber vermutlich selbst bestätigen können, reicht der erste Blick auf potenzielle Phishing-Mails seit einiger Zeit oft nicht mehr aus. Phishing wird immer professioneller und dementsprechend steigt die Anzahl der Empfänger, die die betrügerischen Absichten hinter der E-Mail nicht sofort erkennen. Dabei ist das reine Öffnen der Phishing-Mails meist ungefährlich – doch auch die Zahl der Anwender, die ein Attachment öffnen, nimmt durch die steigende Professionalisierung der „Phisher“ stetig zu. Die bösartigen Anhänge in den Mails können nur dann den größtmöglichen Schaden erreichen, wenn sie sich auf bekannte Sicherheitslücken in Standard Betriebssystemen und -Applikationen stürzen.
Richtig patchen!
Häufig existiert noch die Meinung, dass Betriebssysteme und Applikationen von Microsoft mit Abstand am meisten attackiert werden und es deshalb reicht, die Security Bulletins von Microsoft zu verteilen. Aber: Hacker lernen schnell. Inzwischen entfällt ein Großteil der ausgenutzten Schwachstellen auf früher eher wenig beachtete Standardapplikationen von Herstellern wie Apple, Adobe, Mozilla, Oracle, Google usw. Die Verteilung von Microsoft Patches kurz nach dem Patch-Tuesday ist natürlich sehr wichtig – sie allein ist aber unzureichend. Die am meisten gefährdeten Applikationen sind in der Regel die verschiedenen Internet-Browser aller Hersteller sowie die dort eingesetzten Player und Reader. Bei den Betriebssystemen ist seit kurzem auch Mac OS besonders gefährdet.
Server und Business-kritische Applikationen
Bei kritischen Servern und Applikationen kommt die schöne Welt der Patch-Automatisierung in einigen Fällen ins Stocken. Durch die individuelle Konfiguration jedes Servers ist nicht immer eindeutig klar, ob das Patchen am Ende erfolgreich sein wird oder zum temporären Ausfall und damit zu Unproduktivität führt. Hier helfen Testumgebungen mit Kopien aller wichtigen produktiven Systeme und die Unterstützung von Power-Usern während der Patch-Evaluierung. Bei geschäftskritischen Applikationen wie zum Beispiel dem zentralen CRM geben die Hersteller vor, welche aktuellen Sicherheitsupdates installiert werden dürfen. Manchmal ist zunächst ein Patch des CRM-Herstellers erforderlich, bevor das eigentliche Sicherheitsupdate eingespielt werden kann. Immer wieder gibt es aber auch Szenarien, in denen kritische Server teilweise „ungepatcht“ bleiben müssen. Diese Systeme stellen damit bis auf absehbare Zeit ein Sicherheitsrisiko dar und müssen engmaschig überwacht oder zusätzlich anderweitig geschützt werden. In diesem Fall kann beispielsweise die Aufteilung von Applikations-Komponenten wie zum Beispiel der Datenbank-Software auf andere Serversysteme das entstehende Risiko reduzieren, da einige Bestandteile für sich unter Umständen gepatcht werden können.
Hilfreich ist zudem eine Gruppierung der Workstations und Server nach Funktionen, Bereichen und Standorten, um jederzeit den Überblick zu bewahren und nicht durch versehentliche Patch-Installation „Downtime“ zu verursachen. Bei virtualisierten Servern kann ein Angriff auf das Host-System auch Folgen für die Gast-Systeme haben, indem es sich innerhalb der physikalischen Hardware mehrfach repliziert. Das Patch-Management darf also virtuelle Server-Instanzen nicht ausklammern und muss Host, Gast und Templates aktiv patchen können - egal ob diese gerade online oder offline sind. Bei allen oben erwähnten Systemen stellt das noch verfügbare Zeitfenster für die Patch-Verteilung ein grundlegendes Problem dar. Scheduler, Power-Management und Scripting zur weitgehenden Automatisierung getesteter Workflows sind bei kritischen Systemen und Applikationen essenziell.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät: „Grundsätzlich ist eine unverzügliche Einspielung von Sicherheitsupdates direkt nach Verfügbarkeit zwingend, um das Zeitfenster, in dem die Systeme verwundbar sind, so klein wie möglich zu halten“ (BSI: Lage der IT-Sicherheit in Deutschland 2015).
Viele Infektionskrankheiten lassen sich durch wirkungsvolle Maßnahmen wie Impfungen vermeiden. Auch beim Schutz der IT zählt Patch-Management zu den wichtigsten Basics für einen funktionierenden IT-Grundschutz. Anhand der obigen Fakten kann man erkennen, dass Patch-Management kein Nebenjob sein kann. Mit professionellen Patch-Management-Werkzeugen wie Shavlik Protect werden Verantwortliche bei der optimalen und zeitnahen Verteilung aller Sicherheitsupdates in den heute typischen, heterogenen IT-Umgebungen unterstützt. In kritischen Infrastrukturen ist das Patch-Deployment komplex und nur teilweise automatisierbar – aber noch wichtiger, um Unternehmens-Assets zu schützen.
* Robert Korherr ist Geschäftsführer der ProSoft GmbH.
(ID:44345124)
:quality(80)/p7i.vogel.de/wcms/ba/0b/ba0bd10f1e515d7ee9e360ddb7303dea/0113384365.jpeg "Herkömmliche Lösungen und Ansätze, auf die sich private IT-Nutzer und professionelle IT-Teams jahrelang verlassen haben, reichen mittlerweile nicht mehr aus, um eine effiziente Data Protection und Cyber Security zu gewährleisten. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/54/0f542c0f8c26a2fb5d7c60343b784001/0112780793.jpeg "Angesichts der stetig steigenden Gefahr von Ransomware-Angriffen, sollten die Sicherheitsuptades für fünf zum Juli-Patchday veröffentlichte Schwachstellen sehr schnell installiert werden. (Logo:Microsoft)")