Sicherheitslücken

Checkliste zum Schwachstellenscan

| Autor / Redakteur: Sebastian Brabetz* / Peter Schmitz

Der Aurwand für Schwachstellenscans lohnt sich! Vulnerability Scanner decken zuverlässig die Lücken auf, die jedes noch so perfekt organisierte Patchmanagement hinterlassen kann.
Der Aurwand für Schwachstellenscans lohnt sich! Vulnerability Scanner decken zuverlässig die Lücken auf, die jedes noch so perfekt organisierte Patchmanagement hinterlassen kann. (Bild: Petrovich12 - Fotolia.com)

Schwachstellenscans sind dann besonders sinnvoll, wenn sie fester Teil eines systematischen Schwachstellen-Managements sind. Damit der laufende IT-Betrieb nicht leidet, sollten Administratoren das Thema mit Umsicht angehen.

Schwachstellenscans sind ein probates Mittel, um kritische Lücken innerhalb der IT-Infrastruktur zu identifizieren. Zwar sind die meisten Administratoren bemüht, aktuelle Updates und Patches regelmäßig einzuspielen. Doch selbst bei besonderer Sorgfalt bleiben dabei Löcher offen. Sei es, weil die Software-Hersteller die Updates zu spät ausliefern oder weil das automatische Windows-Patchmanagement nicht hundertprozentig reibungslos arbeitet. Hinzu kommen besonders sensible, oft proprietäre Systeme wie etwa Produktionsteuerungen, die gar nicht ohne weiteres gepatcht werden dürfen, da sonst Garantie- oder Supportansprüche verloren gehen.

Schwachstellenscans können solche Lücken zuverlässig aufdecken. Doch oft beeinträchtigen sie den eigentlichen IT-Betrieb: So verursachen sie beispielsweise hohen Netzwerktraffic – den Geräten fehlen dann die Kapazitäten, um ihre eigentliche Aufgabe auszuführen, oder Nutzer spüren Verzögerungen beim Datenverkehr. In Firewalls, Intrusion Detection oder anderen Monitoring-Systemen erwecken Schwachstellenscans deshalb schnell den Eindruck eines Angriffs. Im schlimmsten Fall kann es zu Systemausfällen kommen. Der Einsatz von Schwachstellenscans sollte deshalb gut vorbereitet sein.

Checkliste Teil 1: Schwachstellenscans umsichtig planen

Rahmenbedingungen klären: Mal eben einen Schwachstellenscan über die Systeme laufen zu lassen, bringt wenig Nutzen und viele Probleme. Deshalb sollten Administratoren die Rahmenbedingungen so früh wie möglich vorab klären. Dazu gehört eine Kategorisierung der IT-Infrastruktur in sensible und weniger kritische Bereiche ebenso, wie die Frage, ob ein externer Dienstleister involviert werden soll oder nicht. Zudem empfiehlt es sich, in einer Art Projektplan die Details für die folgenden Punkte aufzulisten.

Die Beteiligten und Betroffenen informieren: Vor allem die eigenen IT-Administratoren sollten vorab informiert werden, wenn ein Schwachstellenscan ansteht. Besser noch ist es, die Admins ins Projektteam zu holen, deren Kompetenz zu nutzen und sich eng mit ihnen über mögliche Folgen und deren Vermeidung abzustimmen.

Das Wartungsfenster festlegen: Gerade weil ein Schwachstellenscan Auswirkungen auf den Regelbetrieb haben kann, ist es sinnvoll, den richtigen Zeitpunkt abzuwägen. Zu regulären Geschäftszeiten sind die meisten Clients über das Netzwerk erreichbar, der vom Scan verursachte Traffic kann allerdings zu Performance-Engpässen führen. Kritische Systeme sollten in der Nacht oder an einem festgelegten Wartungstag gescannt werden.

Mit Cloud-Dienstleistern abstimmen: Sind Teile der IT-Infrastruktur an einen externen Dienstleister outgesourct, etwa als Hosting- oder Cloud-Lösung, besteht Abstimmungsbedarf mit dem Anbieter. Bei Shared Plattformen, mit denen auch die meisten Cloud-Dienste arbeiten, wird ein Scan kaum möglich sein, denn hier werden gleichzeitig die Daten anderer Kunden verarbeitet.

Checkliste Teil 2: Schwachstellenscan konfigurieren und aufsetzen

Sorgfältig konfigurieren: Ein Schwachstellenscan ist keine Security-Maßnahme für nebenbei. Insbesondere vor dem ersten Scan sollte das Tool sorgfältig durchkonfiguriert und an die zu scannende Umgebung angepasst werden. Zwar liefern die Scanner zumeist allgemeine Grundeinstellungen mit, aber erst die individuelle Anpassung garantiert, dass spezifische Lücken gefunden werden.

Vorsicht vor Scanner Plug-ins: Die meisten Scanner bieten die Option, zusätzliche Plug-ins zu aktivieren. Wer noch wenig Erfahrung mit Schwachstellenscannern hat, sollte hier zögerlich sein oder einen Experten zu Rate ziehen. Denn Plug-ins mögen nützlich sein, belasten den Scan-Vorgang aber oft mit zusätzlichem Traffic oder sind selbst nicht ausreichend abgesichert. Ist die Option „Safe Check“ beim Scanner eingestellt, werden nur sichere Plug-ins verwendet.

Zusätzlich von innen scannen: Credentialed Scans: Gibt man dem Schwachstellenscanner Login-Daten, kann er sich auf den Zielsystemen einloggen und diese von innen prüfen. Ziel ist, Schwachstellen in solchen Anwendungen zu identifizieren, die nicht direkt über das Netzwerk sichtbar sind. Manche Client- oder extra geschützte Server-Applikationen kann mit einem klassischen Scan über das Netzwerk nicht geprüft werden.

Untouchables passiv scannen: In beinahe jedem Unternehmen gibt es Systeme, die entweder besonders kritisch und proprietär sind und aus verschiedenen Gründen nicht einfach mit gescannt werden können. Oft handelt es sich hierbei um Produktionssteuerungssysteme oder ähnliche Embedded Systems, die ausschließlich vom Hersteller gewartet oder aber auf gar keinen Fall beeinträchtigt werden dürfen. Hier kann ein passiver Scan eine Alternative sein: Während ein aktiver Scan gezielt auf die Systeme zugreift, analysiert ein passiver Scanner den Netzwerkverkehr über einen Mirror Port laufend mit. So werden Schwachstellen gefunden, ohne die oft empfindlichen Embedded Systems unnötig zu stressen.

Checkliste Teil 3: Die Ergebnisse des Schwachstellenscans richtig deuten

Ergebnisse auswerten, priorisieren und Maßnahmen einleiten: Die Menge an Informationen, die ein Schwachstellenscan zu Tage bringt, ist immens. Ein großer Teil davon ist zumeist unkritisch und den Administratoren bereits bekannt. Trotzdem ist es ohne Expertenwissen und Erfahrung sehr mühselig, eine valide Prioritätenliste zu erstellen. Ein Schwachstellenscan nützt jedoch wenig, wenn die Ergebnisse nicht in sinnvollen Maßnahmen münden. Die Beratung durch externe Experten kann vor allem zu Beginn der Arbeit mit Scannern sinnvoll sein.

Regelmäßig scannen und ein Schwachstellen-Management etablieren: Ein Scan ist ein guter und wichtiger Anfang. Regelmäßig durchgeführt potenziert sich sein Nutzen. Denn laufend ermittelte Kennzahlen erlauben Vergleiche, das Erkennen von Trends und machen schließlich Vorhersagen möglich. Mit der Erfahrung sinkt zudem der Aufwand, den Administratoren haben, deutlich. Auf dieser Basis lässt sich ein dauerhaftes Schwachstellen-Management innerhalb der IT-Security etablieren.

Ergänzendes zum Thema
 
Über mod IT Services:

Mag der Anfangsaufwand auch hoch erscheinen – er lohnt sich. Schwachstellenscanner decken zuverlässig die Lücken auf, die jedes noch so perfekt organisierte Patchmanagement hinterlassen kann. Die Ergebnisse regelmäßiger Scans lassen sich für die Beseitigung von Schwachstellen aber auch für die weitere Planung des Aus- und Umbaus der IT-Infrastruktur verwenden.

* Sebastian Brabetz ist Teamleiter Professional Security Solutions bei mod IT Services und zertifiziert als Offensive Security Certified Professional. Sein Team bietet IT Security Services von Consulting über defensives Schwachstellen-Management und Incident Response bis hin zu offensiven Penetrationstests. Damit unterstützt mod IT Services mittelständische Unternehmen umfassend bei der Absicherung der IT-gestützten Optimierung ihrer Geschäftsprozesse.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44230616 / Schwachstellen-Management)