Suchen

Neues eBook „Schwachstellen-Management“ Schwachstellen bewerten und Maßnahmen priorisieren

| Autor / Redakteur: Dipl.-Phys. Oliver Schonschek / Peter Schmitz

Cyber-Attacken würden ins Leere laufen, wenn es keine Schwachstellen gäbe, die ausgenutzt werden können. Doch wie groß ist das Risiko, dass eine bestimmte Schwachstelle tatsächlich einem Angreifer den Weg ebnet? Wer seine Sicherheitsmaßnahmen richtig priorisieren will, muss dieses Risiko kennen. Das neue eBook „Schwachstellen-Management“ zeigt, wie eine Risikobewertung im Cyber-Raum möglich wird.

Firmen zum Thema

Aufgrund der großen Komplexität heutiger Software sind Fehler bei der Entwicklung nicht zu vermeiden. Unternehmen müssen sich dessen bewusst sein und Schwachstellen permanent im Blick haben.
Aufgrund der großen Komplexität heutiger Software sind Fehler bei der Entwicklung nicht zu vermeiden. Unternehmen müssen sich dessen bewusst sein und Schwachstellen permanent im Blick haben.
(© Gina Sanders - AdobeStock, VIT)

Aufgrund der großen Komplexität heutiger Software sind Fehler bei der Entwicklung nicht zu vermeiden, so das Bundesamt für Sicherheit in der Informationstechnik (BSI). Moderne Entwicklungsprozesse unterstützen zwar gezielt bei der Programmierung sicherer Software, trotzdem treten Schwachstellen nach wie vor häufig auf. Das BSI empfiehlt, dass die Gefährdungslage permanent abgeschätzt und verfügbare Sicherheitsupdates kurzfristig ausgerollt werden. Bis diese Sicherheitsupdates verfügbar sind, müssen wirksame Maßnahmen gegen die Ausnutzung offener Schwachstellen ergriffen werden.

Die Fülle, Vielfalt und Dynamik der Schwachstellen macht es allerdings nicht einfach, alle Schwachstellen zu kennen, zu bewerten und mit den richtigen Maßnahmen darauf zu antworten. Eine Schwachstellen-Ampel, wie es sie früher einmal von dem BSI gab, wäre ein Signal, dass Handlungsbedarf besteht, doch das Schwachstellen-Management muss viel weiter gehen.

Bildergalerie

Risiken der Schwachstellen müssen ermittelt werden

Nach der Suche und Aufdeckung der Schwachstellen muss ein Schwachstellen-Management insbesondere die damit verbundenen Risiken bewerten, um die richtigen Schutzmaßnahmen definieren und diese priorisieren zu können.

Ein Beispiel für Risikowerte liefert der Warn- und Informationsdienst (WID) von CERT-Bund. Hier erhalten die erkannten und gemeldeten Sicherheitslücken eine Risikostufe von sehr niedrig bis sehr hoch. Wie das neue eBook zeigt, sind die Risikowerte einer Schwachstelle aber durchaus individuell und können von Branche zu Branche und von Unternehmen zu Unternehmen variieren.

Der Weg hin zum Schwachstellen-Risiko

Um die aktuellen und zu erwartenden Risiken für eine Schwachstelle bestimmen zu können, müssen Unternehmen einen Prozess für ihr Schwachstellen-Management aufsetzen und eine geeignete Lösung als Unterstützung suchen.

Das neue eBook „Schwachstellen-Management“ erläutert, wie vielfältig die Schwachstellen im Cyber-Raum sind, neben Schwachstellen in Online-Diensten und Web-Applikationen gibt es auch Sicherheitslücken in Cloud-Services, in Geräten und in Apps, um nur einige Bereiche zu nennen, nicht zu vergessen die sogenannte Schwachstelle Mensch.

Es stellt sich die Frage, wie man die Vielzahl der Schwachstellen bewertet und die Schutzmaßnahmen entsprechend priorisiert. Allein die Erfahrung der IT-Administration und Meldungen des WID reichen nicht aus, so wertvoll diese auch sind. Mit aktueller Threat Intelligence und Machine Learning hingegen lassen sich die Risiken der Sicherheitslücken passend zum Unternehmen und in kurzer Zeit bestimmen.

Der Einsatz neuer Verfahren lohnt sich: Wie das eBook „Schwachstellen-Management“ aufführt, helfen die ermittelten Risikowerte zum Beispiel auch bei Awareness-Kampagnen für Mitarbeiter und Management.

Artikelfiles und Artikellinks

(ID:45884796)

Über den Autor

Dipl.-Phys. Oliver Schonschek

Dipl.-Phys. Oliver Schonschek

IT-Fachjournalist, News Analyst und Commentator bei Insider Research