Suchen

Patch Management in der Praxis Schwachstellen-Management braucht Automatisierung

Autor / Redakteur: Robert Klinger / Peter Schmitz

Unternehmen haben mit immer mehr Schwach­stellen in Anwendungen und Betriebssystemen zu kämpfen. Wurden im Jahr 2016 noch 6447 CVE-Security-Vulnerabilities gemeldet, waren es 2017 mit 14714 mehr als doppelt so viele und 2018 wurde auch dieser Rekord bereits im November geknackt. Cyberkriminelle nutzen Sicherheitslücken zudem immer schneller und oft auch automatisiert aus.

Firma zum Thema

An der Beseitigung von Schwachstellen führt kein Weg vorbei, wenn das Unternehmen unterbrechungsfrei und sicher arbeiten soll.
An der Beseitigung von Schwachstellen führt kein Weg vorbei, wenn das Unternehmen unterbrechungsfrei und sicher arbeiten soll.
(Bild: Pixabay / CC0 )

Schwachstellen in IT-Systemen sind also inzwischen eine immer präsente Bedrohung. Der bislang größte Ransomware-Angriff hielt im Mai 2017 etliche Unternehmen in Atem: In über 150 Ländern befiel die Schadsoftware WannaCry Unternehmen, Organisationen und Behörden.

Der Kryptotrojaner nutzte dabei zwei Verbreitungswege. Einerseits – ganz typisch – durch E-Mail, andererseits nutzte er eine Lücke in Windows Dateifreigaben (SMB). Hier wollten Kriminelle durch Erpressung an Geld kommen, der Entsperrungscode wurde dem Opfer nur nach einer Überweisung in Bitcoin mitgeteilt. Anders NotPetya, die zweite Schadcode-Welle des Jahres 2017. Auch dieser erschien wie eine herkömmliche Schadsoftware, nur dass sein Zweck darin bestand, Systeme zu sabotieren.

Schwachstellen sabotieren Unternehmen

Beide Angriffswellen nutzten Schwachstellen in Windows. Wie sich später herausstellte, wäre ein Befall wesentlich erschwert worden, wenn die IT-Systeme auf dem neuesten Stand gehalten worden wären. Generell ist ein wirksamer Schutz möglich. Dafür sind nur einige wenige, aber effektive Maßnahmen notwendig. Schwachstellen haben eine kurze Lebensdauer. In dem Zeitraum, wenn sie zwar existieren, sie aber noch nicht entdeckt sind, ist die Bedrohung noch relativ gering. Ab ihrer Entdeckung und bevor ein Patch seitens des Softwareherstellers zur Verfügung gestellt wurde, steigt die Gefährdung bereits an. Jedoch ist das Schadenspotential aller Erfahrung nach am größten, wenn bereits ein Patch zur Verfügung steht.

Diese Zeit gilt es optimal zu nutzen. Viele Verantwortliche setzen hier auf Security Appliances, Firewalls, Management der Benutzerrechte und wirkungsvolle Antivirensoftware. Diese Maßnahmen sind aber nur ein erster Schritt. Denn die Ausnutzung von Schwachstellen durch Kriminelle können sie damit nicht wirkungsvoll verhindern. Besser ist es, direkt am Kern des Problems anzusetzen – den Schwachstellen selbst.

Manuell kaum zu schaffen

In vielen Unternehmen ist es gängige Praxis, dass Administratoren sich jeden Rechner einzeln ansehen, den Stand von Betriebssystem und Software überprüfen und dann nach entsprechenden Patches suchen. Dies mag bei sehr kleinen Unternehmen mit wenigen Arbeitsplatzrechnern oder Selbstständigen noch zu schaffen sein – bei Installationen mit mehreren Endpunkten kommt der manuelle Ansatz jedoch sehr rasch an seine Grenzen. In den letzten drei Jahren wurden in der National Vulnerability Database insgesamt über 27.000 neue Sicherheitslücken verzeichnet. Dies entspricht im Schnitt 170 neuen Schwachstellen, die Woche für Woche hinzukommen. Darüber hinaus müssen die Administratoren sich außerdem kontinuierlich über neue Entwicklungen beim Thema Security informieren. Etwa, indem sie das Internet mit seinen Foren, Bulletin Boards oder Blogs auf Neuigkeiten nach Schwachstellen absuchen, entsprechende Patches herunterladen und auf den PCs, Notebooks und Servern verteilen. Doch damit nicht genug: Diese Patches müssen IT-Verantwortliche auf Konformität mit den Vorgaben prüfen und den Installations- beziehungsweise Bugfix-Prozess ausreichend dokumentieren, damit bei Fragen oder Problemen keine langwierige Fehlersuche nötig ist. Selbst für eine IT-Abteilung, die noch nicht den Mangel an IT-Fachkräften spürt, ist das in der Praxis kaum realisierbar.

Anforderungen an ein Schwachstellen-Management

Jedoch führt an der Beseitigung von Schwachstellen kein Weg vorbei, wenn das Unternehmen unterbrechungsfrei arbeiten soll. Abhilfe bietet ein automatisiertes System zur Schwachstellenanalyse und -behebung. Das Schwachstellen-Management überprüft Endpunkte laufend auf riskante Sicherheitslücken und meldet sie den Administratoren. Diese können dann entscheiden, ob die Schwachstellen fallweise oder automatisch behoben werden sollen. IT-Verantwortliche bleiben so auch mit einem Schwachstellen-Management immer die letzte – entscheidende – Instanz. Ein gutes Schwachstellen-Management sollte zudem nicht nur die Endpunkte am zentralen Firmensitz abdecken, sondern auch Niederlassungen oder Heimarbeitsplätze, um die gesamte IT zu schützen.

Für die Analyse braucht ein Schwachstellen-Management eine umfassende Datenbasis. So enthalten Kataloge namhafter Sicherheitsfirmen über 24.000 bekannte Schwachstellen, die das System nutzt, um Endpunkte zu überprüfen. Überdies ist bei der Auswahl der Lösung das Kriterium einer individuellen Erweiterbarkeit zu bedenken. Idealerweise kann das Schwachstellen-Management auch eigene, im Unternehmen gewonnene Erkenntnisse berücksichtigen. Administratoren sind dann in der Lage, Angreifern ihren Vorsprung zu nehmen und bestehenden Lücke zu schließen, bevor Kriminelle diese für ihre Zwecke nutzen können.

Stückwerk bietet keine Lösung

Natürlich bieten einige Softwarehersteller eigene, integrierte Routinen zur Schwachstellenkorrektur an. In der Praxis werden allerdings selten Lösungen von nur einem Hersteller verwendet. Beispielsweise ist dies schon dann nicht mehr ausreichend, wenn sich auf einem PC, auf dem eigentlich nur Windows und Office laufen, auch eine Applikation mit Java befindet. Am besten ist eine zentrale Lösung mit einer klaren Darstellung der aktuellen Situation – am besten über ein Dashboard.

Es empfiehlt sich schon in der Evaluierungsphase abzuprüfen, wie nahtlos sich ein Schwachstellen-Management in den laufenden Betrieb integrieren lässt. Denn Idealerweise sollten die Endbenutzer nicht einmal merken, dass das Schwachstellen-Management läuft. So werden sie nicht abgelenkt und können sich auf das Wichtigste konzentrieren – ihre Arbeit.

Über den Autor: Robert Klinger ist Produktmanager bei der Baramundi Software AG.

(ID:45603797)