Thought Leadership
Gerade müssen Unternehmen entscheiden, ob sie auf Windows 11 updaten, da der Support für Windows 10 ausläuft. Anlass genug, um über notwendige Möglichkeiten zu sprechen, wenn Systeme aus unterschiedlichen Gründen nicht aktualisiert werden können.
Berichten zufolge stagniert der Umzug auf Windows 11. Viele Kunden bleiben bei der Version 10, obwohl deren Support im Oktober ausläuft und dann keine Updates mehr verfügbar sind. Wenn Sie wissen wollen, welche Anreize zu einem Wechsel geboten werden, empfehlen wir die Microsoft-Werbekampagne für Windows 11. Selbstverständlich raten auch wir zu einem Wechsel, schon deshalb, weil Sie sonst keine Sicherheits-Updates mehr erhalten und das ein vermeidbares Risiko ist.
Für alle die, die es nicht tun…
Die Abkündigung eines Betriebssystems ist auch ein Anlass dafür, über das Thema „nicht aktualisierte/aktualisierbare Systeme“ zu sprechen, betrifft es doch nicht nur dieses Problem. Oft können Unternehmen aus Kompatibilitätsgründen auch verfügbare Patches nicht einspielen. In anderen Fällen dürfen sie nicht, weil das System möglicherweise einem Dienstleister gehört oder laufende Serviceverträge eine Veränderung nicht erlauben.
Für diese Fälle gibt es Möglichkeiten, die aber natürlich auch auf die neue Windows-Debatte anwendbar sind.
„Cyber Risk and Exposure“-Management
Die tatsächliche Gefahr bezüglich eines veralteten Systems liegt zum einen in den vorhandenen Sicherheitslücken und zum anderen in seiner Exponiertheit im Netzwerk. Dabei geht es um Fragen, etwa wie Zugriffe erfolgen oder ob die fehlenden Patches überhaupt von Angreifern ausgenutzt werden, aber auch, welche Sicherheitsmaßnahmen existieren, um Schaden zu verhindern. Eine solche Analyse ermöglicht die Einschätzung des tatsächlichen Risikos. Dann kann daraus abgeleitet werden, ob Minderungsmaßnahmen ausreichend verfügbar sind oder zusätzliche zu implementieren sind.
Risikofaktoren in einem Cyber-Risk-and-Exposure (CREM)-Managementverfahren sind nicht nur auf Sicherheitslücken begrenzt, sondern schließen auch Zugriffsverfahren, Konfigurationen und anderes mit ein. Das Risiko kann sich ändern, wenn beispielsweise unsichere Systeme eine Verbindung aufbauen wollen oder Sicherheitslücken neu von Tätern verwendet werden. Entsprechende Minderungsmaßnahmen (z.B. Zero Trust-Verfahren) lassen sich im Vorfeld einrichten und in ihrer relativen Wirksamkeit abschätzen.
CREM-Konzepte sind dazu gedacht, die Eintrittswahrscheinlichkeit eines Cybervorfalls zu minimieren. Sie eigenen sich aber auch dafür, Risiken genauer zu beschreiben und sogar monetär zu bestimmen, was die Einschätzung von Verhältnismäßigkeiten bei der Beschaffung von Minderungsmaßnahmen erleichtert. Die Verfahren sind eng verwandt mit so genannten Extended Detection-und-Response (XDR)-Angeboten und werden häufig mit diesen gekoppelt. Sie sind für ein System nicht belastend und verändern seine Struktur nicht.
Endpoint oder Netzwerk?
Neben der technischen Überlegung, was zu tun ist, spielt die Frage der Umsetzung, also des Formfaktors eine mindestens ebenso wichtige Rolle. Ist, wie im Falle der Windows 10-Abkündigung, die Herstellerunterstützung durch Sicherheitsanbieter noch gegeben, so können vorhandene Architekturen die benötigten Aufgaben weiterhin ausführen und sollten lediglich nach obigen Empfehlungen ergänzt werden.
Bei Fehlern hilft der Anbieter des Agenten meist noch, auch wenn dieser keine Gewähr mehr für Probleme mit dem Betriebssystem übernehmen wird. Abhängig vom Hersteller läuft dieser Support irgendwann aus. Zudem bedeuten endpunktbasierte Scanner auch eine Belastung für das System, die mit zunehmendem Alter ein Risiko darstellt.
Die Alternative ist netzwerkbasierende Technik zu verwenden. Diese belastet die dahinter liegenden Computer deutlich weniger und hält vor allem Angriffe auf, bevor sie auf anfällige Systeme treffen. Der Nachteil von Netzwerksicherheit ist, dass eine Umgehung möglich ist, wenn beispielsweise mit USB-Sticks oder wie bei Supply Chain-Angriffen mit verschlüsselter Kommunikation logische Umgehungen gebaut werden. Auch stellen sie einen „Single Point of Failure“ dar. Ist der Angriff durchgekommen, kann er nicht mehr aufgehalten werden. Im Idealfall wird deshalb beides verwendet, um einen Rundumschutz nicht nur für die verwundbare Infrastruktur zu schaffen.
Fazit
Aus IT-Security-Sicht ist der sicherste Weg immer, alle herstellereigenen Aktualisierungen einzuspielen, was auch den Umstieg auf eine neuere Version beinhaltet. Entscheidet sich ein Unternehmen dagegen, sollte es CREM-Verfahren einsetzen, um das tatsächliche Risiko einzuschätzen, zu beobachten sowie Minderungsmaßnahmen zu definieren und umzusetzen.
Die weitere Absicherung des Systems ist abhängig von seiner Kritikalität und seiner Belastbarkeit. Netzwerklösungen sind dabei schonender für das Objekt und vor allem bei langfristigem Einsetzen ein Muss. Sie sind aber auch etwas teurer. Endpunktbasierte Investitionen sollten auf ihre Zukunftstauglichkeit, besonders bei veralteten Systemen, untersucht werden.
Handelt es sich um temporäre Maßnahmen zur Überbrückung weniger Monate, sind sie aber meist die präferierte Wahl. Je länger Systeme nicht mehr aktualisiert werden (können), desto höher wird das Risiko, so dass die Überlegung, wie lange ein Verfahren bestehen muss und ob weitere Verzögerungen erwartbar sind, zuerst erfolgen sollte.
Die IT-Sicherheitstechnik gestattet theoretisch unbegrenzten Einsatz existierender Lösungen, aber je älter die Software wird, desto höher das Risiko und teurer die Gegenmaßnahmen. Wenn möglich, ist eine Kombination verschiedener Netzwerk- und Endpoint-basierter Technologien empfehlenswert. Idealerweise als Plattformansatz, weil Maßnahmen von der Planung bis zum Notfall zentral gesteuert und überwacht werden können. Sprechen Sie mit IT-Sicherheitsfachleuten um individuelle Lösungen zu finden. Und sehen Sie sich interessante Technologien einmal im Betrieb an.
