Thought Leadership
2020 wurde eine weitere große Schwachstelle in Windows-Betriebssystemen entdeckt: SMBGhost. Dabei handelt es sich um eine Sicherheitslücke, die sich dasselbe Protokoll von WannaCry zunutze macht – mit potenziell katastrophalen Folgen.
Herausfordernde Konvergenz zwischen Cybersicherheit und Unternehmensprozessen
Updates sind eine doppelte Herausforderung: Einerseits muss die Sicherheit gewährleistet werden, andererseits müssen die betrieblichen Vorgaben der jeweiligen Organisation berücksichtigt werden. Obwohl es Updates gibt, um Fehler und Schwachstellen zu bereinigen, bringen sie manchmal auch ihren Teil an Einschränkungen mit sich. Im Industrie- und OT-Sektor können sie beispielsweise unerwünschte Auswirkungen, wie verlängerte Produktionsausfälle, haben. Aufgrund des Ausmaßes der Auswirkungen müssen oft Wartungszyklen sehr sorgfältig vorbereitet und geplant werden. Außerhalb der industriellen Arbeitswelt können zudem einige Updates die Funktionalität und Leistung einiger Anwendungen beeinträchtigen, die Verfügbarkeit einer Website oder die Produktivität der Anwender für eine gewisse Zeit einschränken. Wenn man all diese Aspekte berücksichtigt, erscheint das Thema Updates ebenso komplex wie paradox.
Was spricht dann noch für Updates?
Das ist ein strategisches, heiß diskutiertes Thema: Vor Einsatz eines Updates müsste man angesichts der betrieblichen Gegebenheiten und Arbeitsumgebungen im Unternehmen ermitteln, ob es überhaupt durchführbar ist. Vergessen darf man dabei nicht, dass sich Updates als äußerst komplex oder in bestimmten Fällen sogar als nicht durchführbar erweisen können. Kontrolle und Vorausplanung sind daher zwei wichtige Faktoren, die berücksichtigt werden müssen, um die Ausfallrisiken zu minimieren.
Zum Beispiel ist die automatische Aktualisierung von gewöhnlichen Arbeitsstationen für traditionelle Büroaufgaben etwas, das in kritischen OT-Umgebungen nicht funktioniert. Hier ist es empfehlenswert eine Testumgebung einzurichten, um so unerwünschte Auswirkungen des Updates zu vermeiden: Einige Updates können dazu führen, dass die Anwendung mit einem älteren Betriebssystem inkompatibel wird, weshalb die Aktualisierung nicht durchgeführt werden darf. Es gibt auch ältere Businessanwendungen, die nur auf veralteten Betriebssystemen funktionieren. In diesem Fall müssen die Anbieter die Unternehmen bei der Implementierung der Updates unterstützen und Wege finden, die Kommunikation der betroffenen Systeme im Netz auf ein Mindestmaß zu reduzieren und diese gegebenenfalls zu unterbinden, bis die Anwendung aktualisiert werden kann. Wir dürfen schließlich nicht vergessen, dass das Versäumnis, Updates zu installieren, IT-Systeme weit offen für Cyberangriffe lässt.
Was auch immer Leute sagen: Systeme, die nicht regelmäßig aktualisiert werden, sind stark anfällig für Cyberangriffe. In diesem Punkt veranschaulicht die Verbreitung der WannaCry-Ransomware 2017 perfekt die Risiken, die von nicht gepatchten Arbeitsplatzrechnern ausgehen. Tausende von Unternehmen und Organisationen waren davon betroffen. Das Schreckgespenst WannaCry scheint in regelmäßigen Abständen wiederaufzutauchen.
Förderung einer “Update-Kultur”
Obwohl die Relevanz von Updates zunehmend akzeptiert und verstanden wird, fällt es Unternehmen immer noch schwer, die mit einem unterlassenen Update verbundenen Risiken klar zu erkennen. Zu viele von ihnen glauben immer noch, dass sie unmöglich von einem Cyberangriff betroffen sein könnten. Dies ist besonders der Fall im OT-Bereichen, wo die “Cyberkultur” noch nicht ausreichend verbreitet ist.
Aufklärung und Evangelisierung durch die Anbieter und Gerätehersteller sind deshalb von zentraler Bedeutung, um die Risikowahrnehmung in den Unternehmen zu schärfen. Um diesen Prozess zu vereinfachen, könnte es hilfreich sein, konkrete Beispiele und reale Fälle, in denen kritische Schwachstellen ausgenutzt wurden, ausgiebig zu kommunizieren. Neben der Evangelisierung müssen die Hersteller auch die Aktualisierungsverfahren unterstützen und genaue Angaben über die neuen Updates machen. Damit wird der Kunde angeleitet und er kann klar erkennen, ob es sich um eine Fehlerbehebung oder um einen Sicherheitspatch handelt. Manchmal wird der Hersteller die vorgeschlagenen Updates begründen müssen und die damit verbundenen Risiken darstellen, um die Unternehmen zu ermutigen, denn der Kunde wird immer versucht sein, der Kontinuität der Produktion Vorrang vor allem anderen zu geben.
Die Durchführung von Updates und die damit verbundenen Verfahren (Update-Häufigkeit, die Entscheidung, ob automatische Updates aktiviert werden sollen oder nicht usw.) obliegen der Verantwortung der IT-Abteilungen: Sie, und nicht erst die Anwender, sind am besten in der Lage, mögliche von Updates hervorgerufene Probleme einzuschätzen und das unternehmensweite Einspielen eines Updates korrekt zu handhaben. Dadurch bekleiden IT-Verantwortliche eine primäre Rolle auch in der Förderung einer “Update-Kultur”, die unerlässlich ist, wenn Unternehmen auf sichere Umgebungen, Hardware und Anwendungen setzen wollen.
