Risiken akzeptieren für mehr Sicherheit

Schneller, raffinierter, häufiger: Cyberangriffe werden immer bedrohlicher. Heutzutage genügt es nicht mehr, dass Unternehmen nur auf bestehende Schwachstellen reagieren und sie händisch patchen. Um ihre Angriffsfläche zu minimieren, müssen sie auf risikobasiertes Schwachstellenmanagement setzen.

Die Anzahl an Schwachstellen steigt rasant an: 394.000 neue Schadsoftware-Varianten pro Tag, 144 Millionen neue Varianten innerhalb eines Jahres: Die Zahlen aus dem Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2021 des Bundesamts für Sicherheit in der Informationstechnik (BSI) sind alarmierend und für Unternehmen eine echte Bedrohung. Die National Vulnerability Database (NVD) listet so viele bekannte Schwachstellen wie noch nie – mehr als 188.000. Über 14.000 stammen aus dem laufenden Jahr.

Anzeige

Als wäre das nicht schon besorgniserregend genug, kommt die Tatsache hinzu, dass die Detektionstools nicht zuverlässig funktionieren: Laut dem von Ivanti veröffentlichtem Ransomware-Report für das erste Quartal 2022 erkennen einige der gängigsten Scanner etwa 3,5 % der Ransomware-Schwachstellen nicht. Auch Cyberkriminelle wissen um diese Problematik und nutzen diese Notlage der Unternehmen für sich.

Um beurteilen zu können, ob eine bestimmte Schwachstelle von Bedeutung ist, müssen Unternehmen zunächst wissen, dass sie existiert. Wer sein Schwachstellenmanagement dabei auf eine einzige Informationsquelle stützt, kann böse Überraschungen erleben: Studien von Ivanti ergaben, dass selbst die umfassende NVD mehr als 20 % aller gängigen Schwachstellen und Gefährdungen nicht erfasst – und auch andere Datenbanken weisen Lücken auf.

„Patch and Pray“ ist keine Lösung

Hinzu kommt: Immer mehr Angreifer machen Schwachstellen ausfindig und nutzen sie aus, bevor diese in Datenbanken ergänzt werden und Patches bereitstehen. Für Unternehmen bedeutet das: IT-Sicherheit hat nie Pause. Durchschnittlich 22 Tage dauert es laut einer Analyse der Rand Corporation, bis eine Sicherheitslücke angegriffen wird – 100 bis 120 Tage benötigen Unternehmen jedoch, um verfügbare Patches auszurollen. Zudem orientieren sich IT-Teams zum Schließen von Schwachstellen oft immer noch allein an dem vom Softwareanbieter definierten Schweregrad. Doch in vielen Fällen spiegelt dieser nicht das tatsächliche Risiko wider, das von einer Schwachstelle ausgeht.

Unternehmen stehen vor einer Herausforderung: Weder das Compliance-orientierte Schwachstellen- noch Patchmanagement hält der Menge, dem Tempo und der Aggressivität der Angriffe stand. Jede Sicherheitslücke händisch zu patchen, gelingt angesichts dieser Bedrohungslage, des Fachkräftemangels und neuer Arbeitswelten am „Everywhere Workplace“ ebenfalls nicht mehr. Zu patchen wie bisher und zu hoffen, dass weiterhin alles gut geht, wird nicht gelingen.

Mut zur Lücke

Doch es gibt auch gute Neuigkeiten – denn trotz der bedrohlichen Lage sind aktuell nur knapp 8 % aller Schwachstellen ernsthaft gefährlich. Unternehmen müssen die unmögliche Aufgabe, alle Schwachstellen auf einmal zu beheben, deshalb gar nicht auf sich nehmen: Mit einem risikobasierten Ansatz können sie zunächst die Schwachstellen identifizieren, priorisieren und beheben, die das größte Risiko darstellen. Es gilt der Mut zur Lücke: IT-Teams beheben zuerst Schwachstellen in hochkritischen Geschäftssystemen, während Sicherheitslücken mit geringerem Gefährdungspotenzial vorerst offenbleiben.

NL Icon 1
Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.

Daten als Leitfaden

Beim risikobasierten Schwachstellenmanagement konzentrieren sich IT-Sicherheitsteams auf mehrere Risikokennzahlen sowie Trendanalysen und -beobachtungen zu Bedrohungsakteuren. Richtig aufgesetzt ermöglicht eine solche Strategie den IT-Operations- und Security-Teams schnell zu arbeiten, kritische Schwachstellen in Echtzeit zu identifizieren und sie so schnell wie möglich zu patchen. Dabei hilft eine KI-basierte Technologie, die Schwachstellen und aktive Bedrohungen im Unternehmen identifiziert, ihr Gefahrenpotenzial bewertet, Frühwarnungen ausspricht, Angriffe vorhersagt und Maßnahmen Prioritätsstufen zuweist.

Risikobasiertes Schwachstellenmanagement funktioniert vor allem angesichts hybrider Arbeitsplätze nur dann, wenn sich alle Assets an jedem Ort erkennen, zuordnen, sichern und warten lassen. Eine sorgfältige Bestandsaufnahme aller Geräte und Nutzer im Netzwerk ist deshalb Pflicht. Um vorhersagende Analysemodelle zu entwickeln, sammelt die KI aus öffentlich zugänglichen Datenquellen zudem Informationen über Schwachstellen, die in der Vergangenheit gefährlich waren, und sucht nach gemeinsamen Merkmalen. Gleichzeitig analysiert sie Daten von Servern, Firewalls, Netzwerkgeräten, kritischen Anwendungen, Websites, Domänencontrollern oder Datenbanken, die Aufschluss über Datenverkehr und Nutzung geben. Mithilfe maschinellen Lernens werden diejenigen Merkmale identifiziert, die die Bedrohung am besten vorhersagen. Das Modell wird im Laufe der Zeit kontinuierlich trainiert und verbessert.

Zusammenarbeit auf neuer Basis

Ein risikobasierter Ansatz bietet Unternehmen mehr Schutz und erleichtert die Arbeit, erfordert allerdings auch eine neue Vorgehensweise und Zusammenarbeit von Sicherheitsanalysten, die Bedrohungen und Angriffe bewerten und darauf reagieren, und IT-Teams, die Systemverfügbarkeit und Reaktionsfähigkeit gewährleisten. Risikobasiertes Schwachstellenmanagement setzt voraus, dass externe Bedrohungen und interne Sicherheitsumgebungen gemeinsam betrachtet werden. Die Basis ist eine Risikoanalyse, die beide Abteilungen zufriedenstellt: Für die IT-Sicherheit eröffnet sie einen Weg, nur den kritischsten Schwachstellen Priorität einzuräumen. IT-Teams wiederum können sich auf die wichtigen Patches zur richtigen Zeit konzentrieren.

Handeln mit Weitblick

Der Weg in die Cloud schreitet unaufhaltbar fort, auch durch die rasante Entwicklung des Everywhere Workplace. Sicherheitsvorfälle durch ungepatchte Schwachstellen werden aufgrund dieser schnellen Verlagerung weiter zunehmen. Und auch Schwachstellen entwickeln sich weiter. Das ohnehin schon komplizierte Schwachstellen- und Patchmanagement vereinfacht dies nicht. Unternehmen müssen mehr denn je vorausschauend in Echtzeit agieren und in der Lage sein, Muster in Maschinengeschwindigkeit zu erkennen, zu verstehen und darauf zu reagieren. Nur so halten sie mit der Raffinesse der Bedrohungsakteure Schritt. Die Zukunft des risikobasierten Schwachstellenmanagements wird deshalb vom Grad der Automatisierung abhängen – genauer gesagt, von der Hyperautomatisierung. Sie übernimmt den größten Teil der Analyse rund um die Uhr in der nötigen Geschwindigkeit. Der Mensch ist dabei nur die letzte Instanz, die auf Basis der Analyse geeignete Maßnahmen ergreift bzw. genehmigt.

Experten gehen davon aus, dass die Automatisierung bis 2025 immer weiter Einzug in die IT-Branche hält und Hyperautomatisierung frühere Ansätze größtenteils ablöst. Weit davon entfernt ist die Branche schon heute nicht mehr: In den kommenden Jahren werden noch mehr Sicherheitskontrollen, Richtlinien, Patches, Exposures und die Aufzählung von Schwachstellen als Code geschrieben und in Software eingebettet sein – und damit automatisiert. Denkbar ist auch eine Konvergenz von Exposure Management und Bedrohungsanalyse, bei der Unternehmen Exposures vermehrt automatisiert verwalten können.

Angreifern immer einen Schritt voraus

Die Echtzeitüberwachung vielfältiger Datenquellen sowie die richtige Priorisierung von Schwachstellen und Patch-Rollouts sind heute der Schlüssel zu einer modernen Cybersicherheitsstrategie. Risikobasiertes Schwachstellenmanagement behebt Schwachstellen effizient und effektiv – und verringert die Belastung für die Mitarbeiter. Durch Automatisierung lässt sich dieser Ansatz zukünftig weiter beschleunigen. Das Gleichgewicht zwischen Prävention, Erkennung und Beseitigung von Bedrohungen ohne ein umfangreiches menschliches Eingreifen ist und bleibt dabei der entscheidende Vorteil.

Johannes Carl

Ivanti -

Expert Manager PreSales – UEM & Security

Er ist spezialisiert auf Lösungen rund um die Verwaltung von Endgeräten, das Management von Usern und Security-Lösungen.
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button “Zum Newsletter anmelden” stimme ich der Datenschutzerklärung zu.