Volles Risiko für mehr Sicherheit

Das Management von Bedrohungen und Schwachstellen (TVM) war noch nie so schwierig wie heute. Es reicht heute nicht mehr aus, allein auf Scannen und Patchen existierender Schwachstellen zu vertrauen.

Um effektiv die eigene Angriffsfläche zu minimieren und vorausschauend potenzielle Bedrohungslagen vorherzusagen, werden Unternehmen künftig auf risikobasierte Analyseverfahren innerhalb ihres Schwachstellen- und Patch-Management setzen müssen.

Die IT-Sicherheitslage in Deutschland bleibt angespannt: So stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland für das Jahr 2021 einen generellen Zuwachs von Schadsoftware-Varianten fest – auf insgesamt 144 Millionen neue Varianten, das sind 394.000 pro Tag. Das entspricht einem Zuwachs von gut 22 Prozent gegenüber dem Vorjahr. Doch nicht nur die Quantität, sondern auch die Geschwindigkeit der Angriffe nimmt zu. Lediglich 22 Tage ab Veröffentlichung einer Schwachstelle benötigen Bedrohungsakteure im Schnitt zur Entwicklung eines funktionsfähigen Exploits, so eine Analyse der Rand Corporation. Dabei dauert es durchschnittlich zwischen 100 und 120 Tage, bis Unternehmen einen verfügbaren Patch umsetzen.

Vorsichtige Schätzungen gehen von 200.000 bekannten Schwachstellen aus, die identifiziert und dokumentiert wurden. Dieser hohen Gefahr durch Angreifer stehen personell schlecht ausgestattete IT- und IT-Security Teams gegenüber: Der umfassende Wechsel ins Homeoffice in einem großen Teil der Unternehmen und Behörden hat die Belastung der Security-Teams im Umfeld des Schwachstellenmanagements zusätzlich erhöht. Denn ihnen stehen nun tausende neue und teils schlecht gepatchte Endgeräte ihrer Nutzer gegenüber.

Compliance-orientiertes Schwachstellenmanagement kann nicht mithalten

Weder das Compliance-orientierte Schwachstellen- noch Patchmanagement können dem Tempo und der Aggressivität der Angriffe standhalten. Es ist leider immer noch gängige Praxis, dass sich IT-Teams bei der Schließung von Schwachstellen einzig an dem vom Softwareanbieter definierten Schweregrad orientieren. Das allein greift zu kurz. Denn in vielen Fällen spiegelt diese Einstufung nicht das tatsächliche Risiko wider, das von einer Schwachstelle ausgeht. Aufgrund der Art und Weise, wie Anbieter diesen Wert definieren, kommt es vor, dass eine Sicherheitslücke, die nur als wichtig eingestuft wurde, bereits am Tag ihrer Veröffentlichung aktiv ausgenutzt wird. Zusätzliche Risikokennzahlen müssen also künftig Berücksichtigung finden.

Eine ausgereifte Prioritätensetzung, die solche risikobasierten Faktoren einbezieht, bietet ein deutlich höheres Schutzlevel, erfordert allerdings auch eine grundlegend neue Vorgehensweise.

Risikobasierter Ansatz schließt Lücken

Der richtige Weg liegt in der Identifizierung, Priorisierung und Entschärfung aller Schwachstellen bezogen auf die Geschäftskritikalität von Systemen im Unternehmen. Bei dieser risikobasierten Priorisierung konzentriert sich die IT-Security auf ein breites Spektrum von Risikokennzahlen, anstatt auf den Schweregrad eines Anbieters als einziges Kriterium zu vertrauen. Das schließt vor allem Datenpunkte zur Klassifizierung der größten Risiken für eine Umgebung ein, etwa Schwachstellen, die aktuell für Angriffe ausgenutzt werden.

Auch helfen die Betrachtung und Analyse von Trends unter den Bedrohungsakteuren, Prioritäten zu setzen. Um sicherzustellen, dass die gefährlichsten Bedrohungen schnell beseitigt werden, gilt es darüber hinaus, sich mit aktuellen und vergangenen Angriffsweisen vertraut zu machen. Zum Beispiel nutzten in den vergangenen Jahren Kriminelle in 95 Prozent der Fälle eine Remote-Code-Ausführung und Privilegienerweiterung, um Schadcode einzuschleusen oder Daten zu extrahieren. Ebenso gehört zu diesem Sicherheitsansatz die genaue Analyse des Kontexts eines Angriffs. Hier bieten beispielsweise Diskussionen in Foren oder im Darknet Anhaltspunkte.

Eine ausgereifte Prioritätensetzung, die solche risikobasierten Faktoren einbezieht, bietet ein deutlich höheres Schutzlevel, erfordert allerdings auch eine grundlegend neue Vorgehensweise: Sie basiert auf einem effektiven Prozess zur Sammlung und Integration von Informationen zu relevanten Bedrohungen und umfasst ein Ökosystem aus unterschiedlichen Informationsquellen, die sinnvoll aggregiert werden. Dieses beinhaltet auch Ergebnisse aus Pen-Tests oder den regelmäßigen Schwachstellenscans. Erst im Folgeschritt wird dann entschieden, welche Verwundbarkeiten zuerst geschlossen werden müssen. Eine solche Vorgehensweise erhöht tendenziell die Arbeitslast für die IT-Security. Allerdings liefern spezialisierte Tools dieses Datenmaterial – häufig bereits integriert in die automatisierten Patch-Routinen.

Bedrohungsdaten strukturiert analysieren

Bislang war es kaum möglich, Schwachstelleninformationen über Infrastrukturen und Anwendungen hinweg zu vergleichen, da diese in der Regel entweder die Common Vulnerabilities and Exposures (CVE) oder die Common Weakness Enumerations (CWE) als Grundlage verwenden. Dienstleister, wie beispielsweise RiskSense, lösen dieses Problem, indem sie erweiterte Indexwerte entwickeln, deren Aussagekraft deutlich höher sind als der reine CVSS v3-Score. Zur Ermittlung eines solchen Cybersicherheits-Scores werden die vielfältigen Daten normalisiert und die Auswirkungen einer Schwachstelle mit dem Bedrohungskontext und aktuellen Exploits zusammengeführt, um die Wahrscheinlichkeit einer Ausnutzung einschätzen zu können. Dabei kommt ein Algorithmus zum Einsatz, der auf intelligente Weise die risikoreichsten Schwachstellen herausfiltert und hervorhebt. Dazu berücksichtigt er Daten über Schwachstellen und Bedrohungen sowie die menschliche Validierung von Exploits durch Penetrationstest-Teams. Cybersicherheitsrisiken werden damit aus dem größtmöglichen Blickwinkel entschlüsselt. Auf diese Weise erfolgt die Bewertung der Kritikalität zu dem Zeitpunkt, an dem eine Verwundbarkeit gefunden wurde. Und: Es ist kontinuierlich bekannt, wie eine Schwachstelle ausgenutzt wird.

Brücke zum Patchmanagement schlagen

Doch die wunden Punkte zu kennen, genügt nicht. Im Folgenden gilt es, die Erkenntnisse aus der risikobasierten Analyse der Schwachstellen in das Patchmanagement einfließen zu lassen. So erhalten IT-Teams einen Überblick, welche Patches unmittelbar aufgespielt werden müssen. Es gilt: Schwächen in hochkritischen Geschäftssystemen sind vorrangig zu beheben – und das heißt in der Konsequenz auch, dass aktuell nicht ausgenutzte Sicherheitslücken mit geringerem Gefährdungspotenzial offen bleiben können.

Silodenken überwinden

Ein risiko-basierter Sicherheitsansatz erfordert allerdings mehr denn je, dass IT-Security und IT-Operations miteinander kommunizieren. In vielen Unternehmen ist heute jedoch ein Team für Schwachstellenscans und Pen-Tests zuständig, das Sicherheitsteam für das Setzen von Prioritäten und das IT-Team für die Durchführung von Abhilfemaßnahmen. Infolgedessen klafft zwischen den Erkenntnissen der Sicherheit und den Abhilfemaßnahmen der IT teils gravierende Lücken. Auch erhält die IT-Abteilung selten Einblick in die Resultate ihrer Bemühungen. Wenn IT und Sicherheit gemeinsam die Verantwortung tragen und als Team gegen Cyberrisiken vorgehen, werden mehr der richtigen Aktivitäten mit zunehmender Effizienz durchgeführt. Die Überprüfung von Regelkreisen verläuft reibungsloser, die Einhaltung von Compliance-Regeln lässt sich leichter überprüfen, und die IT- und Security-Abteilungen erhalten valide Aussagen über die Verbesserung der Sicherheitslage des Unternehmens.

Fazit

Beim Management von Cyber-Risiken ging es früher vor allem um die Anzahl aufgespielter Patches. Dieses Vorgehen hat sich mittlerweile überlebt. Eine genaue Messung der Risikoexposition erfordert eine qualitative Bewertung. Eine effektive TVM-Lösung muss dazu heute die Möglichkeit bieten, Ergebnisse anzuzeigen, die für die IT- und Sicherheitsteams bis in die Führungsetage des Unternehmens hinein verständlich sind, ohne dass eine Interpretation erforderlich ist. Ein Cybersicherheits-Score erlaubt, die Effektivität des risikobasierten Ansatzes einer Organisation im Schwachstellenmanagement messbar zu machen. Er vereinfacht damit die Planung und macht rein aktivitätsbasierte Metriken zur Behebung von Schwachstellen überflüssig.

Darüber hinaus erlaubt er Sicherheitsteams, Was-wäre-wenn-Szenarien durchzuspielen, um einen Eindruck zu gewinnen, welche Maßnahmen sich positiv auswirken, und wie sich Aktivitäten an der aktuellen Ressourcenverfügbarkeit und den geschäftlichen Belangen ausrichten lassen. Dabei gilt, dass die Abdeckung des Bedrohungs- und Schwachstellenmanagements mit der Dynamik des Unternehmens Schritt halten muss. Der Übergang von Compliance-gesteuerten, punktuellen Bewertungen zu solchen, die eher zeitkritisch sind und aufgrund des potenziell hohen Risikos, das sie für ein Unternehmen darstellen, ein Gefühl der Dringlichkeit erfordern, ist daher von entscheidender Bedeutung.