IT-Sicherheit in Produktion und Technik
12.09.17 - 13.09.17
In Berlin

Be CIO: IT Management im digitalen Wandel
13.09.17 - 13.09.17
In Köln

IBC 2017
14.09.17 - 18.09.17
In Amsterdam

Orbit IT-Forum: Auf dem Weg zum Arbeitsplatz der Zukunft
27.09.17 - 27.09.17
In Leverkusen

it-sa 2017
10.10.17 - 12.10.17
In Nürnberg

Die Heartbleed-Sicherheitslücke hat gute Chancen, zur Schwachstelle des Jahres zu werden. Durch die Verbreitung von OpenSSL und die Kritikalität der betro enen Daten nimmt sie ein katastrophales Ausmaß an. 

Da es keinen Positivtest für einen Angriff gibt, muss jede angreifbare Lösung als angegriffen gelten. Für Administratoren heißt das: Systeme patchen, Schlüssel widerrufen, Passwörter ändern, kritische Systeme überwachen. Viele Organisationen sind damit jedoch sichtlich überfordert, weil sie die Informationen nicht zeitnah bekommen, ihre betroffenen Systeme nicht kennen oder schlicht nicht handeln. Wie kann man sich so aufstellen, dass man beim nächsten Mal möglichst schnell und zielgerichtet reagiert? Nur Prozesse des Sicherheitsmanagements gewährleisten den richtigen Einsatz von Technologien in der Krise.

Identifikation von Schwachstellen

Eines ist sicher: Kein Unternehmen kann alleine alle Schwachstellen in IT-Komponenten finden. Nur eine große Gemeinschaft von Sicherheitsforschern kann dies leisten. Unternehmen müssen aber in der Lage sein, auf Erkenntnisse dieser Experten angemessen zu reagieren. Die größten Probleme zeigen sich immer wieder bei der Identifikation von Schwachstellen in Systemen, bei der schnellen und zielgenauen Redaktion und bei der Nachsorge. Die Probleme liegen in fehlenden und unklaren Prozessen, nicht in der Technik.

Auch ohne umfassende CMDB sollte jede IT ihre Komponenten kennen und wissen, woher Informationen über Schwachstellen bezogen werden können. Für Standardsoftware und Betriebssysteme gibt es Mailinglisten der Hersteller. Diese müssen abonniert und ausgewertet werden. Oft kann dies von den Administratoren oder einem Sicherheitsexperten geleistet werden. Bei Individualsoftware hingegen muss der Entwickler selbst aktiv werden und nach Schwachstellen suchen. Als Auftraggeber muss man dies vertraglich vereinbaren. Als Entwickler sollte man unter anderem regelmäßige Penetrationstest der Lösung in Betracht ziehen.

Um zeitnah auf bekannte Schwachstellen reagieren zu können, bedarf es einer Entscheidung zur Sicherheitsstrategie. Geht Verfügbarkeit vor, muss das System mit flankierenden Sicherheitsmaßnahmen weiterlaufen, auch wenn es angreifbar bleibt. Ist Vertraulichkeit der Daten das höchste Gut, muss auch ein wichtiges System abgeschaltet werden können. Diese Anforderungen kommen von den Risikoträgern im Unternehmen. Ein Emergency Response Team mit klaren Verantwortlichkeiten muss im Ernstfall aktiv werden. Planung und Übung von Emergency Szenarien hilft, zielstrebig und schnell zu agieren. Strukturen und Verfahren hierfür lassen sich im Vorfeld definieren. Auch angemessene Reaktionen auf Krisen lassen sich vorbereiten, etwa durch festgelegte Infrastrukturmaßnahmen, die Isolierung oder das Abschalten betroffener Systeme.

Entscheidung zur Sicherheitsstrategie

Ist die unmittelbare Krise abgewandt, kann man noch lange nicht zurück zum Tagesgeschäft. Angreifer können durch die Schwachstelle Informationen gewonnen haben, die ihnen helfen, weitere Systeme anzugreifen. Deshalb müssen die möglichen Angriffsrichtungen identifiziert und die kritischen Komponenten überwacht werden. Ein Security Incident und Event Management kann helfen, Ereignisse in der Infrstruktur miteinander in Beziehung zu setzen. Derartige Lösungen können Unternehmen selbst betreiben oder extern kaufen. Monitoring-Services wie das CGI Security Event & Information Management bieten die Möglichkeit, Sicherheitsereignisse auf Basis großer Datenmengen zu identifizieren.

Ob Heartbleed die größte Schwachstelle des Jahres bleiben wird, kann jede IT-Organisation mitbestimmen: durch eine systematische Vorbereitung auf die nächste Krise, die mit Sicherheit kommt.


Der Sicherheitscheck

  • Identifikation: Kennen Sie Ihre IT-Komponenten? Erhalten Sie zeitnah Informationen über Schwachstellen?
  • Emergency Response: Kennen Sie Ihre Prioritäten im Ernstfall? Stehen Ressourcen bereit, um schnell und zielgerichtet zu reagieren? Ist das Vorgehen geplant und bekannt?
  • Nachsorge: Verstehen Sie alle Konsequenzen aus der Schwachstelle? Überwachen Sie Ihre Infrastruktur auf mögliche Spätfolgen?

Jan Simon Grintsch

www.de.cgi.com

Diesen Artikel finden Sie auch im "Spezial it security", Seite 9 oder im ePaper it management, Ausgabe 7-8, 2014.

Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet