Die DSGVO ist da: Warum Schwachstellenmanagement und die Priorisierung von Bedrohungen jetzt noch wichtiger sind

bei

 / 13. August. 2019

Sorry, this entry is only available in German. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

Um das Datenschutzniveau zu gewährleisten, das die EU-Datenschutz-Grundverordnung (DSGVO) vorschreibt, müssen Unternehmen Sicherheitslücken laufend erkennen und die Maßnahmen zu ihrer Beseitigung richtig priorisieren.

Warum? Wenn ein IT-Sicherheitsteam mit den Schwachstellen in seiner IT-Umgebung chronisch überfordert ist und nicht feststellen kann, welche davon kritisch sind und sofort behoben werden müssen, ist das Risiko von Datenschutzverletzungen groß. Und das wiederum bedeutet, dass das Unternehmen Gefahr läuft, die DSGVO nicht einzuhalten.

Das Center for Internet Security (CIS) stuft in seinen 20 Critical Security Controls die „kontinuierliche Bewertung und Beseitigung von Schwachstellen“ als die viertwichtigste Praktik ein. „Wenn Unternehmen nicht nach Schwachstellen scannen und entdeckte Schwachstellen nicht proaktiv beheben, ist die Wahrscheinlichkeit hoch, dass ihre Computersysteme kompromittiert werden“, konstatiert das CIS.

Und tatsächlich nutzen Hacker laufend häufige Schwachstellen und Risiken (Common Vulnerabilities and Exposures, CVEs) aus, für die schon seit Wochen, Monaten oder gar Jahren Patches verfügbar sind. Der Grund: Viele Unternehmen erkennen und beheben kritische Sicherheitslücken nicht rechtzeitig, sodass Datendiebe ein leichtes Spiel haben.

Effektives Schwachstellenmanagement

Wenn Unternehmen  Schwachstellen kontinuierlich erkennen, bewerten und beheben, indem sie Patches anwenden oder die Auswirkungen der Schwachstellen minimieren, können Einfallstore für Cyberkriminelle beseitigt und das Risiko von Sicherheitsverletzungen konsequent reduziert werden.

Mit richtigem Schwachstellenmanagement „immunisiert“ man die IT-Ressourcen gegen opportunistische Angriffe, die häufige und wohlbekannte Sicherheitslücken ausnutzen. Dabei ist es auch wichtig, die Abhilfemaßnahmen so schnell wie möglich umzusetzen.

Wie die zweite Umfrage des SANS Institute zu Programmen für kontinuierliches Monitoring ergab, sind nur zehn Prozent der Befragten in der Lage, kritische Sicherheitslecks innerhalb von 24 Stunden oder weniger zu schließen. Nach Angaben des SANS erreicht das Risiko von Sicherheitsverletzungen nach einer Woche ein moderates Niveau; nach einem Monat wird es hoch.

So hätten beispielsweise die meisten Unternehmen die Schwachstelle, die von der Ransomware WannaCry ausgenutzt wurde, mit hoher Priorität patchen sollen – also lange, bevor die Attacke gestartet wurde. Weil das aber nicht geschah, konnte WannaCry über 300.000 Systeme infizieren und weltweit kritische Betriebsabläufe stören.

Microsoft hatte die Windows-Schwachstelle, die WannaCry ausnutzte (MS17-010), Mitte März 2017 bekanntgegeben und einen Patch bereitgestellt. Dabei bewertete Microsoft diese Schwachstelle als „kritisch“, da sie Angreifer potenziell in die Lage versetzen konnte, auf den betroffenen Systemen aus der Ferne Code auszuführen.

Daneben gab es eine Reihe weiterer Warnsignale, die darauf hindeuteten, dass es sich hier um eine besonders gefährliche Sicherheitslücke handelte. Und als Mitte April die Hackergruppe Shadow Brokers einen Exploit namens EternalBlue freisetzte, wurde die Gefahr noch größer.

Unternehmen hatten also ein Zeitfenster von rund zwei Monaten, um den Patch zu installieren, bevor WannaCry Mitte Mai losschlug. Wären die am stärksten betroffenen Systeme gepatcht worden, hätte WannaCry nur geringe Auswirkungen gehabt.

Bedrohungen priorisieren – eine Herausforderung

Jedes Jahr werden Tausende von Sicherheitslücken bekanntgegeben. Unternehmen können unmöglich für jede einzelne Lücke in ihrer IT-Umgebung einen Patch installieren.

Noch dazu können Schwachstellen, die schon vor Monaten oder gar Jahren bekanntgemacht wurden, plötzlich gefährlicher werden – zum Beispiel, wenn Exploit-Kits entwickelt werden, die wesentlich mehr Hackern die Kompromittierung ermöglichen. Zugleich verändert sich auch der Bestand an IT-Assets in einem Unternehmen häufig.

Mit anderen Worten: Die Bedrohungen, die von den Sicherheitslücken in der IT-Umgebung eines Unternehmens ausgehen, ändern sich ständig, und deshalb müssen auch eingesetzte Abhilfemaßnahmen kontinuierlich neu bewertet werden. Es ist jedoch nicht möglich, laufend zu bestimmen, welche IT-Ressourcen gerade am dringendsten gepatcht werden müssen, indem man manuelle Berechnungen durchführt oder noch so sachkundige Vermutungen anstellt.

Um bei der Behebung von Sicherheitslücken die richtigen Prioritäten setzen zu können, müssen die Veröffentlichungen zu Schwachstellen kontinuierlich mit dem vorhandenen Bestand an IT-Assets korreliert werden. Auf diese Weise ist es möglich ein klares Bild von den Schwachstellen jedes einzelnen Assets zu erhalten. Anschließend findet eine Abwägung auf Basis detaillierter Kriterien zu den betroffenen IT-Assets und deren Schwachstellen statt. Das CIS empfiehlt, das Risiko von Schwachstellen anhand ihrer „Ausnutzbarkeit“ und ihrer möglichen Auswirkungen zu bewerten.

Bei den IT-Assets sollten folgende Faktoren berücksichtigt werden: die Rolle, die sie im Geschäftsbetrieb spielen, ihre Vernetzung mit anderen Assets, ob sie aus dem Internet erreichbar sind und wer sie verwendet. Bei den Schwachstellen ist beispielsweise zu bedenken, ob es sich um „Zero-Day“-Lücken handelt, ob sie aktiv ausgenutzt werden, ob sie die Datenintegrität gefährden, ob sie zu „Seitwärtsbewegungen“ führen und ob sie DDoS-Angriffe ermöglichen.

Eine solche eingehende Analyse verschafft Unternehmen ein klares Bild von ihrer Bedrohungslandschaft. Auf dieser Grundlage können sie dann einen genauen Plan zur Schwachstellenbeseitigung entwickeln.

Zu jedem Zeitpunkt DSGVO-konform

Ein entsprechendes Vulnerability Management-Tool ermittelt kontinuierlich die bestehenden Anfälligkeiten, sodass die Security-Teams das eigene Unternehmen jederzeit und überall vor Angriffen schützen können.

Im Idealfall werden alle Netzwerkressourcen abgebildet und Betriebssysteme, Ports, Dienste und Zertifikate angezeigt und auf Sicherheitslücken gescannt. Anschließend dienen umfassende Berichte, die auf verschiedene Empfänger zugeschnitten sind, wie etwa IT-Fachleute, Führungskräfte oder Prüfer als Basis für das weitere Vorgehen. Dabei wird sowohl der Kontext als auch die gewonnenen Erkenntnisse, einschließlich der Fortschritte im Hinblick auf die gesetzten Ziele berücksichtigt. Über APIs lassen sich die Berichtsdaten zudem mit anderen Sicherheits- und Compliance-Systemen integrieren.

Unternehmen müssen zu jedem Zeitpunkt über die Schwachstellen in ihren IT-Ressourcen Bescheid wissen, den Risikograd jeder Schwachstelle kennen und anhand dessen die Problembehebung bei den betroffenen Assets planen.

Wenn ein IT-Sicherheitsteam die richtigen Schwachstellen zur richtigen Zeit behebt, wird das Unternehmen den meisten Cyberangriffen widerstehen und erheblich das Risiko senken, dass der Datenschutz und die DSGVO verletzt werden.

Jimmy Graham beschäftigt sich seit über 10 Jahren intensiv mit Informationssicherheit und Schwachstellenmanagement und hat verschiedene Teams geleitet, die sich unter anderem mitAnwendungssicherheit, Schwachstellenmanagement, Penetrationstests, Governance und Compliance befassen.