Verwaltung des Asset-Lebenszyklus bringt:Bessere Cyber-Sicherheitspraktiken

23. November 2021

Unternehmen müssen sich wegen der Cyber-Bedrohungen stärker auf die Prävention konzentrieren. Ständig werden neue Schwachstellen entdeckt – Unternehmen sind allein deshalb anfällig für Angriffe, da ihre Infrastruktur nicht auf dem neuesten Stand gehalten wird. Zu oft enthält diese alte und womöglich nicht mehr unterstützte Versionen von Software, Betriebssystemen (OS) und Hardware. Die ausgemusterten Komponenten können Sicherheitsrisiken erheblich erhöhen (und auch finanzielle Auswirkungen haben). Die Angriffsfläche lässt sich jedoch leicht verringern, indem diese Komponenten identifiziert und aktualisiert werden.

Software und Hardware altern mit der Zeit, weshalb diese Komponenten gewartet und aufgerüstet oder durch neuere Versionen ersetzt werden müssen. Deshalb spielt der Service-Lebenszyklus dieser Assets eine wichtige Rolle bei der allgemeinen Verwaltung von IT-Assets und beim Cybersecurity Asset Management.

Leider gibt es bei Software- und Hardwareherstellern keine Standardverfahren, um die IT-Abteilung über den Service-Lebenszyklus der von ihnen angebotenen Produkte zu informieren. Einige Hersteller veröffentlichen gar keine Informationen, andere sind uneinheitlich. Es gibt auch unterschiedliche Begriffe zur Beschreibung der verschiedenen Lebenszyklusphasen. Die größte Herausforderung besteht also darin, die verfügbaren Informationen auf konsistente Weise mit dem Bestand eines Unternehmens abzugleichen.

Generell sind drei Punkte zu nennen, die den Endpunkt eines Produktlebenszyklus beschreiben:

  • End-of-Sale, End-of-Marketing (EOM) tritt ein, wenn ein Unternehmen den Verkauf eines Produkts einstellt. Das Produkt wird nicht mehr vermarktet, aber in der Regel noch vollständig unterstützt. End-of-Sale/End-of-Marketing ist eher bei Hardware üblich, da die Gerätemodelle regelmäßig gewechselt werden. Software wird für gewöhnlich automatisch eingestellt, wenn die „nächste“ Version verfügbar ist. Die Möglichkeit, neuere Versionen zu verwenden, wird über die Produktnutzungsrechte verwaltet (in den meisten Fällen kann die Installation aktualisiert werden, wenn die Software-Wartung bezahlt wird). Nutzer sollten das Software-Lizenzierungsteam kontaktieren, um sicherzustellen, dass sie Upgrade-Rechte haben.
  • End-of-Life (EOL) ist der Zeitpunkt, an dem die Hersteller die Bereitstellung von Updates für Software und Betriebssysteme einstellen, mit Ausnahme von Sicherheitskorrekturen. Mit dem End-of-Life endet in der Regel auch der Standardsupport, der in der Softwarebranche von großer Bedeutung ist. Zwar kann dann weiterhin Support in Anspruch genommen werden, es müssen aber möglicherweise andere (in der Regel höhere) Preise gezahlt werden, bei eingeschränkten Leistungen (z. B. keine kleineren Verbesserungen oder regelmäßigen Fehlerbehebungen mehr). Dies ist das wichtigste Signal dafür, dass über ein Upgrade auf eine neuere Version nachgedacht werden sollte. Diese Phase des Hardware-Lebenszyklus hat ähnliche Auswirkungen – es gibt weiterhin sicherheitsrelevante Updates, aber keine Verbesserungen an der Firmware. Nutzer sollten zudem sicherstellen, dass sie keinen gesetzlichen Vorschriften unterliegen, die sie am Einsatz von EOL-Software hindern.
  • End-of-Service (EOS) oder End-of-Support ist der letzte Schritt im Lebenszyklus. Wenn Software (oder Hardware) den End-of-Service erreicht, bedeutet dies, dass sie nicht mehr unterstützt wird – keine Sicherheits-Patches oder andere Support-Mechanismen. Das bedeutet natürlich nicht, dass das Produkt nicht mehr funktioniert – aber es bedeutet, dass Nutzer nicht einmal Sicherheits-Patches erhalten.

Warum ist der Asset-Lebenszyklus entscheidend?

Der Einsatz von End-of-Life- oder End-of-Service-Software ist nicht nur aus Sicht der Cyber-Sicherheit riskant. Es gibt viele Industriestandards, die End-of-Life/Service-Software und -Hardware prüfen. Wenn Unternehmen Prüfungen zur Einhaltung von HIPAA (Gesundheitswesen), PCI (Finanzwesen) oder FedRAMP (US-Regierung) unterzogen werden, können sie durchfallen und/oder mit Strafen belegt werden, wenn sie EOL- oder EOS-Software oder -Hardware in ihrer Umgebung einsetzen.

Natürlich gibt es auch finanzielle Kosten zu berücksichtigen – mit EOL-Komponenten in der Umgebung zahlt ein Unternehmen möglicherweise hohe Support-Gebühren für minimalen Service. Wenn die Software ein End-of-Life-Produkt ist, werden Sicherheits-Patches zur Verfügung gestellt. Wenn jedoch Probleme oder Fehler festgestellt werden, lautet die Antwort höchstwahrscheinlich „Wir haben diesen Fehler in einer neueren Version behoben, bitte aktualisieren Sie“ oder „Bitte aktualisieren Sie, und wenn das Problem weiterhin besteht, werden wir daran arbeiten“. Bei jeder End-of-Service-Software sind selbst kundenspezifische Support-Vereinbarungen im Angebot wahrscheinlich sehr begrenzt.

Mit anderen Worten: End-of-Life- und End-of-Service-Komponenten wirken sich in vielen Bereichen auf Nutzer aus, dazu gehören unter anderem:

  • erhöhtes Risiko für Schwachstellen,
  • Schwierigkeiten bei der Einhaltung von Compliance oder
  • finanzielle Kosten.

Ein komplettes Asset-Inventar

Das Ende eines Produktlebenszyklus kommt nicht selten überraschend. Nutzer können in vielen Fällen nicht zeitnah reagieren und zu Alternativen wechseln, deren Lebenszyklus noch lange genug reicht. Abgelaufene Produkte bergen dabei nicht nur finanzielle Probleme, sondern vor allem ein enormes Bedrohungspotenzial für Angriffe durch Cyber-Kriminelle – die am Ende im Fall eines geglückten Angriffs ebenso massive finanzielle Einbußen nach sich ziehen.
Ein sinnvoller Weg, nicht unangenehm von veralteter Soft- oder Hardware überrascht zu werden, ist ein umfassendes Asset-Management. Dabei ist es entscheidend, nicht lediglich über Momentaufnahmen der verwendeten Assets zu verfügen. Einen Rundumschutz vor unentdeckten Schwachstellen haben Nutzer nur bei fortlaufendem Cybersecurity Asset Management (CSAM).

Dieses ermöglicht einen kompletten Überblick über sämtliche Assets – denn man kann nicht schützen, was man nicht sehen kann. CSAM bietet darüber hinaus ein vollständiges Bild über mögliche Schwachstellen, die unverwaltete Assets unweigerlich mit sich bringen. Normalisierung und Kategorisierung sind essenziell, da sie für ein konsistentes Inventar sorgen und dabei helfen, Assets in nützliche Kategorien wie Datenbanksoftware oder Servercomputer zu organisieren.

Automatisierte Tools für CSAM erleichtern IT-Teams den vollständigen Überblick über Assets, von der Bestandsaufnahme über die Erkennung bis hin zur Reaktion – einschließlich Assets mit EOL- und EOS-Hardware, Betriebssystemen und Software. Der Anbieter Qualys bietet für einen Einblick in diese Funktionen eine kostenlose Testversion seines Qualys CyberSecurity Asset Management. Es liefert aktuelle, detaillierte, normalisierte und kategorisierte Bestandsinformationen, sodass Nutzer sich zunächst auf die wichtigsten Software- und Hardwarekomponenten konzentrieren können.

Ursula Kafka ist freie Journalistin, München.

Qualys

Lesen Sie auch