Schwachstellen als fester Teil des IT Alltags Digitalisierung und das reale Leben
7. Dezember 2017Immer neue Berichte über Sicherheitsvorfälle füllen die Schlagzeilen, allerdings scheint die Diskussion immer noch zu einseitig. Schwachstellen sind fester Bestandteil der Digitalisierung, das muss man akzeptieren. Die Entwicklung ist derart rasant und umfangreich, dass es immer zu Sicherheitslücken kommen wird. Nicht nur Unternehmensprozesse, sondern Produkte und Services an sich werden zunehmend virtualisiert. Durch DSGVO und andere Vorgaben fokussieren sich viele IT-Verantwortliche auf den Schutz von Daten, vergessen dabei aber, dass Schwachstellen in jedem Stück Hard- oder Software lauern können. Daher wird das Thema Schwachstellen-Management oft nicht ausreichend bedacht.
Meldepflicht kommt
Niemand gibt gerne Sicherheitsprobleme zu, allerdings stehen Unternehmen in genau jener Verantwortung. Durch die Datenschutzgrundverordnung (DSGVO) müssen ab dem kommenden Jahr Verluste von persönlichen Daten an das BSI gemeldet werden, außerdem gilt eine Informationspflicht der Betroffenen. Bei Sicherheitsvorfällen von Betreibern von Kritischer Infrastruktur (KRITIS) greift zudem das IT-Sicherheitsgesetz – auch hier gibt es eine Meldepflicht.
Dies alles dient dem Schutz der Bürgerinnen und Bürger sowie der Aufrechterhaltung von vitalen Grundfunktionen von Staat und Wirtschaft. Klar wird auch, dass sich die Bedrohungslage geändert hat. Laut des BSI-Berichts zur Lage der IT-Sicherheit wurden allein von Januar bis Mai 2017 wurden rund 280.000 neue Schadprogrammvarianten pro Tag beobachtet – den Cyber-Kriminellen mangelt es nicht an Werkzeugen.
Zudem leben wir im Zeitalter der Digitalisierung: Privatleben und Businessprozesse spielen sich immer stärker im virtuellen Raum ab. Daher drehen sich viele Fragen häufig um die Gültigkeit von bestehenden Eigentums- und Persönlichkeitsrechten bei digitalen Assets. Dieser Fokus ist etwas einseitig, denn Cyber-Attacken richten sich nicht nur auf Informationen in Unternehmensnetzwerken, sondern auf deren Produkt selbst.
Wettbewerbsdruck
Digitalisierung bedeutet vor allem Wettbewerb. Durch digitale Ökosysteme werden Branchen umgekrempelt. Disruptive Technologien schaffen neue Märkte, ändern Konsumverhalten und sogar ganze Kulturen. Worte wie „Netflix“, „Googlen“, oder „Skypen“ kennt jeder, genauso wie die Marken dahinter. Firmen wie Facebook, WhatsApp, Uber oder AirBnB sind jung, starteten meistens mit einer einzigen Idee und wuchsen mit solch extremer Geschwindigkeit, dass sie heute zu den wertvollsten Marken der Welt gehören. Dies war nur möglich, weil sie ihre Innovation in ein digitales Ökosystem einbetten können.
Diese Integration ist eine Schlüsselherausforderung in fast jeder Branche: Egal, ob etablierter deutscher Mittelständler, globales Großunternehmen oder ein kleines Start-up – alle müssen ihre Produkte digitalisieren. Die Benutzer erwarten heute, dass Angebote und Services über Homepages und Apps buchbar sind. Zudem wird eine bequeme und informative „Customer Journey“ erwartet: Erfahrungsberichte, personalisiere Angebote, Echtzeit-Updates über Lieferzeiten sowie Bestellstatus und flexible Bezahlmethoden sind in vielen Branchen Standard. Solche Prozesse brauchen genaue Abstimmung untereinander und Softwarecode von vielen unterschiedlichen Akteuren, der sich nahtlos in das Ökosystem einfügt.
Und genau in Bezug zu diesem Punkt kommt das Thema Schwachstellen-Management oft zu kurz. IT-Verantwortliche arbeiten an der Modernisierung ihrer Unternehmen und erkennen die neue Gefahrenlage, vergessen aber häufig, dass sie nicht nur ihre Netzwerke und Systeme schützen müssen, sondern auch ihre Produkte an sich. Das Risiko ist hoch, dass bei der großen Menge an Beteiligten und dem Wettbewerbsdruck keine ausreichenden Sicherheitsmechanismen integriert wurden und neue Angriffsvektoren entstehen.
Attacken als Teil des Alltags
Daher kommt es einerseits zu immer mehr sogenannte Zero-Day-Schwachstellen. Solche Schwachpunkte können zum Zeitpunkt des Angriffs noch nicht geschlossen werden, da noch kein Patch vorhanden ist. Das BSI erkennt im Lagebericht ein deutliches Wachstum: 2016 wurden über 120 Schwachstellen in verschiedenen Komponenten oder Software für industrielle Anwendungen öffentlich gemacht. In den ersten sechs Monaten 2017 waren es bereits 110.
Anderseits bleiben immer wieder bekannte Schwachstellen ungepatcht. Speziell, wenn Unternehmen ihr Angebot digitalisieren, verzögert sich oft das Ausrollen von wichtigen Patches, oder einzelne Subsysteme werden einfach übersehen und erhalten nicht die nötigen Updates. Cyber-Kriminellen fällt es dann relativ leicht, das schwächste Glied in der Kette zu finden.
Die einfachste Vorkehrungsmaßnahme besteht darin, alle Systeme immer auf dem neuesten Stand zu halten. Bei Microsoft-Betriebssystemen heißt das, Windows 7, 8.1 oder 10 sowie den Internet Explorer 11 oder Edge zu nutzen. Zusätzlich sollte man hier dem monatlichen „Patch Tuesday“ folgen, möglichst mit maximal einer Woche Verzögerung. Die Einspielung und Prüfung der Updates muss über alle Systeme und Netzwerksegmente erfolgen – inklusive aller Endpunkte und involvierten Partner wie Dienstleister und Cloud-Applikationen. Schnelles Patchen hat einen Anfangsaufwand, um auf die neusten Versionen von Software umzustellen, aber dann ist es relativ einfach, das aktuellste Niveau einzuhalten. Es gibt viele Firmen, die aussagen, dass sie weniger Support brauchen, nachdem sie die Umstellung durchgeführt haben.
Bei Problemen in den eigenen Produkten oder selbst geschriebener Software sollte man sich an Responsible-Disclosure-Vereinbarung halten. Das BSI spricht von einer Veröffentlichungsfrist von 90 Tagen, bevor man die Schwachstelle öffentlich kommuniziert. Auch für Medien und Entdecker außerhalb des betroffenen Unternehmens gilt diese Vorgabe, ansonsten droht Gefahr für die Nutzer. Das BSI sieht ein solches Vorgehen als guten Kompromiss: „Der Finder einer Schwachstelle vermeidet das Risiko, für die Ausnutzung der Schwachstelle mitverantwortlich gemacht zu werden, der Hersteller der Software kann in einer angemessenen Zeit den Fehler analysieren und beheben und der Nutzer kann davon ausgehen, dass der Hersteller nicht unbegrenzt lange die Verfügbarkeit eines Patches herauszögern kann."
Trotzdem kann der Finder eine Belohnung in Form einer Bug-Bounty-Prämie erhalten. Zudem sollte das betroffene Unternehmen bedenken, dass es neben dem Wissen um den Schwachpunkt eventuell beim Entdecker weiteres Know-how zur Beseitigung bekommen kann. Experten helfen sowohl bei der Vorsorge und dem Erkennen von Schwachstellen als auch bei deren Beseitigung.
Jörg Vollmer
ist Country Manager DACH bei Qualys.
Hier geht es zu Qualys