Was ist Schwachstellen- Management?

Sprectre, WannaCry, Ransomware und viele andere Bedrohungsszenarien sind zwar wieder aus der breiten Öffentlichkeit verschwunden, sie bleiben aber virulent. Das bedeutet, das die Anstrengungen, Netzwerke sicher zu machen, nicht nachlassen dürfen.

Denn

  • Wir wissen nicht wann, wie und wo wir angegriffen werden. Wir wissen, dass wir angegriffen werden.
  • Wir wissen auch nicht, vom wem wir angegriffen werden. Wir möchten gerne glauben, dass alle Angriffe von außen, also aus dem Internet kommen. Sicher ist das nicht.
  • Tatsache ist vielmehr, das eine große Anzahl von Angriffen aus internen Quellen kommen.
  • Die externen Angriffe werden immer professioneller; Bei Botnetzen angefangen bis zu gezielten Angriffen auf bestimmte Infrastrukturen und Unternehmen.

Deshalb hilft es nicht alle Kommunikationskanäle von außen nach innen zu härten und intern alles beim Alten lassen. Vielmehr muss man u.a. die Schwachstellen innerhalb der eigenen Umgebung strukturiert und gezielt erkennen und eliminieren.

Das die Sicherheit der Unternehmensdaten wie beispielsweise das – oft hart erarbeitete – Produkt- und Prozess-Wissen ein wichtiges Gut ist, hat sogar die Politik begriffen: Die mittlerweile in Kraft getretenen Gesetzesinitiativen „Kritische Infrastrukturen“ KRITIS und die „Datenschutz Grundverordnung“ DSVGO beweisen das. Beide Gesetze verpflichten Unternehmen zum Einen, Ihre Infrastrukturen soweit zu sichern, das der Zugriff und die Manipulation von (Personen-) Informationen möglichst nicht stattfinden kann, zum Anderen jederzeit gegenüber den Informations- Besitzer auskunfts- und handlungsfähig zu sein.

Schwachstellen- Management ist hier einer der wichtigsten Teile einer Sicherheitsstrategie für Unternehmen. Sie kann bereits im Vorfeld dafür sorgen, Angriffsflächen zu minimieren.

Schwachstellen Management ist vergleichbar mit der passiven Sicherheit eines Automobils: Hier wie da wird im Vorfeld alles getan, um im Erlebensfalle keinen oder nur einen geringen Schaden eintreten zu lassen. Damit hat es sich aber auch mit den Gemeinsamkeiten.

Alle Systeme, die mit Software betrieben werden – und damit meine ich wirklich Alle – sind nicht ohne Fehler in der Programmierung und / oder in der Konfiguration. Das zeigen beispielsweise die Diskussionen über Meltdown und Spectre.

Wenn man die Anforderungen mit der Entwicklung der Sicherheit im Automobilbau gleichsetzt, wird die Dimension der Aufgaben sichtbar. Hier wie da vergeht viel Zeit die Ansprüche in allen Belangen durchzusetzen.

Um Schwachstellen- Management in einem Unternehmen einzuführen, sollte es eine grundsätzliche Strategie geben. Wie anfangs erwähnt, muss ja jedes Teil, das, direkt oder indirekt in irgendeiner Form mit seiner Außenwelt kommuniziert, der permanenten Überwachung und der ggfs. notwendigen Beseitigung der Schwachstelle unterzogen werden. Dazu gehören alle Server- und Client Rechnersysteme, Fileserver und Datenbanken, Swiches, Router, Drucker, Scanner und, in der Spitze selbst Peripheriegeräte wie Funk- Mäuse und Bluetooth Geräte. Alles ist angreifbar.

Die Menge an verschiedenen Geräten in Verbindung mit verschiedenen Update- Methoden machen die Sache sehr aufwändig. Deshalb gilt der Ansatz, mit einem Teilbereich der IT zu beginnen und Schwachstellen-Management Schritt für Schritt auszubauen, als gegeben.

Neben verschiedenen Workshops zum Thema habe ich unter Anderem mit der ABSC GmbH in Aschheim, (LINK) einem gut befreundeten IT Dienstleistungsunternehmen für einen Kunden in München , der im öffentlichen Interesse steht, das Schwachstellen- Management Konzept erarbeitet und dem Maßnahmen-Katalog sowie den Evaluations – Fragenkatalog für die 6000 Windows Clients erarbeitet.

Gerne stelle ich Ihnen die Schwachstellen- Management Strategie vor und erarbeite mit Ihnen eine geeignete Vorgehensweise.