Schwachstellenbewertung
Neben der Identifizierung von Schwachstellen lässt sich auch deren Beseitigung beziehungsweise das Patch-Management nahezu vollständig automatisieren. Anders sieht es mit der Bewertung der Sicherheitslücken aus: Die erklärte Kerndisziplin des Verwundbarkeits-Managements muss weitgehend ohne Werkzeuge auskommen. Experten zufolge besteht die größte Herausforderung darin, aus den langen, von den Vulnerability-Scannern generierten Schwachstellenlisten die jeweils dringlichsten Lücken herauszufiltern. "Zwar liefern die Scanner Anhaltspunkte, wie kritisch die einzelnen Verwundbarkeiten sind, allerdings basiert diese Einschätzung primär darauf, wie einfach eine Lücke auszunutzen ist", moniert Strobel. Für eine tiefer gehende Bewertung im Unternehmenskontext - etwa in welchem Netz sich eine Verwundbarkeit befindet, welche Relevanz sie für einen Geschäftsprozess hat beziehungsweise welche Kette von Einbrüchen sie ermöglicht - fehlten den Scan-Tools die erforderlichen Eingangsgrößen.
Security-Risk-Management-Lösungen (SRM) wie beispielsweise die "Skybox View Suite" von Skybox Security sind nach Einschätzung des Cirosec-Beraters am ehesten dazu in der Lage, den Bezug zu den unternehmensspezifischen Gegebenheiten automatisiert herzustellen: Die Software sammelt Informationen wie etwa Ergebnisse von Asset- beziehungsweise Schwachstellen-Scannern, simuliert theoretische Angriffe unter Berücksichtigung von Firewalls, Netzverbindungen und Business-Applikationen, um die Probleme mit der für die Organisation größten Tragweite zu ermitteln - und stellt die Ergebnisse grafisch dar.
Die häufigsten Fehler beim VM
-
Verwundbarkeiten ermitteln, aber keine Maßnahmen ergreifen.
-
Vulnerability-Management mit Patch-Management gleichsetzen.
-
Schwachstellen-Management als rein technische Aufgabe missverstehen.
-
Sicherheitslücken isoliert und nicht im Gesamtkontext betrachten.
-
Auf Zero-Day-Exploits nicht vorbereitet sein, keinen Incident-Response-Plan vorhalten.
In der deutschen Firmenlandschaft steckt das ganzheitliche VM offenbar noch weitgehend in den Kinderschuhen. Laut Integralis-Consultant Rosche wird vor allem der mit der VM-Einführung einhergehende Integrationsaufwand in vorhandene Prozesse und Strukturen erheblich unterschätzt. "Die Unternehmen gehen davon aus, dass mit dem Kauf eines Tools alles getan ist", kritisiert er. Viele Firmen seien nicht dazu in der Lage, ein umfassendes VM einzuführen, da sie ihre internen Prozess noch nicht darauf vorbereitet hätten. Ein häufiger Fehler ist entsprechend der Versuch, die Organisation einem VM-Tool anzupassen. "Das ist der falsche Weg - und geht häufig daneben", so Rosche.
Auch nach Beobachtungen des auf IT-Sicherheit spezialisierten Beratungsunternehmens Secaron weist das derzeit praktizierte VM vor allem organisatorische Defizite auf. "Was fehlt, sind die zusammenfassenden Konzepte, sprich: der Mittelbau zwischen den übergeordneten Security-Policies und der technischen Umsetzung", fasst Udo Adlmanninger, Senior Consultant und Partner bei der Secaron AG, zusammen.