Von CW-Redakteurin Katharina Friedmann

Schwachstellen in der IT-Infrastruktur können viele Ursachen haben: Durch Fehler im Softwaredesign, falsche Konfigurationen sowie ungepatchte oder unautorisierte Systeme entstehen Sicherheitslücken. Aber auch fehlgerichtete Security-Richtlinien oder mangelndes Sicherheitsbewusstsein der Mitarbeiter erhöhen die Anfälligkeit einer Organisation für Angriffe von innen wie außen. Schwachstellen können demnach nicht nur auf technischer, sondern auch auf prozessualer wie organisatorischer Ebene auftreten und es Übeltätern ermöglichen, großen Schaden anzurichten. So beziffert die amerikanische Bundespolizei FBI die durch Cyber-Attacken verursachten Kosten allein für US-Unternehmen auf rund 67 Milliarden Dollar pro Jahr.

VM erfordert Risikoanalyse

Um den Bedrohungen schon vorbeugend entgegenwirken zu können, müssen Unternehmen einen Gesamtüberblick über die Verwundbarkeiten der eigenen IT-Infrastruktur haben. Vor rund fünf Jahren, als sich der Umgang mit Schwachstellen primär auf Sicherheitslücken in Server-Applikationen beschränkte, war das im Fachjargon als "Vulnerability-Management" (VM) bezeichnete Aufgabenpaket noch halbwegs übersichtlich: "Im Wesentlichen ging es darum, die Systeme im Netz sowie die darin befindlichen Lecks zu identifizieren und dann zu stopfen", erinnert Gerhard Eschelbeck, CTO und Senior Vice President of Engineering bei Webroot Software, an die Frühphase des VM.

Seither hat sich das VM stark in Richtung Risiko-Management entwickelt: "Es gibt mittlerweile zu viele Sicherheitsprobleme, um alle zu beheben", erklärt der Experte. Aus zeitlichen wie wirtschaftlichen Gründen sei heute eine Risikoanalyse notwendig, um die Systeme und die darin ermittelten Schwachstellen nach ihrem Wert für das Business beziehungsweise ihren Auswirkungen auf wesentliche Geschäftsprozesse ordnen zu können.

Ganzheitlicher Ansatz

Mit punktuellen Projekten lässt sich angesichts immer komplexerer Netze und sich wandelnder Bedrohungsszenarien allerdings wenig ausrichten. Ein den heutigen Gegebenheiten angemessenes Schwachstellen-Management erfordert einen ganzheitlichen Ansatz. So definiert Gartner VM als "ein Set ineinander greifender Policies, Prozesse und Techniken, die es ermöglichen, eine Sicherheitsgrundkonfiguration im Unternehmen zu etablieren und zu erhalten".

"Der Umgang mit Schwachstellen ist nicht auf Patch-Management oder rein technische Scan-Ergebnisse zu reduzieren", bringt es Stefan Strobel, Geschäftsführer des auf IT-Sicherheit spezialisierten Beratungsunternehmens Cirosec, auf den Punkt. Vielmehr sei VM als eigenständiger, fortwährender Prozess zu verstehen - angefangen bei der Ermittlung von Schwachstellen über die Bewertung der Verwundbarkeiten bis hin zu ihrer schnellen und nachhaltigen Behebung. Unternehmen, die einen solchen Ablauf implementiert haben, erleiden nach Einschätzung der Gartner-Auguren zu rund 90 Prozent weniger (erfolgreiche) Attacken als Organisationen, die etwa lediglich in Intrusion-Detection-Systeme investiert haben.

An den Aufgaben scheiden sich allerdings die Geister: Während die einen etwa die Inventarisierung der IT-Systeme dem Thema Asset-Management zuordnen, ist dies für andere Bestandteil des Verwundbarkeits-Managements. Für die begriffliche Unschärfe sorgen nicht zuletzt die Hersteller. "Gerade die Anbieter von Tools zur Erfassung von Schwachstellen wie Symantec, McAfee, ISS, Qualys oder Cisco definieren VM so, dass ihre Produkte genau dazu passen", kommentiert Berater Strobel.

Zumindest die Beraterzunft ist sich über die einzelnen Phasen, die es im Rahmen des Verwundbarkeits-Managements zu durchlaufen gilt, weitgehend einig:

• Asset-Inventarisierung: Unternehmen müssen zunächst sämtliche IT-Ressourcen erfassen und die Komponenten anschließend nach ihrer Bedeutung für das Business klassifizieren.

• Schwachstellenerfassung: Dann gilt es zu ermitteln, wo die IT verwundbar ist.

• Priorisierung: Im nächsten Schritt ist den einzelnen Sicherheitslücken nach ihrer geschäftlichen Bedeutung eine Dringlichkeitsstufe zuzuweisen.

• Schwachstellenbeseitigung: Die identifizierten Schwachstellen müssen behoben werden.

• Verifizierung: Schließlich gilt es, Patches und Workarounds zu überprüfen, um sicherzustellen, dass die Lücken auch ordnungsgemäß geschlossen wurden.

Auch Verwundbarkeiten auf Prozessebene müssen ermittelt, bewertet und korrigiert werden. Daher fällt für Berater Strobel das Thema Security-Audits ebenfalls in den Bereich des Schwachstellen-Managements. "Konsequenterweise müsste sich ein Unternehmen alle zwei bis drei Monate überprüfen lassen, was natürlich wenig praktikabel ist", so der Consultant.

Einmal im Jahr reicht nicht

Experten erachten den beschriebenen VM-Zyklus allerdings nur dann als sinnvoll, wenn er in nicht allzu großen Intervallen wiederholt wird. "Eine jährliche oder vierteljährliche Bewertung stellt lediglich eine Momentaufnahme der Sicherheitssituation zu einem bestimmten Zeitpunkt dar und liefert keine Übersicht über die sich rapide verändernde Sicherheitslage eines Unternehmens", gibt Matthias Rosche, Director Consulting bei Integralis, zu bedenken. Berater Strobel erachtet den VM-Prozess sogar nur dann als wirklich sinnvoll, wenn er im Wochenrhythmus Ergebnisse hervorbringt und damit ein zeitnahes Reagieren ermöglicht. Nach Erfahrungen von Webroot-Manager Eschelbeck reicht allerdings ein quartalsweiser Durchlauf: "Das ergibt ein gutes Verhältnis zwischen Arbeitsaufwand und Schutzfaktor."

Ohne Unterstützung spezialisierter Werkzeuge sind die mit dem Schwachstellen-Management verbundenen Aufgaben allerdings kaum zu stemmen. "Je automatisierter und schneller der VM-Prozess durchläuft, desto eher profitieren Unternehmen davon", führt Strobel ein weiteres Argument für den Tool-Einsatz an. Die heute verfügbaren Lösungen decken allerdings lediglich Teilaspekte ab.

Was zu automatisieren ist

Am ehesten lässt sich die Erfassung der Schwachstellen automatisieren. Demnach werden für diesen Bereich auch die meisten Werkzeuge angeboten: Zum einen ist dies eine Vielzahl von Vulnerability-Scannern, die im Firmennetz befindliche Systeme anhand einer Datenbank auf gängige Sicherheitslücken abklopfen und Administratoren mittels Reports auf erforderliche Verbesserungen hinweisen. Produkte einer weiteren Kategorie, die so genannten agentenbasierenden Systeme, überprüfen Endgeräte auf lokale Schwachstellen wie fehlende Patches und Fehlkonfigurationen, monieren aber auch Abweichungen von den firmeneigenen Standards oder Policies. Bei den Passive-Fingerprinting-basierenden Lösungen wiederum, einer dritten Tool-Gattung für diesen VM-Bereich, handelt es sich um im Netz platzierte Sensoren, die Schwachstellen ermitteln, indem sie den Datenverkehr mitlesen.

Schwachstellenbewertung

Neben der Identifizierung von Schwachstellen lässt sich auch deren Beseitigung beziehungsweise das Patch-Management nahezu vollständig automatisieren. Anders sieht es mit der Bewertung der Sicherheitslücken aus: Die erklärte Kerndisziplin des Verwundbarkeits-Managements muss weitgehend ohne Werkzeuge auskommen. Experten zufolge besteht die größte Herausforderung darin, aus den langen, von den Vulnerability-Scannern generierten Schwachstellenlisten die jeweils dringlichsten Lücken herauszufiltern. "Zwar liefern die Scanner Anhaltspunkte, wie kritisch die einzelnen Verwundbarkeiten sind, allerdings basiert diese Einschätzung primär darauf, wie einfach eine Lücke auszunutzen ist", moniert Strobel. Für eine tiefer gehende Bewertung im Unternehmenskontext - etwa in welchem Netz sich eine Verwundbarkeit befindet, welche Relevanz sie für einen Geschäftsprozess hat beziehungsweise welche Kette von Einbrüchen sie ermöglicht - fehlten den Scan-Tools die erforderlichen Eingangsgrößen.

Security-Risk-Management-Lösungen (SRM) wie beispielsweise die "Skybox View Suite" von Skybox Security sind nach Einschätzung des Cirosec-Beraters am ehesten dazu in der Lage, den Bezug zu den unternehmensspezifischen Gegebenheiten automatisiert herzustellen: Die Software sammelt Informationen wie etwa Ergebnisse von Asset- beziehungsweise Schwachstellen-Scannern, simuliert theoretische Angriffe unter Berücksichtigung von Firewalls, Netzverbindungen und Business-Applikationen, um die Probleme mit der für die Organisation größten Tragweite zu ermitteln - und stellt die Ergebnisse grafisch dar.

In der deutschen Firmenlandschaft steckt das ganzheitliche VM offenbar noch weitgehend in den Kinderschuhen. Laut Integralis-Consultant Rosche wird vor allem der mit der VM-Einführung einhergehende Integrationsaufwand in vorhandene Prozesse und Strukturen erheblich unterschätzt. "Die Unternehmen gehen davon aus, dass mit dem Kauf eines Tools alles getan ist", kritisiert er. Viele Firmen seien nicht dazu in der Lage, ein umfassendes VM einzuführen, da sie ihre internen Prozess noch nicht darauf vorbereitet hätten. Ein häufiger Fehler ist entsprechend der Versuch, die Organisation einem VM-Tool anzupassen. "Das ist der falsche Weg - und geht häufig daneben", so Rosche.

Auch nach Beobachtungen des auf IT-Sicherheit spezialisierten Beratungsunternehmens Secaron weist das derzeit praktizierte VM vor allem organisatorische Defizite auf. "Was fehlt, sind die zusammenfassenden Konzepte, sprich: der Mittelbau zwischen den übergeordneten Security-Policies und der technischen Umsetzung", fasst Udo Adlmanninger, Senior Consultant und Partner bei der Secaron AG, zusammen.