computerwoche.de

Security

Mit Blick fürs Ganze gegen Schwachstellen

20.12.2006
Von Katharina Friedmann

Ganzheitlicher Ansatz

Mit punktuellen Projekten lässt sich angesichts immer komplexerer Netze und sich wandelnder Bedrohungsszenarien allerdings wenig ausrichten. Ein den heutigen Gegebenheiten angemessenes Schwachstellen-Management erfordert einen ganzheitlichen Ansatz. So definiert Gartner VM als "ein Set ineinander greifender Policies, Prozesse und Techniken, die es ermöglichen, eine Sicherheitsgrundkonfiguration im Unternehmen zu etablieren und zu erhalten".

"Der Umgang mit Schwachstellen ist nicht auf Patch-Management oder rein technische Scan-Ergebnisse zu reduzieren", bringt es Stefan Strobel, Geschäftsführer des auf IT-Sicherheit spezialisierten Beratungsunternehmens Cirosec, auf den Punkt. Vielmehr sei VM als eigenständiger, fortwährender Prozess zu verstehen - angefangen bei der Ermittlung von Schwachstellen über die Bewertung der Verwundbarkeiten bis hin zu ihrer schnellen und nachhaltigen Behebung. Unternehmen, die einen solchen Ablauf implementiert haben, erleiden nach Einschätzung der Gartner-Auguren zu rund 90 Prozent weniger (erfolgreiche) Attacken als Organisationen, die etwa lediglich in Intrusion-Detection-Systeme investiert haben.

An den Aufgaben scheiden sich allerdings die Geister: Während die einen etwa die Inventarisierung der IT-Systeme dem Thema Asset-Management zuordnen, ist dies für andere Bestandteil des Verwundbarkeits-Managements. Für die begriffliche Unschärfe sorgen nicht zuletzt die Hersteller. "Gerade die Anbieter von Tools zur Erfassung von Schwachstellen wie Symantec, McAfee, ISS, Qualys oder Cisco definieren VM so, dass ihre Produkte genau dazu passen", kommentiert Berater Strobel.

Zumindest die Beraterzunft ist sich über die einzelnen Phasen, die es im Rahmen des Verwundbarkeits-Managements zu durchlaufen gilt, weitgehend einig:

  • Asset-Inventarisierung: Unternehmen müssen zunächst sämtliche IT-Ressourcen erfassen und die Komponenten anschließend nach ihrer Bedeutung für das Business klassifizieren.

  • Schwachstellenerfassung: Dann gilt es zu ermitteln, wo die IT verwundbar ist.

  • Priorisierung: Im nächsten Schritt ist den einzelnen Sicherheitslücken nach ihrer geschäftlichen Bedeutung eine Dringlichkeitsstufe zuzuweisen.

  • Schwachstellenbeseitigung: Die identifizierten Schwachstellen müssen behoben werden.

  • Verifizierung: Schließlich gilt es, Patches und Workarounds zu überprüfen, um sicherzustellen, dass die Lücken auch ordnungsgemäß geschlossen wurden.

Auch Verwundbarkeiten auf Prozessebene müssen ermittelt, bewertet und korrigiert werden. Daher fällt für Berater Strobel das Thema Security-Audits ebenfalls in den Bereich des Schwachstellen-Managements. "Konsequenterweise müsste sich ein Unternehmen alle zwei bis drei Monate überprüfen lassen, was natürlich wenig praktikabel ist", so der Consultant.