von Redaktion IT-A…
Lesezeit
2 Minuten
Schwachstellenscans aufsetzen und auswerten
Selbst ein solides Patch-Management schließt nicht alle Lücken zuverlässig. Ein professionelles und systematisches Schwachstellen-Management kann hier wertvolle Dienste leisten. Doch wie aufwändig ist es, dieses im Unternehmen zu etablieren? Der Artikel erläutert die wichtigsten Punkte zum Thema – von der Klärung der Startbedingungen und Verantwortlichkeiten über den Einsatz von Schwachstellenscannern, Safe-Checks und Credentialed Scans bis hin zur sinnvollen Auswertung der Ergebnisse.
IT-Infrastrukturen in Unternehmen sind komplexe, sich ständig ändernde Gebilde, mit Auswüchsen bis ins Private der Nutzer, mit verkümmerten Enden und versteckten Einfallstoren. IT-Administratoren tun einiges, um die Systeme aktuell und sicher zu halten: vom Firewalling über das Einspielen von Patches und Updates bis hin zu ausgeklügelten Autorisierungskonzepten. Trotzdem bleiben Lücken.
Das kann verschiedene Gründe haben: Manche Teile der IT-Infrastruktur entziehen sich beispielsweise der vollen Kontrolle der Administratoren, weil sie bei einem Dienstleister gehostet und von diesem gemanagt werden. Oder die Software-Hersteller lassen sich zu viel Zeit, um Updates auszuliefern. Hin und wieder sind die Patches auch fehlerhaft und flicken die vorhandenen Löcher nur unzureichend. Und dann wären da noch die hochsensiblen, geschäftskritischen Systeme im Unternehmen, bei denen jeder Admin zweimal überlegt, bevor er irgendetwas ändert – und sei es nur die Version einer installierten Software. Zudem gibt es immer wieder Systeme, die unbemerkt durch den Patchmanagement-Prozess rutschen: Systeme etwa, die gar nicht auf der Domäne laufen sollen oder aber solche, bei denen Updates fehlerhaft eingespielt, sie aber im WSUS (Windows Server Update Services) als gepatcht markiert wurden.
Am Anfang war der Test
Ein probates Mittel, um die Unternehmens-IT gegen unerwünschte Besucher abzusichern, sind Penetrationstests. Dabei werden Hackerangriffe simuliert, um die Verletzlichkeit des Systems zu prüfen. Die Ergebnisse, die Pentests liefern, sind valide und sehr nützlich. Dennoch können sie kaum jede Unzulänglichkeit aufspüren, da es kaum möglich ist, alle erdenklichen Angriffsszenarien und wirklich alle Systeme durchzuspielen. Zudem sind Pentests aufwändig und damit kostenintensiv. Und zumeist lassen sich eben jene Lücken einfacher und schneller aufspüren: mit einem Schwachstellenscan.
Der Haken gleich vorab: Ein einmaliger Schwachstellenscan ist zwar durchaus hilfreich, bleibt aber weit hinter seinen Möglichkeiten zurück. Ein punktueller Schwachstellen-Audit kann immerhin den Zustand des Netzwerks erheben und den möglichen Handlungsbedarf aufzeigen. Doch der Wert der Ergebnisse ist nur von kurzer Dauer. Die IT-Landschaft ist dank monatlicher Patchdays, ständig neu aufgesetzten Servern und Clients sowie Virtualisierung zu schnelllebig. Mag ein Server in 15 Minuten neu aufgesetzt sein, abgesichert ist er dann noch lange nicht.
Werden Schwachstellenscans aber regelmäßig durchgeführt, erlangen die detaillierten, teils schwierig zu interpretierenden Ergebnisse eine große Bedeutung für die IT-Sicherheit. Das ist die Basis eines wirksamen Schwachstellen-Managements.
Schwachstellenscans aufsetzen
Die Durchführung von Schwachstellenscans bedarf einiger Vorbereitung. Während des Scans wird teils beachtlicher Netzwerk-Traffic erzeugt, der manchen Systemen und Anwendungen zu schaffen machen kann. So sind in Produktionssystemen beispielsweise die an die IT-Infrastruktur angebundenen hochspezialisierten Devices für Traffic-Peaks schlicht nicht ausgelegt. Aber auch bei normalen Endgeräten kann die zusätzliche Netzwerkbelastung schon einmal zu Delays führen. Darüber hinaus erwecken Schwachstellenscans bei Firewalls, Intrusion Detection oder anderen Monitoring-Systemen schnell den Eindruck eines Angriffs. Wissen die Verantwortlichen nicht, dass ein Scan stattfindet, werden die zahlreich produzierten Logs und Fehlalarme möglicherweise falsch interpretiert. Dann ist es zwar gut zu wissen, dass die Security-Systeme bei Unregelmäßigkeiten zwar anschlagen, der Schwachstellenscan führt so aber nicht zu verwertbaren Ergebnissen.
Vorab sollten deshalb die Rahmenbedingungen umfassend geklärt sein. Dazu gehört die Kategorisierung der IT-Infrastruktur in sensible und weniger kritische Bereiche ebenso, wie die Frage, wann das geeignete Wartungszeitfenster ist und wer alles über den bevorstehenden Scan informiert sowie in den Prozess einbezogen werden muss. Gerade bei komplexeren Umgebungen wird hier oft zu kurz gedacht. Von einem Schwachstellenscan sind – und das ist ja schließlich auch der Sinn der Sache – weite Teile der IT betroffen, Server und Clients ebenso wie Security-Systeme und angedockte Subsysteme. Im Prinzip gehören alle IT-Verantwortlichen ins Team. Sind Teile der Infrastruktur extern gehostet, etwa als Cloud-Lösung, ist die Abstimmung mit dem Dienstleister notwendig. Auf Shared-Plattformen, auf denen gleichzeitig die Daten anderer Kunden gehostet werden, wird ein Scan wahrscheinlich nicht möglich sein. Hier kann allerdings der Plattform-Anbieter in die IT-Security-Pflicht genommen werden.
Seite 1: Schwachstellenscans aufsetzen
Seite 2: Ergebnisse richtig interpretieren
ln/Sebastian Brabetz, IT Security Engineer bei mod IT Services
Das kann verschiedene Gründe haben: Manche Teile der IT-Infrastruktur entziehen sich beispielsweise der vollen Kontrolle der Administratoren, weil sie bei einem Dienstleister gehostet und von diesem gemanagt werden. Oder die Software-Hersteller lassen sich zu viel Zeit, um Updates auszuliefern. Hin und wieder sind die Patches auch fehlerhaft und flicken die vorhandenen Löcher nur unzureichend. Und dann wären da noch die hochsensiblen, geschäftskritischen Systeme im Unternehmen, bei denen jeder Admin zweimal überlegt, bevor er irgendetwas ändert – und sei es nur die Version einer installierten Software. Zudem gibt es immer wieder Systeme, die unbemerkt durch den Patchmanagement-Prozess rutschen: Systeme etwa, die gar nicht auf der Domäne laufen sollen oder aber solche, bei denen Updates fehlerhaft eingespielt, sie aber im WSUS (Windows Server Update Services) als gepatcht markiert wurden.
Am Anfang war der Test
Ein probates Mittel, um die Unternehmens-IT gegen unerwünschte Besucher abzusichern, sind Penetrationstests. Dabei werden Hackerangriffe simuliert, um die Verletzlichkeit des Systems zu prüfen. Die Ergebnisse, die Pentests liefern, sind valide und sehr nützlich. Dennoch können sie kaum jede Unzulänglichkeit aufspüren, da es kaum möglich ist, alle erdenklichen Angriffsszenarien und wirklich alle Systeme durchzuspielen. Zudem sind Pentests aufwändig und damit kostenintensiv. Und zumeist lassen sich eben jene Lücken einfacher und schneller aufspüren: mit einem Schwachstellenscan.
Der Haken gleich vorab: Ein einmaliger Schwachstellenscan ist zwar durchaus hilfreich, bleibt aber weit hinter seinen Möglichkeiten zurück. Ein punktueller Schwachstellen-Audit kann immerhin den Zustand des Netzwerks erheben und den möglichen Handlungsbedarf aufzeigen. Doch der Wert der Ergebnisse ist nur von kurzer Dauer. Die IT-Landschaft ist dank monatlicher Patchdays, ständig neu aufgesetzten Servern und Clients sowie Virtualisierung zu schnelllebig. Mag ein Server in 15 Minuten neu aufgesetzt sein, abgesichert ist er dann noch lange nicht.
Werden Schwachstellenscans aber regelmäßig durchgeführt, erlangen die detaillierten, teils schwierig zu interpretierenden Ergebnisse eine große Bedeutung für die IT-Sicherheit. Das ist die Basis eines wirksamen Schwachstellen-Managements.
Schwachstellenscans aufsetzen
Die Durchführung von Schwachstellenscans bedarf einiger Vorbereitung. Während des Scans wird teils beachtlicher Netzwerk-Traffic erzeugt, der manchen Systemen und Anwendungen zu schaffen machen kann. So sind in Produktionssystemen beispielsweise die an die IT-Infrastruktur angebundenen hochspezialisierten Devices für Traffic-Peaks schlicht nicht ausgelegt. Aber auch bei normalen Endgeräten kann die zusätzliche Netzwerkbelastung schon einmal zu Delays führen. Darüber hinaus erwecken Schwachstellenscans bei Firewalls, Intrusion Detection oder anderen Monitoring-Systemen schnell den Eindruck eines Angriffs. Wissen die Verantwortlichen nicht, dass ein Scan stattfindet, werden die zahlreich produzierten Logs und Fehlalarme möglicherweise falsch interpretiert. Dann ist es zwar gut zu wissen, dass die Security-Systeme bei Unregelmäßigkeiten zwar anschlagen, der Schwachstellenscan führt so aber nicht zu verwertbaren Ergebnissen.
Vorab sollten deshalb die Rahmenbedingungen umfassend geklärt sein. Dazu gehört die Kategorisierung der IT-Infrastruktur in sensible und weniger kritische Bereiche ebenso, wie die Frage, wann das geeignete Wartungszeitfenster ist und wer alles über den bevorstehenden Scan informiert sowie in den Prozess einbezogen werden muss. Gerade bei komplexeren Umgebungen wird hier oft zu kurz gedacht. Von einem Schwachstellenscan sind – und das ist ja schließlich auch der Sinn der Sache – weite Teile der IT betroffen, Server und Clients ebenso wie Security-Systeme und angedockte Subsysteme. Im Prinzip gehören alle IT-Verantwortlichen ins Team. Sind Teile der Infrastruktur extern gehostet, etwa als Cloud-Lösung, ist die Abstimmung mit dem Dienstleister notwendig. Auf Shared-Plattformen, auf denen gleichzeitig die Daten anderer Kunden gehostet werden, wird ein Scan wahrscheinlich nicht möglich sein. Hier kann allerdings der Plattform-Anbieter in die IT-Security-Pflicht genommen werden.
Seite 1: Schwachstellenscans aufsetzen
Seite 2: Ergebnisse richtig interpretieren
| Seite 1 von 2 | Nächste Seite >> |
ln/Sebastian Brabetz, IT Security Engineer bei mod IT Services
