Fachartikel

Schwachstellenscans aufsetzen und auswerten

Selbst ein solides Patch-Management schließt nicht alle Lücken zuverlässig. Ein professionelles und systematisches Schwachstellen-Management kann hier wertvolle Dienste leisten. Doch wie aufwändig ist es, dieses im Unternehmen zu etablieren? Der Artikel erläutert die wichtigsten Punkte zum Thema – von der Klärung der Startbedingungen und Verantwortlichkeiten über den Einsatz von Schwachstellenscannern, Safe-Checks und Credentialed Scans bis hin zur sinnvollen Auswertung der Ergebnisse.
Bei Schwachstellenscans unterziehen Sie Ihre IT-Landschaft einer genauen Risikoanalyse.
IT-Infrastrukturen in Unternehmen sind komplexe, sich ständig ändernde Gebilde, mit Auswüchsen bis ins Private der Nutzer, mit verkümmerten Enden und versteckten Einfallstoren. IT-Administratoren tun einiges, um die Systeme aktuell und sicher zu halten: vom Firewalling über das Einspielen von Patches und Updates bis hin zu ausgeklügelten Autorisierungskonzepten. Trotzdem bleiben Lücken.

Das kann verschiedene Gründe haben: Manche Teile der IT-Infrastruktur entziehen sich beispielsweise der vollen Kontrolle der Administratoren, weil sie bei einem Dienstleister gehostet und von diesem gemanagt werden. Oder die Software-Hersteller lassen sich zu viel Zeit, um Updates auszuliefern. Hin und wieder sind die Patches auch fehlerhaft und flicken die vorhandenen Löcher nur unzureichend. Und dann wären da noch die hochsensiblen, geschäftskritischen Systeme im Unternehmen, bei denen jeder Admin zweimal überlegt, bevor er irgendetwas ändert – und sei es nur die Version einer installierten Software. Zudem gibt es immer wieder Systeme, die unbemerkt durch den Patchmanagement-Prozess rutschen: Systeme etwa, die gar nicht auf der Domäne laufen sollen oder aber solche, bei denen Updates fehlerhaft eingespielt, sie aber im WSUS (Windows Server Update Services) als gepatcht markiert wurden.
Am Anfang war der Test
Ein probates Mittel, um die Unternehmens-IT gegen unerwünschte Besucher abzusichern, sind Penetrationstests. Dabei werden Hackerangriffe simuliert, um die Verletzlichkeit des Systems zu prüfen. Die Ergebnisse, die Pentests liefern, sind valide und sehr nützlich. Dennoch können sie kaum jede Unzulänglichkeit aufspüren, da es kaum möglich ist, alle erdenklichen Angriffsszenarien und wirklich alle Systeme durchzuspielen. Zudem sind Pentests aufwändig und damit kostenintensiv. Und zumeist lassen sich eben jene Lücken einfacher und schneller aufspüren: mit einem Schwachstellenscan.

Der Haken gleich vorab: Ein einmaliger Schwachstellenscan ist zwar durchaus hilfreich, bleibt aber weit hinter seinen Möglichkeiten zurück. Ein punktueller Schwachstellen-Audit kann immerhin den Zustand des Netzwerks erheben und den möglichen Handlungsbedarf aufzeigen. Doch der Wert der Ergebnisse ist nur von kurzer Dauer. Die IT-Landschaft ist dank monatlicher Patchdays, ständig neu aufgesetzten Servern und Clients sowie Virtualisierung zu schnelllebig. Mag ein Server in 15 Minuten neu aufgesetzt sein, abgesichert ist er dann noch lange nicht.

Werden Schwachstellenscans aber regelmäßig durchgeführt, erlangen die detaillierten, teils schwierig zu interpretierenden Ergebnisse eine große Bedeutung für die IT-Sicherheit. Das ist die Basis eines wirksamen Schwachstellen-Managements.

Schwachstellenscans aufsetzen
Die Durchführung von Schwachstellenscans bedarf einiger Vorbereitung. Während des Scans wird teils beachtlicher Netzwerk-Traffic erzeugt, der manchen Systemen und Anwendungen zu schaffen machen kann. So sind in Produktionssystemen beispielsweise die an die IT-Infrastruktur angebundenen hochspezialisierten Devices für Traffic-Peaks schlicht nicht ausgelegt. Aber auch bei normalen Endgeräten kann die zusätzliche Netzwerkbelastung schon einmal zu Delays führen. Darüber hinaus erwecken Schwachstellenscans bei Firewalls, Intrusion Detection oder anderen Monitoring-Systemen schnell den Eindruck eines Angriffs. Wissen die Verantwortlichen nicht, dass ein Scan stattfindet, werden die zahlreich produzierten Logs und Fehlalarme möglicherweise falsch interpretiert. Dann ist es zwar gut zu wissen, dass die Security-Systeme bei Unregelmäßigkeiten zwar anschlagen, der Schwachstellenscan führt so aber nicht zu verwertbaren Ergebnissen.

Vorab sollten deshalb die Rahmenbedingungen umfassend geklärt sein. Dazu gehört die Kategorisierung der IT-Infrastruktur in sensible und weniger kritische Bereiche ebenso, wie die Frage, wann das geeignete Wartungszeitfenster ist und wer alles über den bevorstehenden Scan informiert sowie in den Prozess einbezogen werden muss. Gerade bei komplexeren Umgebungen wird hier oft zu kurz gedacht. Von einem Schwachstellenscan sind – und das ist ja schließlich auch der Sinn der Sache – weite Teile der IT betroffen, Server und Clients ebenso wie Security-Systeme und angedockte Subsysteme. Im Prinzip gehören alle IT-Verantwortlichen ins Team. Sind Teile der Infrastruktur extern gehostet, etwa als Cloud-Lösung, ist die Abstimmung mit dem Dienstleister notwendig. Auf Shared-Plattformen, auf denen gleichzeitig die Daten anderer Kunden gehostet werden, wird ein Scan wahrscheinlich nicht möglich sein. Hier kann allerdings der Plattform-Anbieter in die IT-Security-Pflicht genommen werden.

    Seite 1: Schwachstellenscans aufsetzen
    Seite 2: Ergebnisse richtig interpretieren


Seite 1 von 2 Nächste Seite >>
28.09.2016/ln/Sebastian Brabetz, IT Security Engineer bei mod IT Services

Nachrichten

Hackern auf die Finger geschaut [1.02.2023]

Jamf hat eine Reihe neuer Updates für die speziell für macOS-Geräte entwickelte Sicherheitssoftware Jamf Protect vorgestellt. Dieses verfügt künftig über eine leistungsstärkere Telemetrie und einen Offlinemodus für nicht in der Cloud abgebildete Security-Workflows. [mehr]

Schneller ans Ziel [31.01.2023]

NetKnights bringt Version 3.8 der Multifaktor-Authentifizierungs-Software privacyIDEA auf den Markt. Mit der neuen Version können sich Benutzer mit dem Yubikey als Smartcard an Windows-Systemen anmelden. Ebenfalls an Bord ist ein flexibler Rollout-Mechanismus. [mehr]

Tipps & Tools

Jetzt vorbestellen: Sonderheft I/2023 "Cloud Security" [16.01.2023]

Der Gang in die Cloud bringt für Unternehmen ganz neue Anforderungen an die IT-Sicherheit mit sich. In unserem neuen Sonderheft Cloud Security zeigt das Autorenteam daher Wege auf, AWS, Azure, GCP und lokale Clouds vor unbefugten Zugriffen und Datenverlust zu schützen. Auf 180 Seiten stellt das Sonderheft praxisnahe Vorgehensweisen zur Absicherung von Infrastruktur, Applikationen und Identitäten vor. [mehr]

Online-Intensivseminar "Azure-Administration" [28.11.2022]

Das neue Intensivseminar "Azure-Administration" vermittelt an drei Tagen online, wie Sie Ihre Azure-Abonnements verwalten, Identitäten sichern, die Infrastruktur administrieren sowie virtuelle Netzwerke konfigurieren. Daneben zeigen wir, auf welchem Weg Sie Azure- und lokale Standorte richtig verbinden, den Netzwerkverkehr verwalten, Speicherlösungen implementieren, virtuelle Maschinen erstellen, Managed Services in Anspruch nehmen, Daten sichern und Ihre Umgebung überwachen. Sichern Sie sich rasch Ihren Platz für das Intensivseminar, das vom 29. bis zum 31. März 2023 stattfindet – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Anzeigen