Schwachstellenscans aufsetzen und auswerten

Lesezeit
2 Minuten
Bis jetzt gelesen

Schwachstellenscans aufsetzen und auswerten

28.09.2016 - 14:00
Veröffentlicht in:
Selbst ein solides Patch-Management schließt nicht alle Lücken zuverlässig. Ein professionelles und systematisches Schwachstellen-Management kann hier wertvolle Dienste leisten. Doch wie aufwändig ist es, dieses im Unternehmen zu etablieren? Der Artikel erläutert die wichtigsten Punkte zum Thema – von der Klärung der Startbedingungen und Verantwortlichkeiten über den Einsatz von Schwachstellenscannern, Safe-Checks und Credentialed Scans bis hin zur sinnvollen Auswertung der Ergebnisse.
IT-Infrastrukturen in Unternehmen sind komplexe, sich ständig ändernde Gebilde, mit Auswüchsen bis ins Private der Nutzer, mit verkümmerten Enden und versteckten Einfallstoren. IT-Administratoren tun einiges, um die Systeme aktuell und sicher zu halten: vom Firewalling über das Einspielen von Patches und Updates bis hin zu ausgeklügelten Autorisierungskonzepten. Trotzdem bleiben Lücken.

Das kann verschiedene Gründe haben: Manche Teile der IT-Infrastruktur entziehen sich beispielsweise der vollen Kontrolle der Administratoren, weil sie bei einem Dienstleister gehostet und von diesem gemanagt werden. Oder die Software-Hersteller lassen sich zu viel Zeit, um Updates auszuliefern. Hin und wieder sind die Patches auch fehlerhaft und flicken die vorhandenen Löcher nur unzureichend. Und dann wären da noch die hochsensiblen, geschäftskritischen Systeme im Unternehmen, bei denen jeder Admin zweimal überlegt, bevor er irgendetwas ändert – und sei es nur die Version einer installierten Software. Zudem gibt es immer wieder Systeme, die unbemerkt durch den Patchmanagement-Prozess rutschen: Systeme etwa, die gar nicht auf der Domäne laufen sollen oder aber solche, bei denen Updates fehlerhaft eingespielt, sie aber im WSUS (Windows Server Update Services) als gepatcht markiert wurden.

Am Anfang war der Test
Ein probates Mittel, um die Unternehmens-IT gegen unerwünschte Besucher abzusichern, sind Penetrationstests. Dabei werden Hackerangriffe simuliert, um die Verletzlichkeit des Systems zu prüfen. Die Ergebnisse, die Pentests liefern, sind valide und sehr nützlich. Dennoch können sie kaum jede Unzulänglichkeit aufspüren, da es kaum möglich ist, alle erdenklichen Angriffsszenarien und wirklich alle Systeme durchzuspielen. Zudem sind Pentests aufwändig und damit kostenintensiv. Und zumeist lassen sich eben jene Lücken einfacher und schneller aufspüren: mit einem Schwachstellenscan.

Der Haken gleich vorab: Ein einmaliger Schwachstellenscan ist zwar durchaus hilfreich, bleibt aber weit hinter seinen Möglichkeiten zurück. Ein punktueller Schwachstellen-Audit kann immerhin den Zustand des Netzwerks erheben und den möglichen Handlungsbedarf aufzeigen. Doch der Wert der Ergebnisse ist nur von kurzer Dauer. Die IT-Landschaft ist dank monatlicher Patchdays, ständig neu aufgesetzten Servern und Clients sowie Virtualisierung zu schnelllebig. Mag ein Server in 15 Minuten neu aufgesetzt sein, abgesichert ist er dann noch lange nicht.

Werden Schwachstellenscans aber regelmäßig durchgeführt, erlangen die detaillierten, teils schwierig zu interpretierenden Ergebnisse eine große Bedeutung für die IT-Sicherheit. Das ist die Basis eines wirksamen Schwachstellen-Managements.

Schwachstellenscans aufsetzen
Die Durchführung von Schwachstellenscans bedarf einiger Vorbereitung. Während des Scans wird teils beachtlicher Netzwerk-Traffic erzeugt, der manchen Systemen und Anwendungen zu schaffen machen kann. So sind in Produktionssystemen beispielsweise die an die IT-Infrastruktur angebundenen hochspezialisierten Devices für Traffic-Peaks schlicht nicht ausgelegt. Aber auch bei normalen Endgeräten kann die zusätzliche Netzwerkbelastung schon einmal zu Delays führen. Darüber hinaus erwecken Schwachstellenscans bei Firewalls, Intrusion Detection oder anderen Monitoring-Systemen schnell den Eindruck eines Angriffs. Wissen die Verantwortlichen nicht, dass ein Scan stattfindet, werden die zahlreich produzierten Logs und Fehlalarme möglicherweise falsch interpretiert. Dann ist es zwar gut zu wissen, dass die Security-Systeme bei Unregelmäßigkeiten zwar anschlagen, der Schwachstellenscan führt so aber nicht zu verwertbaren Ergebnissen.

Vorab sollten deshalb die Rahmenbedingungen umfassend geklärt sein. Dazu gehört die Kategorisierung der IT-Infrastruktur in sensible und weniger kritische Bereiche ebenso, wie die Frage, wann das geeignete Wartungszeitfenster ist und wer alles über den bevorstehenden Scan informiert sowie in den Prozess einbezogen werden muss. Gerade bei komplexeren Umgebungen wird hier oft zu kurz gedacht. Von einem Schwachstellenscan sind – und das ist ja schließlich auch der Sinn der Sache – weite Teile der IT betroffen, Server und Clients ebenso wie Security-Systeme und angedockte Subsysteme. Im Prinzip gehören alle IT-Verantwortlichen ins Team. Sind Teile der Infrastruktur extern gehostet, etwa als Cloud-Lösung, ist die Abstimmung mit dem Dienstleister notwendig. Auf Shared-Plattformen, auf denen gleichzeitig die Daten anderer Kunden gehostet werden, wird ein Scan wahrscheinlich nicht möglich sein. Hier kann allerdings der Plattform-Anbieter in die IT-Security-Pflicht genommen werden.

    Seite 1: Schwachstellenscans aufsetzen
    Seite 2: Ergebnisse richtig interpretieren


Seite 1 von 2 Nächste Seite >>


ln/Sebastian Brabetz, IT Security Engineer bei mod IT Services

Tags

Ähnliche Beiträge

So bleibt IT-Sicherheit auch für den Mittelstand bezahlbar Redaktion IT-A… Mi., 27.03.2024 - 09:16
IT-Sicherheit darf keine Kostenfrage sein. Dennoch nennen viele Unternehmen die Investitions- und Betriebskosten als Hauptgrund für ihre Zurückhaltung beim Thema Sicherheit. Doch wie viel Wahrheit steckt dahinter? Warum handeln deutsche Unternehmen (noch) nicht? Und warum ist ITSicherheit überlebenswichtig? Und welche Rolle spielt dabei NIS2? Diesen Fragen und möglichen Lösungsansätzen gehen wir in unserem Artikel auf den Grund.

Künstliche Intelligenz nutzen und datenschutzkonform agieren

Künstliche Intelligenz ist ein Meilenstein für die Technologiebranche, ihr volles Potenzial aber noch nicht ausgeschöpft. Es zeigt sich jedoch, dass KI-Anwendungen eine intensive Datennutzung und menschliches Eingreifen erfordern – nicht zuletzt um Datenschutz zu gewährleisten und mögliche neue Sicherheitsrisikien zu vermeiden. Organisationen müssen daher analysieren, wie sie KI in ihre Strategie zum Datenmanagement integrieren können.

Mehr Datensicherheit durch ganzheitliche Plattformen

Die Folgen von Cyberangriffen sind für Unternehmen verheerend. Dies gilt vor allem für Attacken auf hybride IT-Umgebungen, die Datenverluste auf mehreren Plattformen zur Folge haben. Deshalb lohnt es sich, auf ganzheitliche Werkzeuge für eine sichere Kommunikation und Datenübertragung zu setzen. Welchen maßgeblichen Beitrag Produktivitätsplattformen in den Bereichen Verwaltung, Kosteneffizienz und Reaktionsschnelligkeit leisten, erklärt unser Artikel.