Schwachstellenmanagement Teil 1: Begriffe, regulatorische Vorgaben und Arten von IT-Schwachstellen

Die frühzeitige Erkennung von Schwachstellen sollte für alle Unternehmen der Finanz- und Versicherungsbranche oberste Priorität haben. Typische Arten von IT-Schwachstellen sind nicht gepatchte und veraltete Softwarestände, Trivialpasswörter oder offene Ports, die in der Kommunikation nicht explizit benötigt werden. Zudem können auch organisatorische Mängel Schwachstellen sein. Angreifer können Schwachstellen ausnutzen, um dem Institut zu schaden oder gar seine Funktionsfähigkeit für eine gewisse Zeit zu beeinträchtigen. Um den Eintritt eines solchen Worst Case-Szenarios zu verhindern, kann ein effektives Schwachstellenmanagement, auch Vulnerability Management genannt, Abhilfe schaffen.

In meiner zweiteiligen Beitragsreihe möchte ich mich diesen Begrifflichkeiten etwas nähern. Im ersten Teil werden wir eine Begriffsdefinition der Termina Schwachstelle sowie Schwachstellenmanagement vornehmen und auf die von der BaFin formulierten regulatorischen Vorgaben an das Schwachstellenmanagement eingehen. Zudem stelle ich Ihnen das Three Lines of Defense-Modell sowie Arten von Schwachstellen vor. 

Im zweiten Teil der Beitragsserie gehe ich dann auf die verschiedenen Möglichkeiten, Schwachstellen zu erkennen ein und zeige auf, welche Rolle eine funktionierende CMDB (Configuration Management Database) für ein effektives Schwachstellenmanagement spielt.

Wie bereits in der Einleitung angeschnitten, werden in Organisationen vorhandene Mängel, beispielsweise prozessualer, systematischer oder personeller Art, werden unter dem Begriff Schwachstelle (englisch vulnerability, bug) zusammengefasst. Ihr Eintreten kann im schlimmsten Fall die Erreichung angestrebter Unternehmensziele verhindern und damit Schäden verursachen. In diesem Kontext sind IT-Schwachstellen Mängel, die im Speziellen die IT betreffen, aber auch, und insbesondere aufgrund des hohen Stellenwerts der IT in der Gesamtorganisation, Schäden für das Unternehmen verursachen können und daher Gegenmaßnahmen erfordern.

Typische Beispiele für IT-Schwachstellen sind fehlende Security-Patches, die von den Softwareherstellern in der Regel zeitnah zur Verfügung gestellt werden, wenn eine Sicherheitslücke/Schwachstelle entdeckt wurde. Solche Schwachstellen ermöglichen Angreifern, in vertrauliche Bereiche eines Unternehmens einzudringen und dort Schaden für das Unternehmen selbst und seine Kunden anzurichten. Betreibt das Unternehmen ein zuverlässiges Patchmanagement mit fundierter Risikobewertung und kurzen Reaktionszeiten, haben Hacker nur sehr wenig Zeit, solche Schwachstellen auszunutzen, bevor sie geschlossen werden. Solche extrem schnell platzierten Angriffe nennt man “Zero-Day-Exploits".

Die Aufsichtsbehörden in Deutschland sind für die Stabilität der Deutschen Wirtschaft und des Finanzplatzes Deutschland verantwortlich. Da ist es nur logisch, dass sie von den beaufsichtigten Instituten verlangen, dass diese IT-Schwachstellen im Auge behalten und zeitnah schließen.

Nahezu alle gelisteten Bedrohungen aus dem Grundschutzkompendium des BSI können durch die Ausnutzung von Schwachstellen eintreten. Unterscheiden kann man aber zwischen eher elementaren Bedrohungen wie Feuer und Wasser (ein Rechenzentrum, dass direkt an einem Fluss liegt, hat eine erhebliche Schwachstelle) und vorsätzlichen Handlungen - wenn beispielsweise ein Hacker nach erfolgreicher Ausnutzung einer Schwachstelle vertrauliche Daten aus einem Unternehmen abzieht. Hier einige Beispiele für Bedrohungen aus dem IT-Grundschutz, die mit Schwachstellen zusammenhängen:

• G.0.9.: Ausfall oder Störung von Kommunikationsnetzen: durch Ausnutzung einer Schwachstelle auf einem nicht gepatchten Switch kann Schaden verursacht werden.

• G.0.14.: Ausspähen von Informationen (Spionage): Durch Ausnutzung einer Schwachstelle auf einem Informationssystem kann ein Angreifer in den Besitz von vertraulichen Informationen gelangen.

• G.0.21/22.: Manipulation von Hard- und Software oder Informationen: Schwachstellen ermöglichen den illegalen Zugang zu Systemen oder Informationen und deren Manipulation.

All dies wiederum kann in Nötigung, Erpressung oder Korruption sowie den Missbrauch personenbezogener Daten und weiteren Gefährdungen münden.

Ziel jedes Instituts muss es also sein, seine aktuellen Schwachstellen zu kennen und zu wissen, welche Gefährdungen durch diese Schwachstellen entstehen können. Dies ist eine fundamentale Grundlage eines wirksamen Risikomanagements. Im Rahmen einer Risikoanalyse kann dann entschieden werden, welche Schwachstellen wann beseitigt werden müssen oder ob das mit einer Schwachstelle verbundene Risiko zumindest für eine gewisse Zeit akzeptiert werden kann.

Das “Three Lines of Defense Modell” hat die Aufgabe, Komplexitäten zu reduzieren sowie klare Verantwortungen zu schaffen! Komplexität ergibt sich bereits aus dem Unternehmen selbst; die Organisationsstruktur, die Mitarbeiter, die Infrastruktur, Richtlinien und (gesetzliche) Vorschriften, Qualitätskontrollen, etablierte Sicherheitsmaßnahmen und Maßnahmen zur Risikominimierung. Schwachstellen sind immer auch ein zu bewertendes Risiko.

Aber auch Angriffsvektoren werden kreativer und komplexer - neue Technologien und Prozesse können Angreifer begünstigen. Jede Abwehrmaßnahme erzeugt neue Angriffsszenarien und neue Angriffsszenarien erzeugen neue Abwehrmaßnahmen.

Um die zahlreichen Abwehr- bzw. risikominimierenden Maßnahmen effektiv und effizient zu koordinieren, sowie die Verantwortungen klar zu strukturieren, hat sich das “Three Lines of Defense”-Modell in der Praxis etabliert und bewährt. Es dient dazu, die Kommunikation bei Abwehrmaßnahmen zu steuern und die limitierten Ressourcen bestmöglich einzusetzen. Jede Folgelinie nimmt Kontrollaufgaben für die vorgelagerten Linien wahr und bildet daher einen “doppelten Boden”. Dienlich für eine erfolgreiche Abwehr sind unter anderem CERT Meldungen, Schwachstellenscans (und Pentests) sowie Herstellermeldungen über aufgetretene Schwachstellen. In der Unternehmensorganisation ist eine Funktionstrennung der drei Linien zu berücksichtigen, damit es im Sinne der Kontrollmaßnahmen nicht zu Interessenskonflikten kommen kann.

First Line of Defense

Die erste Abwehrlinie bilden die operativen Einheiten, also der Betrieb. Sie sind dafür verantwortlich, dass im täglichen Geschäftsablauf Schwachstellen erkannt, bewertet und risikominimierende Maßnahmen etabliert, gepflegt und gelebt werden. Sie sind in der Verantwortung für die jeweiligen Schwachstellen bzw. Risiken ihres Bereiches und sollten über diese den Überblick haben, damit sie deren Ausnutzung zuverlässig verhindern können. Dafür müssen diese Schwachstellen identifiziert, bewertet und anschließend behoben (oder akzeptiert) werden. Es ist wichtig, dass von Seiten der Governance klare Richtlinien für den Umgang und die Bewertung von Schwachstellen bzw. Risiken im Allgemeinen geschaffen werden. Darauf basierend kann das operative Management adäquate Maßnahmen umsetzen. Sinnvoll ist es, die Steuerung des Schwachstellenmanagements über die First Line in einer zentralen Einheit, zum Beispiel einem Security Operation Center (SOC) zu bündeln. 

Second Line of Defense

Die zweite Abwehrlinie bildet das Riskmanagement sowie Compliance/Governance. Hier ist typischerweise auch der CISO (Chief Information Security Officer) und sein Team positioniert. Hier werden Vorgaben, Rahmenbedingungen und Richtlinien erarbeitet, die in der der First Line umgesetzt werden. Das Risikomanagement bewertet die implementierten Maßnahmen und bestimmt die anzunehmende Risikobereitschaft bzw. den „Risikohunger“ des Unternehmens. Zudem erarbeitet es ein Framework, dass das Bewerten von und den Umgang mit Schwachstellen bzw. Risiken standardisiert. 

Die zweite Abwehrline ist dafür verantwortlich, neue Schwachstellen, die sich für die Organisation ergeben, auf der strategischen Ebene zu identifizieren und zu bewerten und auf dieser Basis das Schwachstellenmanagement kontinuierlich zu verbessern. Ebenso sind das Training und die Beratung der First Line hier aufgehängt.  

Um die Wirksamkeit der etablierten Maßnahmen zu demonstrieren, sowie ungeeignete Maßnahmen, Kontrollen oder Prozesse zu identifizieren, sind regelmäßige Überprüfungen, u.a. in Form von Penetrationstests, unabdingbar. Besonders die Prozesse der First Line werden regelmäßig im Bezug zum Schwachstellenmanagement geprüft. So können Schwachstellen geschlossen oder zumindest bekannt gemacht werden und im Falle einer Ausnutzung optimal reagiert werden. 

Third Line of Defense

Die dritte Abwehrlinie besteht aus der internen Revision. Die interne Revision soll eine möglichst vom IT-Management unabhängige Instanz sein, die direkt an die Geschäftsleitung berichtet. Damit werden mögliche Abhängigkeiten in der ersten und zweiten Linie umgangen. Die Aufgabe der internen Revision ist nach anerkannten Standards die Durchführung von internen Audits, um einen Überblick über die Gesamtheit der Risiken und Maßnahmen, sowie die Governance zu geben. Es werden also nicht nur die umgesetzten Maßnahmen überprüft, auch die von der zweiten Linie gesetzten Rahmenbedingungen, Richtlinien und Prozesse werden auf den Prüfstand gestellt. Ergebnisse erhält die Geschäftsführung und kann daraus ggf. Maßnahmen zur Verbesserung des Schwachstellen- und Risikomanagements oder der Governance ableiten.  

Wie eingangs erwähnt, gibt es zahlreiche Arten von IT-Schwachstellen. Ich möchte Ihnen im Folgenden die gängigsten dieser etwas genauer vorstellen. Wenn Sie diese im Auge behalten und Ihr Schwachstellenmanagement so aufbauen, dass diese nach Auftreten schnellstmöglich beseitigt werden, haben Sie bereits einen wichtigen Schritt hin zur Erhöhung der IT-Security Ihres Instituts gemacht.

Veraltete Patchstände

Jedes neue System wird üblicherweise nach dem aktuellen Stand der Technik und mit den neuesten Software-Ständen aufgesetzt. Oft erfordert es gerade in Legacy-Umgebungen erheblichen Aufwand, den ganzen Software-Stack vom Betriebssystem über die Middleware bis hoch zur Applikation optimal zu orchestrieren. Dabei kommt es zu erheblichen Abhängigkeiten zwischen den Komponenten. Doch Softwarestände veralten schnell und neue kommen nach. Ein Patchmanagement in Kombination mit einer CMDB (Configuration Management Database) gibt den Überblick, welche Patchstände auf welchen Komponenten vorhanden sind und wo neue Patchstände aufgespielt werden sollten. Doch oft werden veraltete Patchstände übersehen oder die aktuelle Anwendungsversion (deren Upgrade wegen umfangreichen Customizings sehr aufwändig wäre) ist nicht kompatibel zu einem neuen Patchstand auf Ebene des Betriebssystems oder der Middleware. Deshalb laufen veraltete Patchstände oft viel länger, als sie sollten, ohne dass die Verantwortlichen das auch nur ahnen.

Hier sind Unternehmen, die ihre IT oder Teile davon in die Cloud migriert haben, deutlich im Vorteil, da Cloud-kompatible Anwendungen auf standardisierten Schnittstellen/APIs aufsetzen, was direkte Abhängigkeiten im gesamten Software-Stack stark reduziert oder ausschließt.

Internet of Things - IoT

IoT-Geräte (Internet of Things), also die Webcam und der Smarte Kühlschrank stellen eine gängige Quelle für Schwachstellen dar. Wirtschaftlich sind die Märkte für diese Produkte hart umkämpft und die Margen gering. Darunter leiden oft die implementierten Sicherheitslösungen, die als irrelevant betrachtet werden. Da diese Geräte jedoch oft indirekt oder sogar direkt ins Internet kommunizieren können, ist das Kapern von IoT-Geräten ein ernstzunehmendes Risiko. Nahezu jede Webcam besitzt eine öffentlich erreichbare IP-Adresse und ein Betriebssystem. Im Unterschied zu PCs hat die Webcam aber selten einen Virenschutz oder ein aktuelles Patchlevel. Eine Einladung für jeden Angreifer! Es ist nicht unwahrscheinlich, dass die Rechenleistung einer Webcam oder eines Smarten Kühlschrankes bei DDoS-Angriffen beteiligt war.

Default Passwort

Die von den Herstellern festgelegten Passwörter werden oft nach der Installation bzw. Konfiguration nicht abgeändert. Für Angreifer ist es ein leichtes, die gängigen Standardpasswörter für Hard- und Software im Internet (meistens in den online vorhandenen Bedienungsanleitungen) herauszufinden und anschließend auf das Gerät zuzugreifen. Dies ist die gängigste, einfachste und erfolgversprechendste Art einer “Brute-Force-Attacke". Das Ändern dieser Standardpasswörter ist also unabdingbar, selbst auf unscheinbar wirkenden Geräten wie Drucker.

Phishing

“Das Problem sitzt vor dem Monitor” ist leider auch im Kontext des Schwachstellenmanagements zutreffend. Immer noch gelingen viele Angriffe durch Phishing-Versuche. Dubiose Telefonanrufe, falsche E-Mails, Links auf Gewinnspiele, bei denen man ein iPad gewonnen hat oder sogar das Kopieren ganzer Websites mit Login-Feldern, um dann Zugriffsdaten abzufangen. Die Kreativität ist hoch, die Qualität der Versuche stark schwankend. Dennoch bleibt es ein stetes Problem. Eine wirksame Abwehr besteht in regelmäßigen Awareness-Schulungen kombiniert mit wirksamem Spam- und Virenschutz sowie E-Mail-Filterung.

Im zweiten Teil meiner Beitragsreihe zeige ich Ihnen, wie sie Schwachstellen konkret erkennen können und wie Ihnen eine CMDB bei der effektiven Ausgestaltung Ihres Schwachstellenmanagements helfen kann.

Zum zweiten Teil der Beitragsreihe "Vulnerability Management"