Cyberattacken dominieren die Schlagzeilen. Dass diese nur die Spitze des Eisbergs repräsentieren, ist längst kein Geheimnis mehr. Daher ist es wichtig, die eigenen Schwachstellen zu kennen – und zwar besser, als der Angreifer. Schwachstellen müssen beseitigt werden, bevor ein Schaden entsteht. In diesem Blogartikel zeigen wir Ihnen den Lebenszyklus einer Schwachstelle auf und worauf Sie bei einem guten Vulnerability Management Wert legen sollten.
Die Schwachstelle CVE-2014-0160, besser bekannt unter dem Namen «Heartbleed Bug», sorgte im April 2014 für grosses Aufsehen. Ursprung dieser Schwachstelle ist ein Programmierfehler, welcher unbeabsichtigt im Code der Open-Source-Bibliothek OpenSSL eingefügt wurde, durch den über verschlüsselte TLS-Verbindungen private Daten von Clients und Servern ausgelesen werden können. Der Quellcode, der den Fehler aufweist, wurde am 31. Dezember 2011 in das OpenSSL-Git-Repository eingepflegt und erstmals am 14. März 2012 mit OpenSSL-Version 1.0.1 veröffentlicht. Heartbleed betrifft die OpenSSL-Versionen 1.0.1 bis 1.0.1f und wurde mit der Version 1.0.1g am 7. April 2014 behoben.
Die Sicherheitslücke bestand somit über zwei Jahre, bis sie entdeckt und behoben wurde. Viele Unternehmen waren beunruhigt – vor allem jene, die sich bis dahin kaum um das Thema Vulnerability Management gekümmert hatten. Sind meine Systeme betroffen? Wo könnte ein Cyberkrimineller Schaden angerichtet haben? Alles Fragen, die sich Unternehmen (leider oftmals viel zu spät) stellen.
Unterstützung boten die Hersteller von Schwachstellen-Management-Lösungen (Vulnerability Scannern). Diese haben schnell reagiert und entsprechende Erkennungsmethoden in ihren Tools implementiert. Nun mussten die Unternehmen nur noch handeln – aber ganz so einfach war das nicht.
Nun stellte sich die Frage: Wie vorgehen? Worauf muss ich besonders achten? Spielen wir das Szenario anhand eines fiktiven Unternehmens durch, der «TrustCompany». Die TrustCompany hat sofort reagiert und nur einen Tag nach der Entdeckung der Schwachstelle ihre Systeme auf Verwundbarkeit analysiert. Das Ergebnis: Über 100 Systeme waren von der Schwachstelle betroffen. Was erschreckend klingt, ist jedoch keine Seltenheit.
Für die zwei Systemadministratoren der TrustCompany war sofort klar, dass es in so kurzer Zeit nicht möglich sein wird, die Schwachstelle auf über 100 Systemen zu beheben. Welche Systeme mussten also am dringlichsten ausgebessert werden? Dazu führten sie eine Kritikalitätsbewertung durch, um anhand dieser die Priorisierung vorzunehmen. Unter anderem wurde bewertet, ob das System aus dem Internet erreichbar ist und welcher Schaden ein erfolgreicher Angriff verursachen könnte.
Mit Sicherheit ist die TrustCompany mit Ihrem Vorgehen vielen anderen Unternehmen voraus. Jedoch hätten sie sich viel – und vor allem wertvolle – Zeit ersparen können, wenn diese Bewertung bereits zu einem früheren Zeitpunkt stattgefunden hätte.
Nach der Priorisierung konnten sich die beiden Administratoren an die Behebung der Schwachstelle machen. Wie sich herausstellte, liessen sich die Schwachstellen auf den verschiedenen Systemen mit unterschiedlichen Methoden beheben. Im besten Fall musste lediglich die Software aktualisiert, in Schwierigeren jedoch sogar die Anwendung umprogrammiert werden. In einigen Fällen war eine zeitnahe Behebung nicht möglich, da der Softwarehersteller nicht auf die Schwachstelle reagiert hatte.
Hinzu kam ein Problem, das viele kennen: Die Administratoren waren mehr mit der Koordination beschäftigt, als sich um die technische Behebung der Schwachstelle zu kümmern. Zusätzlich mussten sie regelmässig die Geschäftsleitung über den aktuellen Stand informieren. So ist es nicht verwunderlich, dass erst nach über 3 Wochen die kritischsten Systeme der TrustCompany aktualisiert waren. Und der Rest? «In progress…»
Was die TrustCompany hätte anders machen sollen? Wie bei so vielem gilt auch hier: Vorsorge ist besser als Behebung. Sprich, die TrustCompany hätte besser vorgängig Aktivitäten im Kontext des Vulnerability Managements durchführen sollen.
Solche Aktivitäten wären zum Beispiel:
Dass die TrustCompany nicht alleine ist, zeigt sich in einer Studie aus dem Jahr 2017. Diese besagt, dass selbst drei Jahre nach der Bekanntgabe der Schwachstelle immer noch hunderttausende öffentlich im Internet erreichbaren Systeme für die OpenSSL-Lücke Heartbleed anfällig sind. Erschreckend, finden Sie nicht?
Vulnerability Management besteht nicht nur aus einem Tool, einer Person oder einem Prozess. Nur wenn alle drei Bereiche abgedeckt sind und diese miteinander harmonieren, kann das Vulnerability Management seine volle Wirkung entfalten. Gerade aus diesem Grund ist die Umsetzung eines effizienten und effektiven Vulnerability Managements komplex, aufwändig und bedarf viel Know-how. Wie bei der TrustCompany besteht das Problem bei vielen Unternehmen darin, dass vor allem die zeitlichen und personellen Ressourcen fehlen.
Die Lösung? Holen Sie sich Unterstützung von aussen! Unsere Experten helfen Ihnen bei Ihren individuellen Fragestellungen und begleiten Sie in allen Phasen – von der Konzeption bis zur Umsetzung. Oder Sie lagern den Betrieb an unsere Experte als Managed Service aus dem Cyber Defence Center (CDC) in Baar aus. Wollen Sie mehr erfahren oder haben Sie Fragen? Hier finden Sie die detaillierte Broschüre als auch das Kontaktformular.