Dass Cyberkriminelle Schwachstellen für ihre Angriffe benötigen, liegt auf der Hand. Daher ist es umso wichtiger, dass diese gezielt und schnell eliminiert werden, bevor ein Angreifer sie ausnutzen kann. Ein wichtiges Element zur Vermeidung, dass ein solcher Angriff stattfindet, ist das «Vulnerability Management». Aber wie so oft, sind Theorie und Praxis zwei Paar Schuhe. Mit welchen Herausforderungen Unternehmen häufig konfrontiert sind und wie Sie diese am besten angehen, erfahren Sie in diesem Artikel.
Vulnerability Management, oder auch (IT-)Schwachstellen-Management genannt, ist ein wichtiger Bestandteil der Cyber Security. Denn grundsätzlich gilt, dass ohne Schwachstelle kein Angriff möglich ist – das eigentliche Ziel jeglicher Cyber Security-Massnahmen. Macht Sinn, oder?
Nicht selten gehen Unternehmen davon aus, dass mit der Einführung eines Tools, z.B. einer Vulnerability-Lösung, sämtliche Probleme gelöst sind. Aber wie so oft, ist ein Werkzeug resp. eine Software kein Allheilmittel. Um das Maximum herauszuholen, benötigt man Expertise und entsprechende organisatorische Massnahmen sowie Prozesse.
5 Herausforderungen, die bestimmt auch Ihnen bekannt vorkommen
Herausforderungen in der Cyber Security gehören zum Alltag. Das gilt auch für das Schwachstellen-Management. Doch oftmals ist das eigentliche Problem nicht auf den ersten Blick erkennbar. Fünf Herausforderungen, die bestimmt auch Ihnen bekannt vorkommen, zeigen wir Ihnen hier auf:
- Verantwortliche für die Schliessung der Schwachstellen identifizieren
Wie bei allen Problemen, ist es auch bei einer Schwachstelle schwierig, «Freiwillige» zu finden, die sich dem Problem annehmen. Deshalb ist es umso wichtiger, dass klar definiert ist, welche Person für die Behebung welcher Schwachstelle zuständig ist und wie die Person mögliche Abhängigkeiten auflösen kann. Je nach Schwachstelle ist dies nur schwer und nicht eindeutig zuordenbar. Und oft noch schwieriger: Wer ist überhaupt dafür verantwortlich? Welches sind die richtigen Ansprechpartner?
- Akzeptanz im Unternehmen / Fehlendes Commitment
In der IT Security allgemein, aber besonders auch im Vulnerability Management, ist die Akzeptanz im Unternehmen von hoher Bedeutung. Wenn die involvierten Personen den direkten Mehrwert für sich und das Unternehmen nicht sehen, sinkt die Motivation drastisch – und damit auch der Wille, Schwachstellen zeitnah zu schliessen.
- Komplizierte Schwachstellen-Reports
Wer kennt sie nicht – lange, umfangsreiche und komplizierte Reports, bei denen man schnell den Überblick verliert. Die Genauigkeit ist eine Sache, die Verständlichkeit eine andere. Gerade bei Fehlalarmen kann das schnell überfordern und die Akzeptanz reduzieren.
- Zweifelhafte Priorisierung
Klar, bei Sicherheitslücken hat das Patchen Priorität. Schwachstellen-Reports helfen hierbei, sind aber durch die Flut an Informationen sowie die vielen Schwachstellen nicht immer die beste Methode. Das führt nicht nur zu Frust, sondern auch zu immer neuen Fragen:
- Welche Systeme können warten?
- Welche Assets sind kritisch?
- Welche Schwachstellen werden bereits aktiv ausgenutzt und ein Angriff daher wahrscheinlich?
- Welche Schwachstellen können aufgrund von bestehenden Massnahmen nicht ausgenutzt werden?
Werden die falschen Massnahmen bzw. Schwachstellen priorisiert, bringt es dem Unternehmen einen geringen Mehrwert und reduziert zudem auch die Akzeptanz der Involvierten.
- Keine übergeordnete Sicht zur Identifikation von systematischen Problemen und keine Möglichkeit, die Ursache für Schwachstellen zu beseitigen
Häufig treten Schwachstellen aufgrund der gleichen Ursachen wieder und wieder auf, z.B. wegen fehlender Patch-Prozesse oder schlecht programmierter Software mit immer neuen Schwachstellen. Teilweise wird die Ursache nicht identifiziert oder gar nicht erst angegangen. Dies führt einerseits zu Frustration bei den Mitarbeitenden; kaum ist das System schwachstellenfrei, taucht schon die nächste Schwachstelle auf. Andererseits sind die Systeme natürlich häufiger angreifbar.
Die Aufzählung ist natürlich nicht abschliessend und für jedes Unternehmen individuell. Trotzdem sind es häufig genau solche Herausforderungen, die zu grösseren Problemen führen.
So packen Sie die Herausforderungen im Vulnerability Management erfolgreich an
Es ist immer einfacher, auf Fehler aufmerksam zu machen, als wirklich brauchbare Tipps zu liefern. Deshalb erhalten Sie von uns Tipps für Ihr Vulnerability Management.
- Verantwortlichkeiten festlegen
Wie bereits erwähnt, ist es oft nicht einfach, die effektive Ursache und die internen Verantwortlichen resp. Ansprechpartner zu finden. Wichtig ist, genau festzulegen, wer für die Behebung welcher Schwachstelle zuständig ist (z.B. basierend auf dem System und der Ebene, auf welcher die Schwachstellen aufgetreten ist). Teilweise macht es Sinn, eine übergeordnete verantwortliche Person festzulegen. Diese kann bzw. muss entscheiden, wer bei Uneinigkeit für eine Schwachstelle zuständig ist.
- Aktives Promoten der Notwendigkeit von Vulnerability Management
Einer der Grundpfeiler erfolgreicher Cyber Security ist, dass sowohl das Management als auch die für die Umsetzung zuständigen Mitarbeitenden die Notwendigkeit von Vulnerability Management erkennen. Damit dies gelingt, müssen einerseits die Auswirkungen eines erfolgreichen Vulnerability Managements aktiv im Unternehmen verkauft und andererseits in Einzelfällen nach pragmatischen Lösungen gesucht werden.
- Einfache Reports
Das A und O bei Reports ist es, die unterschiedlichen Adressaten die für sie notwendigen Informationen einfach zu finden. Für Manager sind dies beispielsweise die zeitliche Entwicklung oder eine Übersicht über die aktuelle Risikosituation. Für Systemverantwortliche ist es hingegen eine Übersicht über ihre Systeme und den auf diesen vorhandenen Schwachstellen.
- Priorisierung nach einfachen Kriterien
Oft neigt man dazu, komplexe und vor allem zu viele Kriterien festzulegen. Kein Wunder, dass die Priorisierung schwerfällt. Beschränken Sie sich lieber auf einfache, dafür sinnvolle und überschaubare Kriterien. Bei einer Einführung kann dies z.B. sein, dass man nur kritische Schwachstellen betrachtet und die anderen den Verantwortlichen lediglich zur Verfügung stellt.
- Systematische Probleme identifizieren und beheben
Damit die Behebung der Schwachstellen nicht zur Sisyphus-Arbeit wird und der Stein bzw. die Schwachstelle nicht immer wieder den Berg herunterrollt, sollte man auch die systematischen Probleme angehen. Häufig sind diese den unterschiedlichen Ansprechpartnern bekannt. Diese haben aber kein Gefäss, um die Themen an die Entscheidungsträger zu kommunizieren oder gar direkt zu adressieren. Helfen kann beispielsweise ein halbjährlicher Report mit den systematischen Problemen für das Management. Gemeinsam mit dem Management können anschliessend Massnahmen zur Behebung dieser Probleme festgelegt werden.
Vulnerability Management – ein Buch mit sieben Siegeln?
Nein, Vulnerability Management ist kein Buch mit sieben Siegeln, aber anspruchsvoll – und enorm wichtig. Ein Tool alleine reicht nicht aus, um effektives Schwachstellen-Management betreiben zu können. Wie bei so vielen Themen gilt zudem auch hier, dass laufende Reflexion, Kontrolle und Optimierung zentral sind. Mit unseren Tipps haben wir Ihnen hoffentlich ein paar Denkanstösse gegeben, damit auch Ihr Vulnerability Management möglichst «unverwundbar» ist.
Wie sieht aus bei Ihnen aus? Vor welchen Herausforderungen stehen Sie gerade bezüglich Vulnerability Management? Egal, ob Sie erst am Anfang sind oder ganz einfach Ihren Maturitätsgrad verbessern möchten: Unsere Experten haben jahrelange Erfahrung sowie eine breite Expertise, um Sie optimal zu unterstützen. Mehr Informationen zu unseren Angeboten inkl. «Vulnerability Manager as a Service» und unserem Managed Service finden Sie hier: