Risikomanagement: Schwachstelle ist nicht gleich Schwachstelle

IT-Netzwerke sind für die Kommunikation eingerichtet und haben als sichtbares Zeichen ihrer Kontaktbereitschaft eine IP-Adresse. Die Kehrseite dieser Offenheit nach außen ist die Verwundbarkeit. Deshalb sind Abwehrmechanismen gegen Angriffe auf „IP-Adressen-Träger“ eine zentrale Komponente jeder IT-Sicherheitsstrategie.

Das kontinuierliche Scannen aller Rechner und Maschinen mit IP-Adresse umfasst eine große Anzahl von Sicherheitsprüfungen und sollte möglichst schnell und automatisch durchführbar sein. Die Anbieter solcher Schwachstellenanalysatoren klinken sich dabei aktiv über Authentifizierungsmechanismen auf die zu überprüfenden Geräte des Netzwerks ein beziehungsweise installieren direkt auf dem jeweiligen Gerät Überwachungs-Agents. Ein bloß passives Verfolgen der Netzwerkaktivitäten kann bei Geräten, die beispielsweise aufgrund einer Personal Firewall nicht zugänglich sind, unter Umständen die einzige Überwachungsmöglichkeit überhaupt sein. Sie wird aber in aller Regel nicht genügend verlässliche Daten liefern.

Ausgeliefert werden Schwachstellenanalysatoren in den verschiedensten Ausprägungen: Als physische oder virtuelle Appliance beim Kunden, als Software oder als SaaS-Lösung. Alternativ ist Schwachstellenanalyse auch von IT-Sicherheitsdienstleistern oder anderen Serviceprovidern erhältlich, die ihre Dienste meist auf einem der marktgängigen Produkte aufsetzen.

Führende Unternehmen am Markt sind die Intel-Tochter McAfee, nCircle, Rapid7 und Qualys. Diese vier Unternehmen werden in der jüngsten Übersichtsdarstellung des Marktforschungsunternehmens Gartner mit der höchsten Note („strong positive“) gelistet.

Maßgeschneiderte Reporting-Funktionen

Bei der Einschätzung des Wertbeitrags eines Schwachstellenanalysators für die IT beziehungsweise die IT-Sicherheit ist die Erkennungsleistung nur ein Aspekt unter vielen. Die saubere Erkennung von Schwachstellen beziehungsweise potenziellen Schwachstellen ist quasi selbstverständlich.

Die Spreu vom Weizen trennt sich bei anderen Leistungsmerkmalen. Zu nennen sind hier beispielsweise die sinnvolle Verdichtung der Scan-Daten und die Integrationsmöglichkeiten in andere Systeme der IT-Sicherheit, etwa Einbruchspräventionssysteme (IDS), Penetrationstester, Systeme für Security Information and Event Management (SIEM), Patchmanagement-Tools oder umfassende Systemmanagementsysteme. Und nicht zuletzt ist die einfache Installation und Anbindung neuer Standorte ein wichtiges Auswahlkriterium.

Für die Kommunikation der IT-Spezialisten mit Fachabteilungen, Bereichs- und Geschäftsleitungen sind leistungsfähige Reportinglösungen unabdingbar. Je präziser der Bericht auf die jeweiligen Empfänger maßgeschneidert werden kann und je „sprechender“ die darin enthaltenen Aussagen sind, desto intensiver wird er gelesen – und desto häufiger umgesetzt werden.

Gewichtung der Schwachstellen

Die oben angesprochene Einbindung von Schwachstellenanalysatoren in umfassende Systeme für IT-Sicherheit und Systemmanagement dient zum einen der Einbringung von Datenmaterial in diese Systeme, zum anderen aber auch der Bewertung der entdeckten Schwachstellen oder genauer gesagt, der Bewertung der Schadenspotenziale einer Schwachstelle. Die Scan-Daten müssen nicht nur verdichtet, sondern auch mit anderen Einflussfaktoren korreliert werden. Beispielsweise ist eine theoretisch schwerwiegende Schwachstelle in der Praxis dann weit weniger relevant, wenn sie eine (bislang) nicht entdeckte andere Schwachstelle voraussetzt.

Einige Schwachstellenanalysatoren gewichten deshalb vorhandene Lücken nach dem Risiko für das Geschäft. Dazu können Vorgaben von Initiativen wie dem „Common Vulnerability Scoring System“ (CVSS) genutzt werden, die globale Standards für die Bewertung der Risiken festlegen. Besonders risikobehaftet sind auch Schwachstellen, die auf einschlägigen Sites im Internet schon vermarktet werden. Der Hersteller Qualys gleicht mit seinem Exploit Kit deshalb potenzielle mit vermarkteten Schwachstellen ab und stuft sie als besonders gefährlich ein.

Bestandteil der Risikovorsorge

Speziell für sensible sowie stark regulierte und reglementierte Branchen wie die Gesundheitsindustrie oder Finanzdienstleister bilden Schwachstellenanalysatoren und die anderen oben genannten IT-Sicherheitstools einen festen Bestandteil ihrer Risikovorsorge. Sie haben ihn daher in das entsprechende Risikomanagement-Raster integriert. Die entdeckten Schwachstellen dienen als Grundlage für Anpassungen der Risikopolitik und der betrieblichen Sicherheitsmechanismen an die vorgegebenen Richtlinien.

Schwachstelleanalysatoren entdecken nicht nur potenzielle und tatsächliche Angriffe auf Hosts im Netz, sondern sie entdecken auch unbekannte Geräte, die im Netz hängen. Diese „Schattengeräte“, die es in jedem Netzwerk gibt, sind auch die großen Unbekannten in puncto Sicherheit. Insofern sind Schwachstellenanalysatoren in jeder Hinsicht auch ein gutes Instrument, um die Transparenz eines Netzwerks zu erhöhen.

ZDNet.de Redaktion

Recent Posts

Automatic SEO macht SEO günstiger und besser: Was steckt dahinter?

Suchmaschinenoptimierung (SEO) ist ein zentraler Faktor für den nachhaltigen Erfolg im digitalen Wettbewerb. Sie generiert…

1 Stunde ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

16 Stunden ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

2 Tagen ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

2 Tagen ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

3 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

3 Tagen ago