Wann hatten Sie Ihre letzte Datenpanne?

von Dirk Größer (Kommentare: 0)

Kann man Informationssicherheit proaktiv betreiben? Ja, man kann! Ein gutes Schwachstellenmanagement erkennt Risiken, bevor sie eintreten (z.B. die Ransomware WannaCry oder Petya). Dieser Beitrag stellt dar, wie sich Schwachstellenmanagement in ein Managementsystem für Informationssicherheit (Information Security Management System) integriert.

In der heutigen Zeit ist das unternehmerische Handeln einer wesentlich größeren Dynamik unterworfen als in der Vergangenheit. Die Rahmenbedingungen und Märkte stellen immer wieder neue Anforderungen in immer kürzeren Zeitperioden. Zudem sind eine Vielzahl unterschiedlicher, digitalisierter Informationen, zu einem integralen Bestandteil von Geschäftsprozessen geworden, Stichwort „Industrie 4.0“. Die daraus resultierende wachsende Komplexität und eine immer aggressiver werdende Bedrohungslage erschweren es zunehmend, diese Informationen und Werte nachhaltig und angemessen zu schützen. Wir können das an den immer häufiger in den Medien publizierten Datenpannen ablesen.

Eine Reaktion der Politik ist die Konkretisierung der gesetzlichen und regulatorischen Anforderungen an Informationssicherheit und Datenschutz für Wirtschaft und Behörden. Als Beispiel seien hier die KRITIS VO, die Europäische Datenschutzgrundverordnung (EU-DSGVO) und die MaRisk genannt. Die Essenz der genannten Gesetze, Verordnungen und Regelungen ist, ganz allgemein gesagt, die Forderung, ein dauerhaftes und wirksames Informationssicherheitsmanagement nach dem Stand der Technik zu betreiben, welches dann in der Ausgestaltung häufig als Managementsystem für Informationssicherheit (ISMS) bezeichnet wird.

Ich möchte einen häufig unterschätzten Aspekt aus dem Bereich des ISMS vorstellen, nämlich den Umgang mit vermuteten Sicherheitsvorfällen. Vermutet deshalb, weil man zu Beginn einer Meldung oder eines Alarms häufig noch nicht belastbar einschätzen kann, ob es sich überhaupt um einen tatsächlichen Sicherheitsvorfall handelt. Es sind im Vorfeld eine Kette von kausalen Schritten und Aktivitäten notwendig, um fachlich und prozessual überhaupt eine effiziente Sicherheitsvorfallbehandlung durchführen zu können. Dabei sind die schnelle Erkennung und die angemessene Reaktion der Schlüssel, um die möglichen Auswirkungen des Vorfalls auf seine unmittelbare Umgebung zu begrenzen. Ein Angriffsversuch ist zunächst noch keine gravierende Sicherheitspanne. Wenn Sie aber Bedrohungen nicht zeitnah erkennen, priorisieren und wirksam neutralisieren können, entsteht daraus möglicherweise sehr schnell erheblicher Schaden für Ihre Organisation. Wie beispielsweise Imageschäden, verlorene Kundendaten oder Unterbrechungen durch die Nichtverfügbarkeit von Ressourcen.

Angriffsversuche sind leider häufig erfolgreich, da sich in vielen IT-Infrastrukturen von Betreibern unbemerkt Schwachstellen befinden, welche dann von Angreifern (mit den bekannten Folgen) ausgenutzt werden können. Und zu allem Übel werden solche Angriffe oft viel zu spät bemerkt. Genau hier ist ein sinnvoll eingesetztes IT-Schwachstellen-Management (Vulnerability Management) eine wirkungsvolle Lösung. Damit sind Sie in der Lage, die Schwachstellen zu identifizieren und deren Behebung zu priorisieren, bevor Angreifer diese ausnutzen können. Außerdem qualifiziert es Sie, eine Neubewertung bezüglich der Verwundbarkeit Ihrer IT-Infrastruktur durchzuführen.

Mit IT-Schwachstellen-Management können Sie Ihre IT-Umgebung in ihrer ganzen Breite und Tiefe „wahrnehmen“ und gewinnen die Möglichkeit, Sicherheitsvorfälle wirkungsvoll und schnell zu entschärfen, bevor größere Schäden daraus entstehen können. So senken Sie erheblich das Risiko, dass eine schwere Datenpanne oder ein gravierender Cyber-Vorfall Ihrem Unternehmen teuer zu stehen kommt.

Zum Schluss noch ein Punkt, der mir in der Praxis sehr oft begegnet: Kunden sagen mir häufig, dass sie durch ihr bestehendes Patch-Management „alles im Griff haben“ und sie somit kein Schwachstellen-Management benötigen. Aber leider ist das eine absolut verfehlte Annahme: Patch-Management ist nicht Schwachstellenmanagement! Beide Prozesse liegen nahe beieinander, dürfen aber nicht miteinander verwechselt werden. Das Schwachstellenmanagement ist ein proaktiver Prozess, welcher im zeitlichen Ablauf dem Patch Management vorgelagert ist, um Schwachstellen zu erkennen. Gute Schwachstellen-Scanner erkennen nicht nur Schwachstellen, für welche ein Patch besteht, sondern identifizieren auch Schwachstellen zeitnah nach deren Bekanntwerden — auch wenn es noch keinen Patch dafür gibt.

Beim Patch Management wird überprüft, inwiefern Patches für Betriebssysteme und die installierten Applikationen zur Verfügung stehen. Vom Bekanntwerden einer Schwachstelle bis zur Verfügbarkeit eines Patches kann es oft Monate dauern. Während dieser Zeit zeigt das Patch Management keinen Handlungsbedarf an, obwohl ein Sicherheitsrisiko besteht.

Patch Management ersetzt also nicht Schwachstellenmanagement und umgekehrt. Beide wirken wechselseitig ergänzend und steigern in geeigneter Kombination die Informationssicherheit Ihrer Organisation erheblich!

Zurück

Einen Kommentar schreiben