Cybersecurity: Was Vulnerability Management nach ISO 27001 wirklich bringt

12. Oktober 2021, 11:41
  • security
  • datenschutz
  • technologien
image

Auch wer ein gutes Vulnerability Management hat, sollte sich keinesfalls in Sicherheit wiegen, meint Gastautor Christoph Jaggi.

Die IT-Systeme eines Unternehmens dauernd auf dem Laufenden zu halten und wichtige Security-Patches oder Updates zu identifizieren und zeitnah einzuspielen, ist für IT-Abteilungen eine schwierige Aufgabe. Viele strengen sich an, ein gutes Vulnerability Management einzuführen und es dann – man möchte ja auch der Aussenwelt beweisen, dass man Security-mässig auf der Höhe ist – auch nach ISO 27001 zertifizieren zu lassen. Aber was kann man mit Vulnerability Management erreichen, und was nicht?

Die Theorie

Der IT-Chef (CIO) und der Sicherheitsverantwortliche (CISO) haben alles im Griff. Ihre Organisation hält sich stundenaktuell auf dem Laufenden, ob neue CVEs für IT-Produkte veröffentlicht wurden, die im Einsatz sind. Sind Patches verfügbar, so werden sie möglichst zeitnah installiert. Damit sind die vorhandenen Schwachstellen behoben. So sieht die Welt von ISO 27001/27002 aus. Zumindest in der Theorie.

Die Realität

Mindestens 99% der IT-Produkte sind fehlerbehaftet. Sowohl in Bezug auf Funktionalität wie auch in Bezug auf Sicherheit. Während sich funktionale Probleme selbständig manifestieren, bleiben Sicherheitslücken versteckt. Bis man sie entdeckt und flickt. Nur ist das nicht ganz so einfach und nicht so effizient wie man das vermuten würde.
Sicherheitslücken erlauben direkt oder indirekt Zugriff auf Daten und haben negative Auswirkungen auf die Stabilität, die Vertraulichkeit, die Integrität und die Verfügbarkeit. Kein Kunde wünscht sich Sicherheitslücken. Sie sind eine kostenlose Beigabe der Anbieter. Und da gibt es nur sehr wenige, die damit knausrig sind

Was für Produkte sind betroffen?

Praktisch alle, auch Produkte mit Sicherheitsfunktionen und Sicherheitsprodukte sind betroffen. Es spielt keine grosse Rolle, von wem sie die Produkte kaufen. Auch die Beschaffung durch einen auf Cybersecurity spezialisierten Partner bedeutet nicht, dass dieser Partner die Produkte auf ihre Sicherheit geprüft hat oder die durch das Produkt gewährte Sicherheit kennen (PDF). Das trifft auch auf die meisten Firmen zu, die Security Audits anbieten.

Vulnerability Management: Das Stopfen von bekannten Löchern

Betrachtet man die Rahmenbedingungen, so wird schnell klar, dass sich das Vulnerability Management auf Schwachstellen beschränkt, die bereits veröffentlicht wurden. Nur sind diese bereits vor ihrer Veröffentlichung vorhanden und auch dem Anbieter des betroffenen Produkts vor der Veröffentlichung bekannt. Und das in der Regel seit Monaten. Wenn jemand eine Schwachstelle findet und dem Anbieter meldet, so besteht die Wahrscheinlichkeit, dass diese auch von jemand anderem gefunden wurde. Das Vulnerability Management deckt keine Schwachstellen auf, sondern deckt nur die Prozesse bezüglich des Stopfens von Sicherheitslücken ab, die veröffentlicht wurden und für die es entweder einen Patch oder eine Schadenminderungsmassnahme (Mitigation) gibt.

Das CVE-System

CVE steht für "Common Vulnerabilities and Exposures". Ziel ist die Identifikation, Definition und öffentliche Katalogisierung von Schwachstellen. Die Organisation wird durch die MITRE gesteuert, ein US-amerikanisches Cybersecurity-Forschungsinstitut, das staatlich gefördert ist. Sie ist hierarchisch aufgebaut: Es gibt Roots und CNAs (Certificate Numbering Authorities). Die meisten Anbieter von IT-Produkten sind als CNA registriert und können CVEs herausgeben. Die Mehrheit der Sicherheitslücken wird nicht von den Anbietern selbst, sondern von Aussenstehenden gefunden. Diese können die Sicherheitslücken dem Anbieter melden.
 Der Anbieter entscheidet dann über die Vorgehensweise. Es gibt einen Ehrenkodex unter Sicherheitsforschern, dass gefundene Sicherheitslücken erst 90 Tage nach der Meldung an den Anbieter öffentlich gemacht werden. Das nennt sich "Responsible Disclosure" und gibt dem Anbieter Zeit, einen Patch für die Sicherheitslücke zu entwickeln. Erst 90 Tage nach einer Meldung wird dann in der Regel eine neue Schwachstelle mit einer CVE-Nummer zusammen mit einem Patch oder einer empfohlenen Schadenminderungsmassnahme veröffentlicht. Die meisten Anbieter bevorzugen die sogenannte "Coordinated Disclosure", die auch als "Managed Disclosure" bekannt ist. Der Anbieter übernimmt dabei die Koordination und kann so bestimmen, ob, wann und wie die vorhandene Sicherheitslücke veröffentlicht wird. Und es ist auch der Anbieter selbst, der mehrheitlich die Schwere der Sicherheitslücke einstufen kann.
Das CVE-System ist gut gemeint, lädt aber zu Missbrauch durch die Anbieter ein, die selbst als CNA auftreten. Es ist genau der gleiche Anbieter, dessen Produkte Sicherheitslücken aufweisen, der die Macht hat zu bestimmen, wann die Sicherheitslücke veröffentlicht wird und welcher Schweregrad ihr zugeteilt wird. In diesem System kann der Urheber und damit der Verantwortliche für die Sicherheitslücke teilweise selbst bestimmen, was wann veröffentlicht wird, obwohl ihm die Sicherheitslücke bekannt ist und bei seinen Kunden ein Sicherheitsrisiko besteht.
Für das Veröffentlichen von Sicherheitslücken durch Anbieter gibt es selbstverständlich auch einen ISO-Standard.

Der Markt für Sicherheitslücken

Von vielen Anbietern werden Sicherheitsforscher nicht unbedingt nett behandelt, wenn sie Sicherheitslücken melden. Schliesslich haben sie diese ja in Produkten des Anbieters gefunden und das stellt den Anbieter in kein gutes Licht. Es sind Sicherheitslücken, die der Anbieter selbst während der Qualitätssicherung und dem eigenen Testen hätte finden müssen. Sie zeigen nicht nur Probleme eines Produkts auf, sondern auch Defizite in den internen Prozessen bei den Anbietern.
Bisher unbekannte Sicherheitslücken sind für Organisationen interessant, die sich mit Informationsbeschaffung beschäftigen. Solche Organisationen suchen einerseits selbst nach Sicherheitslücken, die sie ausnützen können, und beschaffen sich andererseits Exploits für bisher unbekannte Lücken bei Anbietern für diese "Produkte". Dafür gibt es einen Markt. Für rein geldorientierte Sicherheitsforscher kann dieser sehr lukrativ sein.

Was bringt ein gutes Vulnerability Management?

Ein gutes Vulnerability Management ist besser als nichts, beschränkt sich aber auf bekannte Schwachstellen. Das beste Vulnerability Management nützt nicht viel, wenn die Produkte voller bisher unentdeckter Sicherheitslücken sind oder wenn der Anbieter ihm bekannte Lücken nicht behebt.

Versicherungen gegen Cyberrisiken

Eine Versicherung sollte eigentlich die Risiken kennen, die sie versichert. In der IT ist vieles von den eingesetzten Produkten, deren Konfiguration und ihrer inhärenten Sicherheit abhängig. Das zusätzlich zur Organisation und den Prozessen. Zurzeit kennen die Versicherungen, die Cyberrisiken versichern, diese nur ansatzweise. Dass die Risiken unterschätzt wurden, zeigt sich an den laufend steigenden Prämien für Firmenkunden. Und die Risiken sind bei jedem Kunden individuell und sollten entsprechend individuell ermittelt werden.
Christoph Jaggi ist als selbständiger Berater tätig und ein Experte für den Markt für Verschlüsselungsgeräte. Als Gastautor äussert er seine eigene Meinung, die sich nicht mit der Meinung der Redaktion decken muss.

Loading

Mehr zum Thema

image

Hausmitteilung: neuer Event "IT-Security im Fokus"

Am 25. August findet im Kino Kosmos in Zürich erstmals unser Event "IT-Security im Fokus statt". Gäste dürfen sich auf hochkarätige Speaker freuen.

publiziert am 29.6.2022
image

E-Mail bleibt Einfallstor Nummer eins

Eine Analyse von Trend Micro zeigt eine Zunahme bei Cyberangriffen über E-Mails. Ransomware nimmt ab, aber dafür gehen Angreifer immer gezielter vor.

publiziert am 29.6.2022
image

Technische Probleme bei der deutschen Flugsicherung

Aufgrund einer Software-Panne ist es an wichtigen Flughäfen wie Düsseldorf, Köln und Frankfurt zeitweise zu Störungen gekommen.

publiziert am 29.6.2022
image

Die Schatten-IT ins Licht setzen

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.