Markus Ritter, Managing Security Consultant des usd HeroLabs und Verantwortlicher des Bereiches VMS bei der usd AG, beantwortet die häufigsten Fragen zum Thema Vulnerability Management.
Was verstehen wir unter Vulnerability Management?
IT-Infrastrukturen werden immer komplexer, Bedrohungen immer kritischer. Umso wichtiger ist es für Unternehmen, einen umfassenden Überblick über die eigene Sicherheitslage zu haben, Schwachstellen so früh wie möglich zu erkennen und strukturiert zu behandeln. Das muss nicht nur in der Theorie, sondern auch in der Praxis funktionieren und effizient gestaltet sein – und genau um diese Fragestellungen geht es beim Vulnerability Management:
- Welche (schützenswerten) Assets gibt es im Unternehmen?
- Welche davon sind über das Internet erreichbar?
- Wie werden Schwachstellen in diesen Assets ermittelt und ggf. in welchen Zyklen?
- Wo und wie werden die Schwachstellen erfasst?
- Wie wird mit den Schwachstellen umgegangen?
- Wo und wie wird der Zustand zu den Schwachstellen nachverfolgt?
In einem gesteuerten Prozess (siehe Schaubild) lassen sich diese Fragestellungen strukturiert beantworten.
Welche Treiber gibt es für Vulnerability Management?
Neben dem Wunsch nach einem strukturierten Überblick über die eigene Sicherheitslage können auch Compliance-Anforderungen aus unterschiedlichen Quellen, wie z.B. PCI DSS, KAIT oder KRITIS, ausschlaggebend dafür sein, dass sich ein Unternehmen für den Betrieb eines Vulnerability- Management-Systems entscheidet. Darüber hinaus ist Vulnerability Management häufig ein integraler Bestandteil von Informationssicherheitsmanagementsystemen (ISMS).
Welche Rolle spielen Schwachstellenscans und Pentests im Vulnerability Management?
Ein wesentlicher Bestandteil des Vulnerability Managements ist die Ermittlung von Schwachstellen – denn, wenn Schwachstellen nicht bekannt sind, können sie nicht behandelt und damit verbundene Risiken nicht eingeschätzt werden. Hier können Scans und Pentests, wie auch andere technische Sicherheitsanalysen, als Baustein des Vulnerability Managements ins Spiel kommen. Das Vulnerability Management ist dafür da, mit den Ergebnissen dieser Analysen mittel- bis langfristig zu arbeiten – gefundene Schwachstellen müssen schließlich dokumentiert und fachgerecht geschlossen werden. Falls das Schließen nicht ohne weiteres möglich ist, müssen daraus Risiken abgeleitet und abgewogen werden. Außerdem gilt es, die Quelle von Schwachstellen zu identifizieren und bei Bedarf Systeme oder Prozesse so anzupassen, dass das Wiedereintrittsrisiko in der Zukunft möglichst eliminiert wird. Die eigentliche Arbeit für ein starkes Sicherheitsniveau fängt also nach dem Erhalt der Scan- oder Pentestergebnisse überhaupt erst an.
Wieviel Aufwand bedeutet Vulnerability Management für Unternehmen?
Natürlich bedeutet ein Vulnerability-Management-Projekt in der Regel besonders anfänglich einen nicht unerheblichen Aufwand für Unternehmen. Je größer das Unternehmen ist, desto mehr Quellen für potenzielle Schwachstellen gibt es – und damit wird auch die Erarbeitung und Implementierung eines effizienten Vulnerability Management Systems zeitintensiver. Wie immer, wenn es um mittel- und langfristige Effizienz geht, muss man zu Beginn investieren. Letztlich führt ein angemessenes Vulnerability Management System zu einer erheblichen und langfristigen Erhöhung des Sicherheitsniveaus und damit zu einer deutlichen Reduktion des Risikos, Opfer eines erfolgreichen Angriffs zu werden. Wird man Opfer eines solchen, kommt oft noch viel mehr und vor allem kurzfristige, kaum kalkulierbare Arbeit auf die Mitarbeiter des Unternehmens zu. Zudem sind die entstehenden Kosten häufig um ein Vielfaches Größer als die Kosten für ein Vulnerability Management.
Unternehmen können für Entlastung sorgen, indem sie professionelle Anbieter für Vulnerability Management Services beauftragen. Diese sollten bereits in der Anfangsphase aber auch später im kontinuierlichen Betrieb beratend begleiten und im Idealfall praktisch in der täglichen Arbeit im Unternehmen unterstützen. In der Regel können viele Prozesse automatisiert werden. So bleiben die dauerhaften Aufwände und Kosten überschaubar und es entsteht Freiraum, um sich auf das Wesentliche zu konzentrieren.
Was umfassen die Vulnerability Management Services (VMS) der usd?
Im Rahmen der Vulnerability Management Services können wir unsere Kunden in allen Facetten des Vulnerability Managements unterstützen. Je nachdem, was gerade gebraucht wird, bieten wir umfassende Unterstützung während des gesamten Prozesszyklus aber auch im operativen Betrieb an. Zu den VMS-Leistungen der usd zählen unter anderem:
- Erstellen von Policies und Prozessen
- Auswahl und Einführung von geeigneten Tools
- Verbesserungen beim Einsatz von vorhandenem Tooling
- operative Unterstützung im täglichen Umgang mit Schwachstellen
- Bewertung von Schwachstellen
- Auswertung von Reports
- Nachverfolgung vom Behandlungsstand
- Planung und Koordination von Sicherheitsanalysen
- Beratung zur Behebung von Schwachstellen
- uvm.
Selbstverständlich können auch die technischen Sicherheitsanalysen über die usd durchgeführt werden. Dank der breitgefächerten Expertise der gesamten usd, auf die unser VMS-Team jederzeit zurückgreifen kann, können wir von einzelnen Aspekten bis zum Full-Service alles abbilden.
Wie steigen wir in ein Vulnerability-Management-Projekt ein?
Auch wenn es Orientierungsrahmen und Best Practices gibt, gibt es insbesondere in der praktischen Umsetzung nicht die „eine richtige Lösung“ oder das „eine richtige Tool“. Viele der Maßnahmen sind sehr individuell, hängen unter anderem auch mit der Größe der Unternehmen, Risikobereitschaft, den vorhandenen Prozessen und Toollandschaften, externen Anforderungen sowie weiteren Wünschen und Anforderungen zusammen.
In der Regel starten wir deshalb mit einem Kickoff-Termin, bei dem wir verstehen wollen, wo ein Unternehmen beim Thema Vulnerability Management steht und wo es hinmöchte. Das ist in gewisser Weise ähnlich zu den Gap-Analysen, die bei Beratungsprojekten zu PCI DSS oder ISO27001 durchgeführt werden. Zur Einschätzung des Status Quo und zum Besprechen von Zielmodellen haben wir ein Reifegradmodell entwickelt. Das hilft sowohl uns als auch dem Kunden bei der Interpretation des aktuellen Zustandes und beim Verständnis, in welche Richtung das Vulnerability Management jeweils entwickelt werden soll. Nicht in jedem Fall sind direkt große Sprünge notwendig. Insbesondere zu Beginn kann man auch mit kleinen, gezielten Maßnahmen bereits eine deutliche Verbesserung des Sicherheitsniveaus erreichen.
Vulnerability Management gibt es in vielen Ausprägungen und unter sehr unterschiedlichen Voraussetzungen. Wie die praktische Umsetzung im Einzelfall aussehen kann und welche Herausforderungen damit verbunden sind, erfahren Sie in kommenden Beiträgen.
