Mithilfe von Compliance Richtlinien kann ein Unternehmen prüfen, ob alle im System integrierten Komponenten die erforderlichen Vorgaben erfüllen. Durch die steigende Digitalisierung und die damit einhergehende Zunahme neuer Technologien entstehen Chancen, aber auch Risiken. Aus diesem Grund nehmen auch die Anforderungen an die Compliance zu.Mit GOS 20.08 wurden alle Compliance Richtlinien über den Greenbone Security Feed verfügbar gemacht und vier neue Compliance Richtlinien hinzugefügt:TLS-Map, BSI TR-03116: Part 4,Huawei Datacom Product Security Configuration Audit Guide undWindows 10 Security Hardening.
Was ist überhaupt eine Compliance Richtlinie?
Neben den gesetzlichen Vorgaben haben Unternehmen und Behörden oft auch ihre eigenen Richtlinien, die für die sichere Konfiguration eines Systems zu erfüllen sind. Ziel dabei ist es, für die Informationssicherheit des Unternehmens oder der Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.
Alle Vorgaben und Richtlinien, die dafür nötig sind, werden in einem Dokument zu einer Richtlinie zusammengefasst.
Auf Basis der einzelnen Kriterien der Richtlinien entwickelt Greenbone Networks Schwachstellentests – grob gesagt: ein Kriterium ergibt einen Schwachstellentest. Diese Tests fasst Greenbone Networks zu Scan-Konfigurationen zusammen.
Solche Scan-Konfigurationen, die Richtlinien von Unternehmen oder Behörden abbilden, werden als Compliance Richtlinien bezeichnet.
Beispiel: Ein Unternehmen bringt eine Security Richtlinie mit den folgenden Anforderungen heraus:
Version 2 der Software A ist auf dem Zielsystem installiert
SSH ist auf dem Zielsystem aktiviert
Software B ist nicht auf dem Zielsystem installiert
Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.
Die drei Tests werden dann zu einer Compliance Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen beim Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.
Neu: Verteilung der Compliance Richtlinien über denGreenbone Security Feed
Ab GOS 20.08 werden alle standardmäßigen Scan-Konfigurationen, Berichtsformate, Portlisten und Compliance Richtlinien von Greenbone Networks über den Greenbone Security Feed verteilt.
Dies ermöglicht unter anderem die Veröffentlichung und Verteilung von Scan-Konfigurationen für aktuelle, heiße Schwachstellen-Tests. Früher wurden diese als XML-Dateien für den manuellen Download auf der Greenbone-Download-Website veröffentlicht und mussten vom Nutzer selbst importiert werden – was sehr mühsam war und Raum für Fehler ließ, weshalb eine schnelle Anwendung kaum möglich war.
Doch dies ist nicht der einzige Vorteil. Auch die Fehlerbehebung für den Kunden ist somit viel einfacher und schneller: die Objekte können mit einem einzigen Feed-Update für alle Setups aktualisiert und, falls nötig, gefixt werden.
Zusätzlich zu dieser Neuerung wurde der Greenbone Security Feed um ein paar wichtige Compliance Richtlinien erweitert.
Mehr Compliance Richtlinien im Greenbone Security Feed
Dem Greenbone Security Feed wurden im 4. Quartal 2020 vier neue Compliance Richtlinien hinzugefügt:
Hinweis: Bei TLS-Map handelt es sich um eine Scan-Konfiguration für spezielle Scans, die sich von Schwachstellenscans unterscheiden. Aus Gründen der Übersichtlichkeit wird diese spezielle Scan-Konfiguration in diesem Beitrag mit den Compliance Richtlinien zusammen aufgeführt.
Die spezielle Scan-Konfiguration TLS-Map ist überall dort hilfreich, wo eine gesicherte Kommunikation über das Internet stattfindet. TLS – kurz für Transport Layer Security – ist ein Protokoll für die sichere Übertragung von Daten im Internet. Es ist der Nachfolger von SSL – Secure Sockets Layer –, weshalb beide Protokolle auch heute oft noch synonym verwendet werden. Alle SSL-Versionen und TLS-Versionen vor Version 1.2 sind allerdings seit spätestens 2020 veraltet und somit unsicher.
Das größte Einsatzgebiet von TLS ist die Datenübertragung im World Wide Web (WWW), beispielsweise zwischen einem Webbrowser als Client und einem Server wie www.greenbone.net. Andere Anwendungsgebiete finden sich im E-Mail-Verkehr und bei der Übertragung von Dateien über File Transport Protocol (FTP).
Die spezielle Scan-Konfiguration TLS-Map prüft, ob die erforderliche TLS-Version auf dem Zielsystem vorhanden ist und ob die benötigten Verschlüsselungsalgorithmen – sogenannte Ciphers – angeboten werden.
Über die Compliance Richtlinie BSI TR-03116: Part 4
Die Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt für Projekte der Bundesregierung zum Einsatz. Das bedeutet, soll ein Bundesprojekt umgesetzt werden, muss die Richtlinie erfüllt werden. Sie besteht aus insgesamt 5 Teilen:
Teil 1: Telematikinfrastruktur
Teil 2: Hoheitliche Ausweisdokumente
Teil 3: Intelligente Messsysteme
Teil 4: Kommunikationsverfahren in Anwendungen
Teil 5: Anwendungen der Secure Element API
Die Compliance Richtlinie, die Greenbone Networks entsprechend entwickelt hat, prüft, ob die Inhalte des vierten Teils der Richtlinie erfüllt werden. Dieser Teil enthält Anforderungen für Kommunikationsverfahren.
Die Compliance Richtlinie BSI TR-03116: Part 4 im Greenbone Security Feed prüft die drei Hauptanforderungen – minimal unterstützte TLS-Version sowie notwendige und nicht legitime Ciphers – der technischen Richtlinie.
Über die Compliance Richtlinie Huawei Datacom Product Security Configuration Audit Guide
Compliance Richtlinien für Huawei-Lösungen befinden sich bereits seit längerer Zeit im Greenbone Security Feed.
Für die folgenden beiden Lösungen hatte Greenbone Networks bereits zuvor Compliance Richtlinien entwickelt:
EulerOS: Linux-Betriebssystem, basierend auf CentOS
Zugehörige Compliance Richtlinie: EulerOS Linux Security Configuration
Mit einer Compliance Richtlinie für Huawei Datacom, einer Produktkategorie, die auch Router und Switches mit einem eigenen Betriebssystem umfasst, kommt nun eine dritte Compliance Richtlinie für von Huawei entwickelte Lösungen hinzu.
Für alle drei Produkte – Huawei Datacom, EulerOS und GaussDB – gibt es Sicherheitskonfigurationen, die von Huawei vorgegeben wurden. Auf deren Basis hat Greenbone Networks Compliance Richtlinien entwickelt, die die Einhaltung eben jener Sicherheitskonfigurationen prüfen. Die unterschiedlichen Compliance Richtlinien finden immer dann Anwendung, wenn auf dem Zielsystem die entsprechende Lösung vorhanden ist.
Für Huawei Datacom vertreibt Huawei den Huawei Datacom Product Security Configuration Audit Guide. Die zugehörige, neu entwickelte Compliance Richtlinie prüft beispielsweise ob die korrekten Versionen von SSH und SNMP auf dem Zielsystem vorhanden ist.
Über die Compliance Richtlinie Windows 10 Security Hardening
Die Compliance Richtlinie Windows 10 Security Hardening beinhaltet Schwachstellentests, um die Härtung von Windows 10 nach Industriestandards zu bewerten.
Unter anderem prüft die Compliance Richtlinie unterschiedliche Passwortvorgaben wie Alter, Länge und Komplexität des Passworts, Vorgaben für das Vergeben von Benutzerrechten und Anforderungen für unterschiedliche Systemdienste.
Jetzt noch schnellere Einbindung von Compliance Richtlinien mit GOS 20.08
Mit fortschreitender Digitalisierung wachsen in Unternehmen jeder Größe und Branche die Anforderungen an die Compliance.
Durch die direkte Einbindung der Compliance Richtlinien über den Greenbone Security Feed und der Aufnahme neuer Compliance Richtlinien, werden Zielsysteme noch effektiver, einfacher und schneller geprüft und somit der Schutz der IT-Infrastruktur erhöht, ohne dass spezielles Compliance-Know-How benötigt wird.
Natürlich arbeiten wir auch weiterhin laufend an neuen Compliance Richtlinien. Sie dürfen also gespannt sein!
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Kristin Schlosserhttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgKristin Schlosser2020-11-09 14:51:422020-11-19 07:43:01Direkte Einbindung von Compliance Richtlinien über den Greenbone Security Feed
In der Corona-Krise mussten viele Unternehmen im Eiltempo Home Office-Arbeitsplätze einrichten. Die Security blieb dabei oft auf der Strecke. Höchste Zeit, Versäumnisse nachzuholen. Denn im Heimnetzwerk lauern viele Schwachstellen. Die Greenbone Managed Service Plattform (GMSP) hilft dabei, sie aufzuspüren und zu schließen.
Auch wenn wir langsam zur Normalität zurückkehren, werden Home Office-Arbeitsplätze künftig eine größere Rolle spielen. Viele Unternehmen haben erkannt, dass arbeiten zu Hause möglich ist und durchaus Vorteile mit sich bringt. Vor allem aber haben wir alle aus der Pandemie gelernt, wie wichtig es ist, im Krisenfall handlungsfähig zu bleiben. Mitte März musste alles schnell-schnell gehen. Doch jetzt, wo wieder mehr Ruhe einkehrt, sollten Unternehmen Sicherheitslücken schleunigst schließen. Denn sonst haben Cyberkriminelle leichtes Spiel.
Was ist eigentlich das Problematische an der Home Office-Situation? Wenn man Firmen-Laptops plötzlich ins Heimnetzwerk verlegt, reißt man sie aus einer gut abgesicherten Umgebung und macht sie angreifbar. Gewohnte Security-Mechanismen wie Firewalls und Virenscanner fehlen hier. Deshalb ist es wichtig Systemkonfigurationen und Nutzerberechtigungen an die veränderten Bedingungen anzupassen. Was im Firmennetz erlaubt ist, darf nicht eins zu eins ins Home Office übertragen werden. Zum Beispiel Download-Rechte: Lädt ein Mitarbeiter im Büro eine Datei herunter, wird sie vorab von der Firewall gefiltert – im Heimnetzwerk dagegen nicht. Handelt es sich um Malware, kann sie den Rechner ungestört infizieren. Unbedingt prüfen sollten Administratoren auch die Konfiguration des VPN-Clients, über den sich der Mitarbeiter mit dem Unternehmensnetz verbindet. Denn manche Clients sind so eingerichtet, dass sie nur ausgewählten Datenverkehr über die Unternehmens-Infrastruktur leiten. Reine Internet-Anfragen, zum Beispiel an bekannte öffentliche Dienste, gehen dagegen direkt an einen Server im Internet und damit an der Firewall vorbei.
Viele leichte Angriffsziele
Ein weiteres Risiko stellen die Systeme dar, von denen das Firmen-Notebook im Home Office umgeben ist. Das können zum Beispiel Computer von Familienangehörigen oder Smart-TVs sein. Häufig sind sie ungepatcht und veraltet. Denn wer installiert im privaten Umfeld schon sorgfältig jedes Update? Für Cyberkriminelle sind solche Geräte ein leichtes Ziel. Einmal gekapert, können die Hacker von dort aus andere Systeme im selben Netzwerk kompromittieren und sogar bis ins Unternehmensnetz vordringen. Ob sich ein Angriff lohnt, können sie meist ganz einfach erkennen. Vielleicht stand in der Lokalzeitung, dass Firma XY ihre Mitarbeiter ins Home Office geschickt hat. Oder es ist bereits ein Familien-Computer mit einer Spionage-Malware infiziert. Ein solcher Trojaner scannt seine Umgebung kontinuierlich und meldet, wenn neue Systeme hinzukommen. Der Hacker kann dann anhand des Systemnamens erkennen, dass es sich um ein Unternehmens-Laptop handelt, und weitere Schritte planen.
Hacker nutzen die Krise aus
Gerade in Zeiten von Corona haben es Cyberkriminelle leicht, Opfer auszutricksen und Malware einzuschleusen. Denn die Menschen sind verunsichert und fallen dadurch leichter auf Betrüger herein. Eine besonders beliebte Angriffsmethode ist Phishing. So versuchten Hacker zum Beispiel verstärkt, Anwender auf vermeintliche Corona-Informationsseiten zu locken und dort zum Download gefährlicher Dateien zu bewegen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nahm die Zahl der Corona-bezogenen Domain-Registrierungen exponentiell zu – wohl auch im Hinblick auf kriminelle Aktivitäten. Eine andere Masche könnte sein, dass sich ein Hacker als Netzwerkadministrator ausgibt und einen Mitarbeiter auffordert, sein System zu aktualisieren – er müsse dafür nur den beigefügten Link anklicken. Schon installiert der arglose Nutzer einen manipulierten VPN-Client, der sämtlichen Netzwerkverkehr über den Server des Cyberkriminellen leitet.
Schwachstellen identifizieren und schließen
Eine wichtige Maßnahme, um die Sicherheit im Home Office zu erhöhen, besteht darin, Sicherheitslücken aufzudecken und zu schließen. Viele Unternehmen betreiben schon Schwachstellenmanagement in ihrer internen Infrastruktur. Mit der GMSP von Greenbone lässt sich dies ganz einfach auf die Home-Office-Umgebung ausweiten. Der Cloud Service scannt alle im Netzwerk angeschlossenen Systeme auf Sicherheitslücken, zum Beispiel fehlende Patches oder unsichere Konfigurationen. Anschließend bewertet er die Funde nach Risiko und schlägt Methoden zur Minderung vor. Um ein Home Office-Netzwerk in das Vulnerability Management einzubinden, müssen Kunden lediglich ein neues Gateway auf der Plattform anlegen. Anschließend erhält der jeweilige Mitarbeiter einen Download-Link, installiert das Gateway und startet den Scan. Abgerechnet wird nach Zahl der gescannten IP-Adressen. Wenn das Unternehmen die GMSP bereits intern nutzt, fallen für das Home Office Gateway keine zusätzlichen Kosten an.
Am Ende profitieren beide Seiten: der Mitarbeiter und das Unternehmen. Der Mitarbeiter kann sein Heimnetzwerk mit einer professionellen Lösung auf Schwachstellen scannen und so die Cyber Security bei sich zu Hause erhöhen. Das Unternehmen gewinnt mehr Transparenz über die erweiterte Angriffsfläche, kann bestehende Sicherheitslücken schließen und sich resilienter gegen Cyberangriffe machen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Patricia Meiberthttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgPatricia Meibert2020-06-29 14:27:472020-06-29 14:27:47Schwachstellen-Management im Home Office
Cyber Resilience ist in aller Munde – Medien, Unternehmen, Hersteller und auch Regierungen diskutieren über diesen Nachfolger der klassischen IT Security mit wachsender Intensität. Doch was verbirgt sich hinter dem Konzept genau und wie können es Unternehmen umsetzen beziehungsweise was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen sind wir bei Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Die Ergebnisse liegen nun in einem 52-seitigen Berichtsband vor.
Die Zukunft der IT Security heißt Cyber Resilience, das wird immer mehr Verantwortlichen bewusst. Angesichts zunehmend aggressiverer Hacker-Strategien und steigender Technologiekomplexität können sie nicht länger darauf vertrauen, dass der IT-Security-Schutzwall um ihre Unternehmens-IT alle Angriffe abwehrt. Früher oder später wird ein Angreifer einen Weg finden – und was dann? Dann geht es darum, den Schaden so gut wie möglich einzudämmen und die Kerngeschäftsprozesse aufrechtzuerhalten, um Kunden weiterhin mit Produkten und Dienstleistungen zu versorgen.
Kernziel der Studie: Resilienz-Merkmale identifizieren
Wir bei Greenbone beschäftigen uns schon seit mehreren Jahren intensiv mit Cyber Resilience. Was macht sie aus? Welche Dimensionen gibt es zu beachten? Vor welchen individuellen Herausforderungen stehen Unternehmen in verschiedenen Branchen dabei? Welche Best Practices haben sich bewährt? Um Antworten auf diese und noch mehr Fragen zu finden, haben wir zusammen mit dem Marktforschungsunternehmen Frost & Sullivan eine großangelegte Studie durchgeführt. Unser Grundgedanke dabei war, besonders widerstandsfähige Unternehmen zu identifizieren und anschließend zu analysieren, was diese im Vergleich zu weniger widerstandfähigen Betrieben auszeichnet. Auf diese Weise lassen sich konkrete Handlungs- und Investitionsempfehlungen ableiten – die uns nicht zuletzt auch dabei helfen, unsere bewährte Schwachstellenmanagement-Technologie weiterzuentwickeln, die wir seit Kurzem auch als Managed Service anbieten.
Zufällig entdecktes Datenleck im Gesundheitssektor verzögert Veröffentlichung
Besonderes Augenmerk legen wir dabei auf Unternehmen in kritischen Infrastrukturen (KRITIS). Denn bei Ihnen geht es nicht nur um wirtschaftliche Einbußen oder Rufschädigungen – hier sind im Extremfall Menschenleben bedroht, wenn etwa medizinische Geräte ausfallen oder die Stromversorgung für die Bevölkerung zusammenbricht. Daher wollten wir die Studienergebnisse mit Praxisbeispielen aus eben diesen KRITIS-Sektoren anreichern – und stießen bei unseren Recherchen auf ein riesiges Datenleck im Gesundheitsbereich: Millionen Patientendatensätze und damit verknüpfte medizinische Bilder waren über eine Schwachstelle der PACS-Server (Picture Archiving and Communication Systems-Server), auf denen sie gespeichert sind, frei zugänglich – auch ohne jegliche Programmierkenntnisse. Komplette Krankengeschichten, inklusive persönlichen Daten wie Name und Geburtstag des Patienten sowie Name des behandelnden Arztes, konnten vollständig ausgelesen werden.
Ein Skandal, der für uns die Veröffentlichung der Studienergebnisse erst einmal in den Hintergrund rücken ließ. In Zusammenarbeit mit dem Bayerischen Rundfunk und der US-Investigativ-Plattform ProPublica, die über unsere Recherche berichteten, und anschließend mit Behörden und IT-Security-Spezialisten rund um den Globus setzten wir uns intensiv dafür ein, den freien Zugriff auf diese Patientendaten schnellstmöglich einzuschränken. Mit nur teilweisem Erfolg: Noch immer sind etwa 400 PACS-Systeme mit dem Internet verbunden und die darauf gespeicherten Patientendaten damit für jedermann zugänglich. Daher sind wir auch weiterhin in engem Austausch mit den zuständigen Behörden. Unseren Bericht zum Patientendatenleck gibt es hier zum Download.
Preview einiger Studienergebnisse
Neben unserer Arbeit im Gesundheitssektor bezogen wir in unsere Studie auch Unternehmen aus den Bereichen Energie, Finanzen, Telekommunikation, Transport und Wasser ein. Insgesamt befragten wir 370 Organisationen mit durchschnittlich 13.500 Mitarbeitern aus den fünf größten Volkswirtschaften der Welt: den USA, Großbritannien, Frankreich, Japan und Deutschland. Aus diesem breit gefächerten Studiendesign konnten wir neben Antworten auf unsere Kernfragen einige weitere interessante Erkenntnisse gewinnen:
US-Unternehmen sind Vorreiter in Sachen Cyber Resilience
Insgesamt sind nur 36 Prozent der befragten Unternehmen in hohem Maße Cyber-resilient. Die USA schneiden mit 50 Prozent am besten ab, europäische Unternehmen liegen im Mittelfeld und japanische Organisationen bilden mit nur 22 Prozent das untere Ende der Skala.
Sektor Transport am wenigsten widerstandsfähig gegen Cyber-Angriffe
Über alle Länder hinweg sind Finanz- und Telekommunikationsunternehmen (46 Prozent) am besten gegen Cyber-Angriffe gerüstet. Es folgen die Sektoren Wasser (36 Prozent), Gesundheit (34 Prozent) und Energie (32 Prozent). Bei Transportunternehmen erreichen nur 22 Prozent ein hohes Niveau an Cyber Resilience.
Nicht Budget, sondern Verständnis von Geschäftsprozessen ist entscheidend
Zwar haben die von uns identifizierten Cyber-resilienten Unternehmen im Schnitt einen größeren Umsatz und ein höheres IT-Budget. Detailanalysen zeigen jedoch, dass die keinesfalls entscheidend ist. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind.
Elf Merkmale, die Cyber-resiliente Unternehmen auszeichnen
In unserer Untersuchung konnten wir drei Gruppen von Merkmalen identifizieren, die die Cyber-Resilienz von Unternehmen um den Faktor zwei, drei und sechs erhöhen. Daraus haben wir eine Art „Roadmap“ entwickelt, mit der Unternehmen ihren Reifegrad erhöhen und ein hohes Maß an Cyber Resilience schaffen können.
Den vollständigen Studien-Report inklusive Roadmap können Sie hier anfragen.
https://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpg00Patricia Meiberthttps://www.greenbone.net/wp-content/uploads/01_Logo-mit-Schriftzug_500px_on_white_horiz1.jpgPatricia Meibert2020-05-25 10:34:352020-05-25 11:06:37Neue Studie zu Cyber Resilience: Was machen widerstandsfähige Unternehmen anders?
Direkte Einbindung von Compliance Richtlinien über den Greenbone Security Feed
BlogMithilfe von Compliance Richtlinien kann ein Unternehmen prüfen, ob alle im System integrierten Komponenten die erforderlichen Vorgaben erfüllen. Durch die steigende Digitalisierung und die damit einhergehende Zunahme neuer Technologien entstehen Chancen, aber auch Risiken. Aus diesem Grund nehmen auch die Anforderungen an die Compliance zu. Mit GOS 20.08 wurden alle Compliance Richtlinien über den Greenbone Security Feed verfügbar gemacht und vier neue Compliance Richtlinien hinzugefügt: TLS-Map, BSI TR-03116: Part 4, Huawei Datacom Product Security Configuration Audit Guide und Windows 10 Security Hardening.
Was ist überhaupt eine Compliance Richtlinie?
Neben den gesetzlichen Vorgaben haben Unternehmen und Behörden oft auch ihre eigenen Richtlinien, die für die sichere Konfiguration eines Systems zu erfüllen sind. Ziel dabei ist es, für die Informationssicherheit des Unternehmens oder der Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.
Alle Vorgaben und Richtlinien, die dafür nötig sind, werden in einem Dokument zu einer Richtlinie zusammengefasst.
Auf Basis der einzelnen Kriterien der Richtlinien entwickelt Greenbone Networks Schwachstellentests – grob gesagt: ein Kriterium ergibt einen Schwachstellentest. Diese Tests fasst Greenbone Networks zu Scan-Konfigurationen zusammen.
Solche Scan-Konfigurationen, die Richtlinien von Unternehmen oder Behörden abbilden, werden als Compliance Richtlinien bezeichnet.
Beispiel: Ein Unternehmen bringt eine Security Richtlinie mit den folgenden Anforderungen heraus:
Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.
Die drei Tests werden dann zu einer Compliance Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen beim Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.
Neu: Verteilung der Compliance Richtlinien über den Greenbone Security Feed
Ab GOS 20.08 werden alle standardmäßigen Scan-Konfigurationen, Berichtsformate, Portlisten und Compliance Richtlinien von Greenbone Networks über den Greenbone Security Feed verteilt.
Dies ermöglicht unter anderem die Veröffentlichung und Verteilung von Scan-Konfigurationen für aktuelle, heiße Schwachstellen-Tests. Früher wurden diese als XML-Dateien für den manuellen Download auf der Greenbone-Download-Website veröffentlicht und mussten vom Nutzer selbst importiert werden – was sehr mühsam war und Raum für Fehler ließ, weshalb eine schnelle Anwendung kaum möglich war.
Doch dies ist nicht der einzige Vorteil. Auch die Fehlerbehebung für den Kunden ist somit viel einfacher und schneller: die Objekte können mit einem einzigen Feed-Update für alle Setups aktualisiert und, falls nötig, gefixt werden.
Zusätzlich zu dieser Neuerung wurde der Greenbone Security Feed um ein paar wichtige Compliance Richtlinien erweitert.
Mehr Compliance Richtlinien im Greenbone Security Feed
Dem Greenbone Security Feed wurden im 4. Quartal 2020 vier neue Compliance Richtlinien hinzugefügt:
Über die spezielle Scan-Konfiguration TLS-Map
Hinweis: Bei TLS-Map handelt es sich um eine Scan-Konfiguration für spezielle Scans, die sich von Schwachstellenscans unterscheiden. Aus Gründen der Übersichtlichkeit wird diese spezielle Scan-Konfiguration in diesem Beitrag mit den Compliance Richtlinien zusammen aufgeführt.
Die spezielle Scan-Konfiguration TLS-Map ist überall dort hilfreich, wo eine gesicherte Kommunikation über das Internet stattfindet. TLS – kurz für Transport Layer Security – ist ein Protokoll für die sichere Übertragung von Daten im Internet. Es ist der Nachfolger von SSL – Secure Sockets Layer –, weshalb beide Protokolle auch heute oft noch synonym verwendet werden. Alle SSL-Versionen und TLS-Versionen vor Version 1.2 sind allerdings seit spätestens 2020 veraltet und somit unsicher.
Das größte Einsatzgebiet von TLS ist die Datenübertragung im World Wide Web (WWW), beispielsweise zwischen einem Webbrowser als Client und einem Server wie www.greenbone.net. Andere Anwendungsgebiete finden sich im E-Mail-Verkehr und bei der Übertragung von Dateien über File Transport Protocol (FTP).
Die spezielle Scan-Konfiguration TLS-Map prüft, ob die erforderliche TLS-Version auf dem Zielsystem vorhanden ist und ob die benötigten Verschlüsselungsalgorithmen – sogenannte Ciphers – angeboten werden.
Über die Compliance Richtlinie BSI TR-03116: Part 4
Die Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt für Projekte der Bundesregierung zum Einsatz. Das bedeutet, soll ein Bundesprojekt umgesetzt werden, muss die Richtlinie erfüllt werden. Sie besteht aus insgesamt 5 Teilen:
Die Compliance Richtlinie, die Greenbone Networks entsprechend entwickelt hat, prüft, ob die Inhalte des vierten Teils der Richtlinie erfüllt werden. Dieser Teil enthält Anforderungen für Kommunikationsverfahren.
Die Compliance Richtlinie BSI TR-03116: Part 4 im Greenbone Security Feed prüft die drei Hauptanforderungen – minimal unterstützte TLS-Version sowie notwendige und nicht legitime Ciphers – der technischen Richtlinie.
Über die Compliance Richtlinie Huawei Datacom Product Security Configuration Audit Guide
Compliance Richtlinien für Huawei-Lösungen befinden sich bereits seit längerer Zeit im Greenbone Security Feed.
Für die folgenden beiden Lösungen hatte Greenbone Networks bereits zuvor Compliance Richtlinien entwickelt:
Zugehörige Compliance Richtlinie: EulerOS Linux Security Configuration
Zugehörige Compliance Richtlinie: GaussDB 100 V300R001C00 Security Hardening Guide
Mit einer Compliance Richtlinie für Huawei Datacom, einer Produktkategorie, die auch Router und Switches mit einem eigenen Betriebssystem umfasst, kommt nun eine dritte Compliance Richtlinie für von Huawei entwickelte Lösungen hinzu.
Für alle drei Produkte – Huawei Datacom, EulerOS und GaussDB – gibt es Sicherheitskonfigurationen, die von Huawei vorgegeben wurden. Auf deren Basis hat Greenbone Networks Compliance Richtlinien entwickelt, die die Einhaltung eben jener Sicherheitskonfigurationen prüfen. Die unterschiedlichen Compliance Richtlinien finden immer dann Anwendung, wenn auf dem Zielsystem die entsprechende Lösung vorhanden ist.
Für Huawei Datacom vertreibt Huawei den Huawei Datacom Product Security Configuration Audit Guide. Die zugehörige, neu entwickelte Compliance Richtlinie prüft beispielsweise ob die korrekten Versionen von SSH und SNMP auf dem Zielsystem vorhanden ist.
Über die Compliance Richtlinie Windows 10 Security Hardening
Die Compliance Richtlinie Windows 10 Security Hardening beinhaltet Schwachstellentests, um die Härtung von Windows 10 nach Industriestandards zu bewerten.
Unter anderem prüft die Compliance Richtlinie unterschiedliche Passwortvorgaben wie Alter, Länge und Komplexität des Passworts, Vorgaben für das Vergeben von Benutzerrechten und Anforderungen für unterschiedliche Systemdienste.
Jetzt noch schnellere Einbindung von Compliance Richtlinien mit GOS 20.08
Mit fortschreitender Digitalisierung wachsen in Unternehmen jeder Größe und Branche die Anforderungen an die Compliance.
Durch die direkte Einbindung der Compliance Richtlinien über den Greenbone Security Feed und der Aufnahme neuer Compliance Richtlinien, werden Zielsysteme noch effektiver, einfacher und schneller geprüft und somit der Schutz der IT-Infrastruktur erhöht, ohne dass spezielles Compliance-Know-How benötigt wird.
Natürlich arbeiten wir auch weiterhin laufend an neuen Compliance Richtlinien. Sie dürfen also gespannt sein!
Schwachstellen-Management im Home Office
BlogAuch wenn wir langsam zur Normalität zurückkehren, werden Home Office-Arbeitsplätze künftig eine größere Rolle spielen. Viele Unternehmen haben erkannt, dass arbeiten zu Hause möglich ist und durchaus Vorteile mit sich bringt. Vor allem aber haben wir alle aus der Pandemie gelernt, wie wichtig es ist, im Krisenfall handlungsfähig zu bleiben. Mitte März musste alles schnell-schnell gehen. Doch jetzt, wo wieder mehr Ruhe einkehrt, sollten Unternehmen Sicherheitslücken schleunigst schließen. Denn sonst haben Cyberkriminelle leichtes Spiel.
Was ist eigentlich das Problematische an der Home Office-Situation? Wenn man Firmen-Laptops plötzlich ins Heimnetzwerk verlegt, reißt man sie aus einer gut abgesicherten Umgebung und macht sie angreifbar. Gewohnte Security-Mechanismen wie Firewalls und Virenscanner fehlen hier. Deshalb ist es wichtig Systemkonfigurationen und Nutzerberechtigungen an die veränderten Bedingungen anzupassen. Was im Firmennetz erlaubt ist, darf nicht eins zu eins ins Home Office übertragen werden. Zum Beispiel Download-Rechte: Lädt ein Mitarbeiter im Büro eine Datei herunter, wird sie vorab von der Firewall gefiltert – im Heimnetzwerk dagegen nicht. Handelt es sich um Malware, kann sie den Rechner ungestört infizieren. Unbedingt prüfen sollten Administratoren auch die Konfiguration des VPN-Clients, über den sich der Mitarbeiter mit dem Unternehmensnetz verbindet. Denn manche Clients sind so eingerichtet, dass sie nur ausgewählten Datenverkehr über die Unternehmens-Infrastruktur leiten. Reine Internet-Anfragen, zum Beispiel an bekannte öffentliche Dienste, gehen dagegen direkt an einen Server im Internet und damit an der Firewall vorbei.
Viele leichte Angriffsziele
Ein weiteres Risiko stellen die Systeme dar, von denen das Firmen-Notebook im Home Office umgeben ist. Das können zum Beispiel Computer von Familienangehörigen oder Smart-TVs sein. Häufig sind sie ungepatcht und veraltet. Denn wer installiert im privaten Umfeld schon sorgfältig jedes Update? Für Cyberkriminelle sind solche Geräte ein leichtes Ziel. Einmal gekapert, können die Hacker von dort aus andere Systeme im selben Netzwerk kompromittieren und sogar bis ins Unternehmensnetz vordringen. Ob sich ein Angriff lohnt, können sie meist ganz einfach erkennen. Vielleicht stand in der Lokalzeitung, dass Firma XY ihre Mitarbeiter ins Home Office geschickt hat. Oder es ist bereits ein Familien-Computer mit einer Spionage-Malware infiziert. Ein solcher Trojaner scannt seine Umgebung kontinuierlich und meldet, wenn neue Systeme hinzukommen. Der Hacker kann dann anhand des Systemnamens erkennen, dass es sich um ein Unternehmens-Laptop handelt, und weitere Schritte planen.
Hacker nutzen die Krise aus
Gerade in Zeiten von Corona haben es Cyberkriminelle leicht, Opfer auszutricksen und Malware einzuschleusen. Denn die Menschen sind verunsichert und fallen dadurch leichter auf Betrüger herein. Eine besonders beliebte Angriffsmethode ist Phishing. So versuchten Hacker zum Beispiel verstärkt, Anwender auf vermeintliche Corona-Informationsseiten zu locken und dort zum Download gefährlicher Dateien zu bewegen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nahm die Zahl der Corona-bezogenen Domain-Registrierungen exponentiell zu – wohl auch im Hinblick auf kriminelle Aktivitäten. Eine andere Masche könnte sein, dass sich ein Hacker als Netzwerkadministrator ausgibt und einen Mitarbeiter auffordert, sein System zu aktualisieren – er müsse dafür nur den beigefügten Link anklicken. Schon installiert der arglose Nutzer einen manipulierten VPN-Client, der sämtlichen Netzwerkverkehr über den Server des Cyberkriminellen leitet.
Schwachstellen identifizieren und schließen
Eine wichtige Maßnahme, um die Sicherheit im Home Office zu erhöhen, besteht darin, Sicherheitslücken aufzudecken und zu schließen. Viele Unternehmen betreiben schon Schwachstellenmanagement in ihrer internen Infrastruktur. Mit der GMSP von Greenbone lässt sich dies ganz einfach auf die Home-Office-Umgebung ausweiten. Der Cloud Service scannt alle im Netzwerk angeschlossenen Systeme auf Sicherheitslücken, zum Beispiel fehlende Patches oder unsichere Konfigurationen. Anschließend bewertet er die Funde nach Risiko und schlägt Methoden zur Minderung vor. Um ein Home Office-Netzwerk in das Vulnerability Management einzubinden, müssen Kunden lediglich ein neues Gateway auf der Plattform anlegen. Anschließend erhält der jeweilige Mitarbeiter einen Download-Link, installiert das Gateway und startet den Scan. Abgerechnet wird nach Zahl der gescannten IP-Adressen. Wenn das Unternehmen die GMSP bereits intern nutzt, fallen für das Home Office Gateway keine zusätzlichen Kosten an.
Am Ende profitieren beide Seiten: der Mitarbeiter und das Unternehmen. Der Mitarbeiter kann sein Heimnetzwerk mit einer professionellen Lösung auf Schwachstellen scannen und so die Cyber Security bei sich zu Hause erhöhen. Das Unternehmen gewinnt mehr Transparenz über die erweiterte Angriffsfläche, kann bestehende Sicherheitslücken schließen und sich resilienter gegen Cyberangriffe machen.
Neue Studie zu Cyber Resilience: Was machen widerstandsfähige Unternehmen anders?
BlogCyber Resilience ist in aller Munde – Medien, Unternehmen, Hersteller und auch Regierungen diskutieren über diesen Nachfolger der klassischen IT Security mit wachsender Intensität. Doch was verbirgt sich hinter dem Konzept genau und wie können es Unternehmen umsetzen beziehungsweise was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen sind wir bei Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Die Ergebnisse liegen nun in einem 52-seitigen Berichtsband vor.
Die Zukunft der IT Security heißt Cyber Resilience, das wird immer mehr Verantwortlichen bewusst. Angesichts zunehmend aggressiverer Hacker-Strategien und steigender Technologiekomplexität können sie nicht länger darauf vertrauen, dass der IT-Security-Schutzwall um ihre Unternehmens-IT alle Angriffe abwehrt. Früher oder später wird ein Angreifer einen Weg finden – und was dann? Dann geht es darum, den Schaden so gut wie möglich einzudämmen und die Kerngeschäftsprozesse aufrechtzuerhalten, um Kunden weiterhin mit Produkten und Dienstleistungen zu versorgen.
Kernziel der Studie: Resilienz-Merkmale identifizieren
Wir bei Greenbone beschäftigen uns schon seit mehreren Jahren intensiv mit Cyber Resilience. Was macht sie aus? Welche Dimensionen gibt es zu beachten? Vor welchen individuellen Herausforderungen stehen Unternehmen in verschiedenen Branchen dabei? Welche Best Practices haben sich bewährt? Um Antworten auf diese und noch mehr Fragen zu finden, haben wir zusammen mit dem Marktforschungsunternehmen Frost & Sullivan eine großangelegte Studie durchgeführt. Unser Grundgedanke dabei war, besonders widerstandsfähige Unternehmen zu identifizieren und anschließend zu analysieren, was diese im Vergleich zu weniger widerstandfähigen Betrieben auszeichnet. Auf diese Weise lassen sich konkrete Handlungs- und Investitionsempfehlungen ableiten – die uns nicht zuletzt auch dabei helfen, unsere bewährte Schwachstellenmanagement-Technologie weiterzuentwickeln, die wir seit Kurzem auch als Managed Service anbieten.
Zufällig entdecktes Datenleck im Gesundheitssektor verzögert Veröffentlichung
Besonderes Augenmerk legen wir dabei auf Unternehmen in kritischen Infrastrukturen (KRITIS). Denn bei Ihnen geht es nicht nur um wirtschaftliche Einbußen oder Rufschädigungen – hier sind im Extremfall Menschenleben bedroht, wenn etwa medizinische Geräte ausfallen oder die Stromversorgung für die Bevölkerung zusammenbricht. Daher wollten wir die Studienergebnisse mit Praxisbeispielen aus eben diesen KRITIS-Sektoren anreichern – und stießen bei unseren Recherchen auf ein riesiges Datenleck im Gesundheitsbereich: Millionen Patientendatensätze und damit verknüpfte medizinische Bilder waren über eine Schwachstelle der PACS-Server (Picture Archiving and Communication Systems-Server), auf denen sie gespeichert sind, frei zugänglich – auch ohne jegliche Programmierkenntnisse. Komplette Krankengeschichten, inklusive persönlichen Daten wie Name und Geburtstag des Patienten sowie Name des behandelnden Arztes, konnten vollständig ausgelesen werden.
Ein Skandal, der für uns die Veröffentlichung der Studienergebnisse erst einmal in den Hintergrund rücken ließ. In Zusammenarbeit mit dem Bayerischen Rundfunk und der US-Investigativ-Plattform ProPublica, die über unsere Recherche berichteten, und anschließend mit Behörden und IT-Security-Spezialisten rund um den Globus setzten wir uns intensiv dafür ein, den freien Zugriff auf diese Patientendaten schnellstmöglich einzuschränken. Mit nur teilweisem Erfolg: Noch immer sind etwa 400 PACS-Systeme mit dem Internet verbunden und die darauf gespeicherten Patientendaten damit für jedermann zugänglich. Daher sind wir auch weiterhin in engem Austausch mit den zuständigen Behörden. Unseren Bericht zum Patientendatenleck gibt es hier zum Download.
Preview einiger Studienergebnisse
Neben unserer Arbeit im Gesundheitssektor bezogen wir in unsere Studie auch Unternehmen aus den Bereichen Energie, Finanzen, Telekommunikation, Transport und Wasser ein. Insgesamt befragten wir 370 Organisationen mit durchschnittlich 13.500 Mitarbeitern aus den fünf größten Volkswirtschaften der Welt: den USA, Großbritannien, Frankreich, Japan und Deutschland. Aus diesem breit gefächerten Studiendesign konnten wir neben Antworten auf unsere Kernfragen einige weitere interessante Erkenntnisse gewinnen:
US-Unternehmen sind Vorreiter in Sachen Cyber Resilience
Insgesamt sind nur 36 Prozent der befragten Unternehmen in hohem Maße Cyber-resilient. Die USA schneiden mit 50 Prozent am besten ab, europäische Unternehmen liegen im Mittelfeld und japanische Organisationen bilden mit nur 22 Prozent das untere Ende der Skala.
Sektor Transport am wenigsten widerstandsfähig gegen Cyber-Angriffe
Über alle Länder hinweg sind Finanz- und Telekommunikationsunternehmen (46 Prozent) am besten gegen Cyber-Angriffe gerüstet. Es folgen die Sektoren Wasser (36 Prozent), Gesundheit (34 Prozent) und Energie (32 Prozent). Bei Transportunternehmen erreichen nur 22 Prozent ein hohes Niveau an Cyber Resilience.
Nicht Budget, sondern Verständnis von Geschäftsprozessen ist entscheidend
Zwar haben die von uns identifizierten Cyber-resilienten Unternehmen im Schnitt einen größeren Umsatz und ein höheres IT-Budget. Detailanalysen zeigen jedoch, dass die keinesfalls entscheidend ist. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind.
Elf Merkmale, die Cyber-resiliente Unternehmen auszeichnen
In unserer Untersuchung konnten wir drei Gruppen von Merkmalen identifizieren, die die Cyber-Resilienz von Unternehmen um den Faktor zwei, drei und sechs erhöhen. Daraus haben wir eine Art „Roadmap“ entwickelt, mit der Unternehmen ihren Reifegrad erhöhen und ein hohes Maß an Cyber Resilience schaffen können.
Den vollständigen Studien-Report inklusive Roadmap können Sie hier anfragen.