Der Winter naht: Der Leitspruch des Hauses Stark aus der Serie „Game of Thrones“ deutet auf das Heraufziehen eines nicht näher definierten Unheils hin. Ist NIS2 eine Walze aus Eis und Feuer, die die gesamte europäische IT-Landschaft unter sich begräbt und vor der sich nur retten kann, wer eines der zahllosen Webinare besucht und alle Ratschläge befolgt?

NIS2 als solches ist lediglich eine Richtlinie, die von der EU erlassen wurde. Sie soll die vielleicht noch nicht optimale IT-Sicherheit von Betreibern wichtiger und kritischer Infrastrukturen sicherstellen und die Cyberresilienz erhöhen. Auf Basis dieser Richtlinie sind nun die Mitgliedsländer aufgerufen, ein entsprechendes Gesetz zu schaffen, das diese Richtlinie in nationales Recht umsetzt.

Was soll geschützt werden?

Bereits 2016 wurde die NIS-Richtlinie durch die EU eingeführt, um für die Gesellschaft relevante Branchen und Dienstleister vor Angriffen in der Cybersphäre zu schützen. Diese Regelung enthält verbindliche Vorgaben zum Schutz von IT-Strukturen in Unternehmen, die als Betreiber kritischer Infrastrukturen (KRITIS) tätig sind. Hierbei handelt es sich um Unternehmen, die eine unverzichtbare Rolle innerhalb der Gesellschaft spielen, weil sie in Bereichen wie Gesundheitsdiensten, Energieversorgung und Transport tätig sind. Bereiche also, in denen vorsätzlich herbeigeführte Störungen oder Ausfälle zu katastrophalen Zuständen führen können – wessen Haushalt gerüstet ist, einen mehrtägigen Stromausfall mit allen Konsequenzen zu überstehen, der möge die Hand heben…

Angesichts der weiter voranschreitenden Digitalisierung musste die EU eine Nachfolgeregelung (NIS2) schaffen, die zum einen strengere Anforderungen an die Informationssicherheit stellt, zum anderen aber auch einen größeren Kreis an Unternehmen erfasst, die für die Gesellschaft „wichtig“ oder „besonders wichtig“ sind. Diese Unternehmen werden nun in die Pflicht genommen, gewisse Standards in der Informationssicherheit zu erfüllen.

Obwohl die NIS2-Richtlinie bereits im Dezember 2022 verabschiedet wurde, haben die Mitgliedsländer bis zum 17. Oktober 2024 Zeit, ein entsprechendes Umsetzungsgesetz zu verabschieden. Deutschland wird es bis dahin wohl nicht schaffen. Trotzdem gibt es keinen Grund, sich zurückzulehnen. Das NIS2UmsuCG wird kommen, und mit ihm erhöhte Anforderungen an die IT-Sicherheit vieler Unternehmen und Institutionen.

Wer muss jetzt handeln?

Betroffen sind Unternehmen aus vier Gruppen. Einmal sind das die besonders wichtigen Einrichtungen mit 250 oder mehr Mitarbeitern oder 50 Millionen Euro Jahresumsatz und einer Bilanzsumme ab 43 Millionen Euro. Ein Unternehmen, das diese Kriterien erfüllt und in einem der Sektoren Energie, Transport/ Verkehr, Finanzen/ Versicherungen, Gesundheit, Wasser/ Abwasser, IT und TK oder Weltraum tätig ist, gilt als besonders wichtig.

Daneben gibt es die wichtigen Einrichtungen ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz und einer Bilanzsumme von 10 Millionen Euro. Erfüllt ein Unternehmen diese Kriterien und ist es in einem der Sektoren Post/ Kurier, Chemie, Forschung, verarbeitendes Gewerbe (Medizin/ Diagnostika, DV, Elektro, Optik, Maschinenbau, Kfz/ Teile, Fahrzeugbau), digitale Dienste (Marktplätze, Suchmaschinen, soziale Netzwerke), Lebensmittel (Großhandel, Produktion, Verarbeitung) oder Entsorgung (Abfallwirtschaft) tätig, so gilt es als wichtig.

Neben besonders wichtigen und wichtigen Einrichtungen gibt es die kritischen Anlagen, die weiterhin durch die KRITIS-Methodik definiert werden. Zusätzlich werden auch Bundeseinrichtungen reguliert.

Was ist zu tun?

Konkret bedeutet das, dass alle betroffenen Unternehmen und Institutionen, ganz gleich ob „besonders wichtig“ oder „wichtig“, eine Reihe von Auflagen und Pflichten zu erfüllen haben, die wenig Interpretationsspielraum lassen und daher strikt zu beachten sind. Auf folgenden Gebieten muss gehandelt werden:

Risikomanagement

Betroffene Unternehmen sind verpflichtet, ein umfassendes Risikomanagement einzuführen. Dazu gehören neben einer Zugangskontrolle, Multi-Faktor-Authentifizierung und Single Sign-On (SSO) auch Training und Incident Management sowie ein ISMS und Risikoanalysen. Darunter fallen auch das Schwachstellenmanagement und die Anwendung von Schwachstellen- und Compliance-Scans.

Meldepflichten

Für alle Unternehmen besteht eine Meldepflicht für „erhebliche Sicherheitsvorfälle“: Diese müssen unverzüglich, spätestens aber innerhalb von 24 Stunden der Meldestelle des BSI berichtet werden. Weitere Updates haben innerhalb von 72 Stunden und 30 Tagen zu erfolgen.

Registrierung

Die Unternehmen sind verpflichtet, ihre Betroffenheit von der NIS2-Gesetzgebung selbst festzustellen und sich innerhalb einer Frist von drei Monaten selbst zu registrieren. Wichtig: Niemand sagt einem Unternehmen, dass es unter die NIS2-Regelung fällt und sich registrieren muss. Die Verantwortung liegt ausschließlich bei den einzelnen Unternehmen und deren Geschäftsführern.

Nachweise

Es reicht nicht aus, die vorgegebenen Vorkehrungen lediglich zu treffen, sondern es müssen auch entsprechende Nachweise erbracht werden. Wichtige und besonders wichtige Einrichtungen werden stichprobenartig durch das BSI kontrolliert werden, wobei entsprechende Dokumentationen vorgelegt werden müssen. KRITIS-Einrichtungen werden turnusmäßig alle drei Jahre überprüft.

Informationspflichten

Sicherheitsvorfälle unter den Teppich zu kehren, ist zukünftig nicht mehr möglich. Das BSI erhält eine Weisungsbefugnis zur Unterrichtung von Kunden über Sicherheitsvorfälle. Ebenso erhält das BSI eine Weisungsbefugnis über die Unterrichtung der Öffentlichkeit von Sicherheitsvorfällen.

Governance

Geschäftsführer werden verpflichtet, Maßnahmen zum Risikomanagement zu billigen. Ebenso werden Schulungen zum Thema Pflicht. Besonders gravierend: Geschäftsführer haften persönlich mit ihrem Privatvermögen bei Pflichtverletzungen.

Sanktionen

In der Vergangenheit war es gelegentlich so, dass Unternehmen lieber die diffuse Möglichkeit eines Bußgeldes in Kauf nahmen als konkrete Investitionen in Cybersicherheitsmaßnahmen zu tätigen, da das Bußgeld im Verhältnis durchaus annehmbar erschien. NIS2 wirkt dem nun durch neue Tatbestände und teils drastisch erhöhte Bußgelder entgegen. Verschärft wird das nochmal durch die persönliche Haftung von Geschäftsführern.

Wie man sieht, ist das zu erwartende NIS2-Umsetzungsgesetz ein komplexes Gebilde, welches sich auf eine Vielzahl von Bereichen erstreckt und dessen Anforderungen in den seltensten Fällen mit einer einzigen Lösung abgedeckt werden können.

Welche Maßnahmen sind möglichst bald zu treffen?

Scannen Sie Ihre IT-Systeme kontinuierlich auf Schwachstellen. Sicherheitslücken werden damit schnellstmöglich aufgedeckt, priorisiert und dokumentiert. Dank regelmäßiger Scans und ausführlicher Berichte schaffen sie die Grundlage zur Dokumentation der Entwicklung der Sicherheit Ihrer IT-Infrastruktur. Gleichzeitig erfüllen Sie damit Ihre Nachweispflichten und sind im Fall einer Prüfung bestens gewappnet.

Experten können auf Wunsch den kompletten Betrieb des Schwachstellenmanagements in Ihrem Unternehmen übernehmen. Dazu gehören auch Leistungen, wie Web-Application Pentesting, bei dem gezielt Schwachstellen in Webanwendungen aufgedeckt werden. Damit decken Sie einen wichtigen Bereich im NIS2-Anforderungskatalog, und erfüllen die Anforderungen des § 30 (Risikomanagementmaßnahmen).

Fazit

Es gibt es nicht die eine, alles umfassende Maßnahme, mit der Sie sofort rundum NIS2-konform sind. Vielmehr ist eine Vielzahl unterschiedlicher Maßnahmen, die zusammengenommen eine gute Basis ergeben. Ein Bestandteil davon ist Schwachstellenmanagement mit Greenbone. Wenn Sie das im Hinterkopf behalten und rechtzeitig auf die richtigen Bausteine setzen, sind Sie als IT-Verantwortlicher auf der sicheren Seite. Und der Winter kann kommen.

Der Mai 2024 ließ den rekordverdächtigen CVE-Berg vom April als Maulwurfshügel erscheinen. Der bisherige Rekord für die meisten CVEs (Common Vulnerabilities and Exposures), die in einem Monat veröffentlicht wurden, stieg um 36,9 %. Insgesamt wurden im Mai 2024 sage und schreibe 5.061 Schwachstellen veröffentlicht. In Anbetracht der potenziell hohen Kosten einer Datenpanne müssen Sicherheitsteams über aktuelle Cybersicherheitstrends und die neuesten Schwachstellen auf dem Laufenden bleiben.

Wir stellen hier mehrere bekannte Unternehmenssoftware-Anbieter vor, die massenhaft von neu entdeckten Schwachstellen betroffen sind und einige der neuesten bekannten Sicherheitslücken behandeln. Doch zunächst berichten wir über einen Mitarbeiter: Christian Kürsteiner, ein Mitglied des Greenbone-Entwicklungsteams für Schwachstellentests, hat mit seiner verantwortungsvollen Offenlegung dazu beigetragen, dass weniger Schwachstellen in freier Wildbahn existieren, die Angreifer ausnutzen können.

Greenbones Beitrag zur Aufdeckung

Im Mai veröffentlichte Christian Kürsteiner, ein Softwareentwickler des Greenbone-Teams, eine Sicherheitslücke, die er im Telerik Report Server entdeckt hatte. Telerik Report Server ist eine proprietäre, zentralisierte Windows-basierte Plattform für die Verwaltung und Verteilung von Berichten. Die als CVSS 5.5 eingestufte Schwachstelle könnte es einem unbefugten Angreifer ermöglichen, Zugang zu sensiblen Admin-Konfigurationsdaten zu erlangen [CWE-200], und wurde inzwischen als CVE-2024-4837 veröffentlicht.

Wir baten Christian zu beschreiben, was verantwortungsvolle Sicherheitsforscher tun, wenn sie einen Fehler finden. Hier sein Statement:

„Das Ziel von Greenbone ist es, unsere Kunden zu schützen. Daher versuchen wir natürlich, Schwachstellen, die wir finden, direkt an den Hersteller mit den Details zu melden, damit dieser seinen Kunden Korrekturen anbieten kann, bevor Angreifer sie ausnutzen können. Die Mitarbeiter von Progress / Telerik und BugCrowd haben sehr schnell reagiert, die Sicherheitslücke bestätigt und behoben. Innerhalb einer Woche nach der Meldung wurde die Schwachstelle behoben und ein öffentlicher Hinweis veröffentlicht.“
Christian Kürsteiner, Security Researcher and Vulnerability Test Developer at Greenbone

In diesem Fall ist Christians Beitrag ein Beispiel dafür, wie das Verfahren zur Meldung von Fehlern, auch bekannt als „Responsible Disclosure„, funktionieren soll. Der interne Offenlegungsprozess eines Anbieters wird ausgelöst, wenn ein Sicherheitsforscher ihn über einen Fehler informiert. Da verantwortungsvolle Software-Ingenieure nicht die einzigen sind, die den Fehler entdecken, könnte er zu einem Einfallstor für böswillige Akteure werden, um in einem Netzwerk Fuß zu fassen und Daten zu stehlen oder Ransomware einzusetzen. In vielen Fällen erstreckt sich der Schaden auch auf die Allgemeinheit, wie bei der jüngsten Sicherheitsverletzung bei Change Healthcare.

Anbietern wird empfohlen, bewährte Verfahren zu befolgen, indem sie eine Datei security.txt [RFC-9116] im Stammverzeichnis ihrer Unternehmensdomäne veröffentlichen, eine Datei SECURITY.md in öffentliche GitHub-Repositories aufnehmen und eine E-Mail-Adresse wie security@example.com [RFC-2142] für den Empfang sicherheitsrelevanter Informationen einrichten.

Unsere Geschichte endet positiv. Telerik hat schnell ein Sicherheitsupdate veröffentlicht, das die Sicherheitslücke behebt. Benutzer sollten ihre Instanz von Report Server auf Version 2024 Q2 (10.1.24.514) oder höher aktualisieren, um sich vor CVE-2024-4837 zu schützen. Schließlich kann CVE-2024-4837 von Greenbone sowohl mit einem aktiven Check als auch mit einem Versionserkennungstest erkannt werden.

Cisco: 21 neue Schwachstellen – 10 mit hohem Schweregrad; 2 aktiv ausgenutzt

Der Mai war ein harter Monat für Cisco-Produkte in Bezug auf Sicherheitslücken. Insgesamt wurden 21 neue Schwachstellen in einer Vielzahl von Cisco-Produkten bekannt gegeben. Davon waren zehn besonders schwerwiegend. Dies folgt auf Informationen von Ende April, als zwei Schwachstellen in Cisco-Produkten in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen wurden. Cisco Talos berichtete, dass diese neuen Schwachstellen Teil einer Cyberspionage-Kampagne mit dem Namen „ArcaneDoor“ sind, die auf Perimeter-Netzwerkgeräte abzielt und im Januar 2024 begann.

  • CVE-2024-20353 (CVSS 8.6 Hoch): Eine DoS-Schwachstelle (Denial of Service) in den Verwaltungs- und VPN-Webservern für die Software Cisco Adaptive Security Appliance (ASA) und Cisco Firepower Threat Defense (FTD), die durch eine unvollständige Fehlerprüfung beim Parsen eines HTTP-Headers verursacht wird, kann es einem Angreifer ermöglichen, ein verwundbares System remote auszunutzen. Es ist bekannt, dass CVE-2024-20353 aktiv ausgenutzt wird.
  • CVE-2024-20359 (CVSS 6.0 Hoch): Eine Schwachstelle in der Cisco ASA- und Cisco FTD-Software ermöglicht es einem authentifizierten, lokalen Angreifer, beliebigen Code mit Root-Rechten auszuführen, nachdem er eine bösartige Datei aus dem Flash-Speicher hochgeladen und das System neu geladen hat, um seine Konfiguration zu ändern. Auch CVE-2024-20359 wird bekanntermaßen aktiv ausgenutzt.
  • CVE-2024-20356 (CVSS 8.7 Hoch): Eine Schwachstelle in der webbasierten Verwaltungsschnittstelle des Cisco Integrated Management Controller (IMC) ermöglicht es einem Angreifer mit Admin-Zugriff auf die webbasierte Verwaltungsschnittstelle, auf dem betroffenen Gerät Command-Injection-Angriffe mit Rechten auf Systemebene durchzuführen. Dadurch kann ein Angreifer möglicherweise Aktionen außerhalb des vorgesehenen Anwendungsbereichs der Managementoberfläche durchführen, um Malware oder ein Rootkit zu installieren. Darüber hinaus wurde CVE-2024-20356 zwar noch nicht in den KEV-Katalog der CISA aufgenommen, aber der Exploit Code (Proof of Concept) ist öffentlich verfügbar.

Greenbone ist in der Lage, betroffene Versionen von Ciscos ASA [1][2], Cisco FTD Software [3][4] und Cisco IMC [5] sowie andere kürzlich bekannt gewordene Schwachstellen in Cisco-Produkten zu identifizieren.

GitLab Community und Enterprise aktiv ausgenutzt

Eine Schwachstelle in den Editionen GitLab Community und Enterprise, die erstmals im Januar 2024 öffentlich bekannt wurde, wurde von der CISA am 1. Mai 2024 als aktiv ausgenutzt eingestuft CVE-2023-7028 (CVSS 10 Kritisch). Die Behebung bekannter, aktiv ausgenutzter kritischer Schwachstellen sollte für IT-Sicherheitsteams in Unternehmen höchste Priorität haben. Insgesamt wurden im Mai dieses Jahres 13 neue Sicherheitslücken bekannt, die GitLab betreffen.

CVE-2023-7028 resultiert aus einem Fehler bei der Implementierung von Zugriffskontrollen [CWE-284] und ermöglicht es einem Angreifer, E-Mails zum Zurücksetzen von Passwörtern an eine beliebige E-Mail-Adresse zu senden. Die Ausnutzung ermöglicht einem Angreifer den Zugriff auf Administratorkonten in der Community Edition (CE) und Enterprise Edition (EE) von GitLab, ein webbasiertes DevOps-Lifecycle-Tool und Git-Repository-Manager.

CVE-2023-7028 ist in allen Hauptversionen von GitLab von 16.1 bis 16.7 vorhanden, die nicht die neuesten Patches installiert haben. Mindestens ein öffentlich verfügbarer PoC-Exploit und eine detaillierte technische Beschreibung bedeuten, dass diese Schwachstelle in Zukunft als trivial ausnutzbar eingestuft werden sollte.

CVE-2024-4835 ragte ebenfalls aus dem Stapel der Mai-Schwachstellen in GitLab heraus. Mit einem CVSS-Wert von 8,0 ist CVE-2024-4835 eine Cross-Site-Scripting (XSS)-Schwachstelle im webbasierten Code-Editor, die GitLab in allen Versionen von 15.11 bis 16.10.6, 16.11 bis 16.11.3 und 17.0 bis 17.0.1 betrifft. Durch Ausnutzung von CVE-2024-4835 kann ein Angreifer eine bösartige Seite erstellen, um vertrauliche Benutzerinformationen zu herauszufiltern.

35 neue CVEs von Adobe

Im Mai hat Adobe insgesamt 45 Sicherheitslücken in verschiedenen Produkten bekannt gegeben. Davon wurden 32 als besonders schwerwiegend eingestuft, mit einem CVSS-Wert von 7,8 oder höher. Alle Schwachstellen mit hohem Schweregrad werden ausgenutzt, indem ein Opfer dazu gebracht wird, eine bösartige Datei zu öffnen, was zur Ausführung von beliebigem Code durch einen Angreifer führen kann.

Diese Schwachstellen eignen sich hervorragend für Social-Engineering-Angriffe wie Malspam-, Phishing-, Spear-Phishing- und Drive-by-Download-Kampagnen großer Cybercrime-Gruppen, insbesondere für Initial Access Broker (IAB), die sich unerlaubt Zugang zu den Computern und internen Netzwerken der Opfer verschaffen. Die Benutzer werden dringend aufgefordert, ihre Software auf die neuesten Versionen zu aktualisieren, um die Risiken zu mindern, und ganz allgemein bei Software, die nicht vom Originalhersteller stammt, und beim Öffnen von Dokumenten aus nicht vertrauenswürdigen Quellen sehr vorsichtig zu sein.

Hier ist eine Übersicht über die betroffenen Produkte:

  • Adobe Acrobat Reader: In Acrobat Reader wurden insgesamt elf neue Sicherheitslücken gefunden. Davon wurden neun als besonders schwerwiegend eingestuft, jede mit einem CVSS-Wert von 7,8. Diese Sicherheitslücken betreffen die Adobe Acrobat Reader-Versionen 20.005.30574, 24.002.20736 und früher.
  • Adobe Framemaker: In Adobe Framemaker wurden acht neue Sicherheitslücken gefunden, von denen fünf einen hohen Schweregrad aufweisen. Zu den betroffenen Versionen gehören Adobe Framemaker 2020.5, 2022.3 und früher.
  • Adobe Animate: In Animate wurden im Mai sieben Sicherheitslücken bekannt, von denen fünf als besonders schwerwiegend eingestuft wurden. Die Sicherheitslücken betreffen die Animate-Versionen 24.0.2, 23.0.5 und frühere Versionen.

Ein Taifun kritischer CVEs trifft ArubaOS

Im Mai hat HPE Aruba Networking insgesamt 28 Schwachstellen für sein Betriebssystem ArubaOS bekannt gegeben. Erstaunliche 16 davon wurden als CVSS 9.8 mit hohem Schweregrad oder höher eingestuft. ArubaOS hat bisher nur eine einzige CVE (2024), die im März veröffentlicht wurde, was die Offenlegung in diesem Monat zu einer Anomalie macht. ArubaOS gilt als führend im WLAN-Management und Sicherheitsanwendungen, einschließlich Intrusion Detection und Prevention Systemen. Ein Indiz für den Marktanteil von ArubaOS ist, dass Aruba Networking, eine Tochtergesellschaft von Hewlett-Packard, im zweiten Quartal 2024 einen Umsatz von 7,2 Mrd. Dollar erzielte.

Zu den betroffenen Produkten gehören verschiedene Dienste und Protokolle, auf die über das PAPI-Protokoll zugegriffen wird. Unter den am stärksten betroffenen Komponenten von ArubaOS ragen der Command Line Interface (CLI) Service und der Central Communications Service heraus, die beide mehrere hochgradige Schwachstellen aufweisen, die Angreifern die Ausführung von beliebigem Code ermöglichen könnten. Benutzern wird empfohlen, die neuesten Updates zu installieren und die Lösungshinweise des Herstellers zu befolgen, um betroffene Produkte zu entschärfen.

Greebone enthält Schwachstellentests, um verwundbare ArubaOS-Instanzen zu identifizieren, sodass IT-Sicherheitsteams diese Schwachstellen identifizieren, priorisieren und durch die Installation der Sicherheitsupdates beheben können.

Apache ActiveMQ 6.x: Unsicherheit by Design

Ende 2023 berichteten wir über eine aktiv ausgenutzte CVSS 9.8 kritische Sicherheitslücke in Apache ActiveMQ, einem Message Broker-Dienst, der es Prozessen in einer verteilten Architektur ermöglicht, Informationen in einer Warteschlangenliste auszutauschen.

Im Mai 2024 geriet ActiveMQ erneut unter Beschuss. Diesmal wurde seiner Standardkonfiguration CVE-2024-32114 (CVSS 8.5 Hoch) zugewiesen, eine nicht authentifizierte Schwachstelle in der Jolokia JMX REST API und der Message REST API in der ActiveMQ-Management-API. Die Schwachstelle ermöglicht es Angreifern, frei mit dem Broker zu interagieren, um Nachrichten zu produzieren oder zu konsumieren (über die Jolokia JMX REST API) oder Ziele zu löschen (über die Message REST API).

Greenbone ist in der Lage, CVE-2024-32114 zu erkennen, indem es anfällige Versionen von ActiveMQ identifiziert. Es wird empfohlen, der Standardkonfigurationsdatei conf/jetty.xml eine Sicherheitseinschränkung hinzuzufügen, um eine Authentifizierung zu verlangen, oder auf Apache ActiveMQ 6.1.2 zu aktualisieren, wo die Standardkonfiguration standardmäßig mit Authentifizierung aktualisiert wurde, um die Sicherheitslücke zu schließen.

Gemäß den CISA-Grundsätzen für „Security By Design“ und dem neuen Cyber Resilience Act der EU müssen Produkte mit einer sicheren Standardkonfiguration ausgeliefert werden, da die Anbieter, auch die von Open-Source-Software, mehr Verantwortung für die Sicherheit ihrer Produkte übernehmen müssen.

Ivanti behebt mehrere Sicherheitslücken im Avalanche MDM-System

Ivanti wurde bereits in früheren Greenbone Sicherheitshinweisen erwähnt. Erst letzten Monat wurde in unserem Threat Tracking vom April 2024 beschrieben, wie die MITRE Corporation durch zwei zuvor bekannt gewordene Ivanti-Schwachstellen in Ivanti Connect Secure VPN verletzt wurde. Ivanti ist nun Gegenstand einer weiteren kritischen Schwachstelle in seinem Avalanche für Mobile Device Management (MDM).

Avalanche wurde entwickelt, um Unternehmen bei der Sicherung und Verwaltung ihrer mobilen Geräte, einschließlich Smartphones, Tablets und anderer mobiler Endpunkte, zu unterstützen. Bei der als CVE-2024-29204 mit einem CVSS-Wert von 9.8 kritisch eingestuften Schwachstelle handelt es sich um einen Heap Overflow [CWE-122] in der Komponente WLAvalancheService von Avalanche, der es einem nicht authentifizierten Angreifer ermöglichen könnte, beliebige Befehle auszuführen. Alle Versionen von Ivanti Avalanche vor 6.4.3 sind betroffen. Greenbones Enterprise Feed beinhaltet einen Versionserkennungstest, um verwundbare Instanzen zu identifizieren.

Zusammenfassung

Der Mai 2024 verzeichnete einen deutlichen Anstieg der gemeldeten Schwachstellen und übertraf mit insgesamt 5061 CVEs den Rekord vom April um 36,9%. Einer von Greenbones eigenen Entwicklern hat  im Mai am Responsible Disclosure teilgenommen, um sicherzustellen, dass Schwachstellen identifiziert und gepatcht werden. Schwerwiegende Schwachstellen wurden in zahlreichen Software- und Hardwareprodukten für Unternehmen gemeldet, darunter verschiedene Cisco-Produkte, GitLab, Adobes Produktreihe für kreatives Design, HPs ArubaOS, Apache ActiveMQ und das Avalanche MDM-System von Ivanti. Unternehmen müssen wachsam bleiben, indem sie sich über Schwachstellen auf dem Laufenden halten und sich nach Kräften bemühen, ausnutzbare Schwachstellen in ihrer IT-Infrastruktur zu identifizieren, zu priorisieren und zu patchen.

Aus einer Vogelperspektive betrachtet, wird der kumulative Schaden durch Cyberkriminalität weltweit im Jahr 2024 auf geschätzte 9,2 Billionen Dollar ansteigen. Laut dem „Cost of a Data Breach Report 2023“ der X-Force von IBM verursacht eine einzelne Datenpanne einen durchschnittlichen finanziellen Schaden in Höhe von 4,45 Millionen Dollar für das betroffene Unternehmen. Während US-Firmen mehr als das Doppelte des globalen Durchschnitts tragen, lagen deutsche Organisationen im Durchschnitt.

Die höchsten Kosten nach einer Sicherheitsverletzung entstehen durch Maßnahmen zur Schadensbegrenzung wie Incident Response, digitale Forensik, Systemwiederherstellung und die erforderliche Offenlegung. Auch regulatorische Geldstrafen können die Kosten einer Sicherheitsverletzung erheblich erhöhen. Change Healthcare erwartet in diesem Jahr einen Verlust von 1,6 Milliarden Dollar aufgrund einer im März 2024 erfolgten Sicherheitsverletzung, und es könnten noch weitere regulatorische Geldstrafen folgen.

Diese potenziellen Schäden unterstreichen die Bedeutung proaktiver Sicherheitsmaßnahmen zur Verhinderung erfolgreicher Cyberangriffe und zur Minderung der finanziellen Auswirkungen, falls doch einer auftritt. Das Ponemon Institut hat festgestellt, dass fehlende Sicherheitsupdates für 57 % der Cyberangriffe verantwortlich sind. Weniger häufig gehackt zu werden, ist ein offensichtlicher Vorteil präventiver Cybersicherheitsmaßnahmen. Laut IBM haben Organisationen mit proaktivem risikobasierten Schwachstellenmanagement auch niedrigere durchschnittliche Kosten nach einer Sicherheitsverletzung (3,98 Millionen Dollar) im Vergleich zu Organisationen ohne solche Maßnahmen (4,45 Millionen Dollar), solchen mit Fachkräftemangel (5,36 Millionen Dollar) oder solchen, die nicht konform mit Cybersicherheitsvorschriften sind (5,05 Millionen Dollar).

Angriff auf Change Healthcare

Im März 2024 erlitt Change Healthcare einen Ransomware-Angriff, der das Unternehmen bisher mit etwa 872 Millionen Dollar belastet hat und 6 Milliarden Dollar an Krankenversicherungszahlungen verzögert hat. Change Healthcare prognostiziert einen jährlichen Verlust von 1,6 Milliarden Dollar aufgrund des Vorfalls. Gegründet 2007, ist Change Healthcare ein führendes Technologieunternehmen im Gesundheitswesen, das weltweit Dienstleistungen im Bereich Revenue Cycle Management, Zahlungsgenauigkeit und klinischen Datenaustausch anbietet. Eine Übernahme im Jahr 2022 bewertete das Unternehmen mit 8 Milliarden Dollar.

Untersuchung der HIPAA-Konformität bei Change Healthcare

Zusätzlich zu den erheblichen Schäden hat das US-amerikanische Gesundheitsministerium HHS eine Untersuchung des Angriffs eingeleitet, um festzustellen, ob Change Healthcare gegen Compliance-Anforderungen verstoßen hat. Die HIPAA-Sicherheitsregeln verlangen, dass betroffene Unternehmen „anerkannte Sicherheitspraktiken“ implementieren, um elektronische geschützte Gesundheitsinformationen (ePHI) vor absehbaren Sicherheitsbedrohungen zu schützen.

Kontinuierliches Schwachstellenmanagement ist ein grundlegender Bestandteil aller modernen Cybersicherheitsarchitekturen. Wenn man etwas Positives sehen will, sind die schwersten Strafen für HIPAA-Nichtkonformität auf nur 2 Millionen Dollar begrenzt; eine Kleinigkeit im Vergleich zu den Gesamtkosten der Reaktion und Wiederherstellung in diesem speziellen Vorfall.

Die Greenbone Vulnerability Management-Plattform ist in der Lage, an unterschiedliche Bedürfnisse angepasste Compliance-Tests durchzuführen, um jedes Rahmenwerk einschließlich CIS, DISA STIG, HIPAA und mehr zu erfüllen. Greenbone ist zertifiziert sowohl für sein Informationssicherheitsmanagementsystem ISMS (ISO 27001), Qualitätsmanagement (ISO 9000) und zuletzt auch für Umweltmanagement (ISO-14001).

Das Grundschutz-Handbuch des Bundesamts für Sicherheit in der Informationstechnologe (BSI) macht seit wenigen Jahren auch klare Vorgaben für Anwender von Microsoft Office. Seit April 2024 integrieren die Enterprise-Produkte von Greenbone auch Tests, die belegen sollen, ob ein Unternehmen diese Anweisungen umsetzt. Dabei werden die BSI-Anweisungen mit den Leitlinien des Center for Internet Security (CIS) in Übereinstimmung gebracht.

Im Abschnitt „APP:Anwendungen 1.1. Office Produkte“ legt das BSI fest, welche „Anforderungen an die Funktionsweise der Komponenten von Office-Produkten“ zu stellen sind. Ziel ist der Schutz der durch die Office-Software bearbeiteten und genutzten Daten. Auch wenn in den meisten Fällen Microsoft Office gemeint sein dürfte – hat es doch immer noch die bei weitem größte Marktdurchdringung –, so möchte das Modell hinter den BSI-Vorgaben diese auf jedes Office-Produkt anwenden können, „das lokal installiert ist und mit dem Dokumente betrachtet, bearbeitet oder erstellt werden, außer E-Mail-Anwendungen“.

BSI-Vorgaben

Das Modul baut ausdrücklich auf die Vorgaben des Bausteins „ APP.6 Allgemeine Software“ auf und verweist auf die Module „APP.5.3 Allgemeiner E-Mail-Client“ sowie „APP.4.3 Relationale Datenbanken“ und „OPS.2.2 Cloud-Nutzung“, berücksichtigt diese jedoch ausdrücklich nicht.

Das BSI macht dabei drei wesentliche Gefährdungen für Office-Pakete aus:

  • Fehlende Anpassung der Office-Produkte an den Bedarf der Institution
  • Schädliche Inhalte in Office-Dokumenten
  • Integritätsverlust von Office-Dokumenten

Die im BSI-Grundschutzhandbuch genannten Bausteine umfassen 16 Punkte, von denen aber einige bereits wieder entfallen sind. Greenbone hat mehrere hundert Tests entwickelt, die vor allem für fünf der genannten Basis-Anforderungen zum Einsatz kommen, darunter beispielsweise das „Sichere Öffnen von Dokumenten aus externen Quellen“ (APP.1.1. A3) und den in APP.1.1. A15 aufgeführten „Einsatz von Verschlüsselung und Digitalen Signaturen“. In diesen Vorgaben schreibt das BSI zum einen:

„Alle aus externen Quellen bezogene Dokumente MÜSSEN auf Schadsoftware überprüft werden, bevor sie geöffnet werden. Alle als problematisch eingestuften und alle innerhalb der Institution nicht benötigten Dateiformate MÜSSEN verboten werden. Falls möglich, SOLLTEN sie blockiert werden. Durch technische Maßnahmen SOLLTE erzwungen werden, dass Dokumente aus externen Quellen geprüft werden.“

Hinsichtlich der Verschlüsselung heißt es: „Daten mit erhöhtem Schutzbedarf SOLLTEN nur verschlüsselt gespeichert bzw. übertragen werden. Bevor ein in ein Office-Produkt integriertes Verschlüsselungsverfahren genutzt wird, SOLLTE geprüft werden, ob es einen ausreichenden Schutz bietet. Zusätzlich SOLLTE ein Verfahren eingesetzt werden, mit dem Makros und Dokumente digital signiert werden können.“

CIS-Leitlinien verbessern den Grundschutz

Zusätzlich zu den im BSI-Grundschutzhandbuch genannten Vorgaben finden sich im CIS-Benchmark des Centers for Internet Security (CIS) für Microsoft Office noch weitergehende und spezifischere Vorschläge zur Absicherung der Microsoft-Produkte. Die CIS-Vorgaben entstehen in einer Community aus Sicherheitsexperten und stellen eine im Konsens entstandene Best-Practice-Sammlung, hier für Microsoft Office dar.

Als einer der ersten und einzigen Anbieter von Schwachstellenmanagement bringt Greenbone nun Tests auf dort genannte sicherheitsrelevante Features und vereint dabei erstmals die CIS- und BSI-Anleitungen zu zahlreichen, teils tiefgehenden Tests, beispielsweise auf die ActiveX-Control Initialisierung in Microsoft Office. Das Greenbone Vulnerability Management testet hier beispielsweise, ob dieser Schalter auf „enabled“ gesetzt ist, aber auch viele andere Settings, beispielsweise „Always prevent untrusted Microsoft Query files from opening“ is set to „Enabled“ und viele andere mehr.

Viele der Tests beschäftigen sich dabei mit externen Inhalten, dem Einbinden von Makros und der Frage, ob und wie diese externen Inhalte signiert, verifizierbar und daher vertrauenswürdig oder nicht sind, und ob die Administratoren ihre Hausaufgaben bei der Konfiguration von Microsoft Office gemacht haben. Denn, so das BSI, eine der wichtigsten Bedrohungen (und die als erste genannte) ist die mangelnde Anpassung der Office-Produkte an die Realität und die Business-Prozesse im Unternehmen. Hier sorgt Greenbone mit den neuen Tests für eine effiziente Erfüllung von Compliance-Vorgaben und erschwert es Angreifern und Malware, im Unternehmen Fuß zu fassen und Schaden anzurichten.

Am 19. und 20. Juni 2024 geht’s ums Ganze: In Potsdam treffen sich hochrangige IT-Spezialisten und Verantwortliche aus Politik, Wirtschaft und Wissenschaft, um einen Überblick über die „Nationale Cybersicherheit“ zu geben. Eine der größten, flächendeckenden Herausforderungen ist die rasante Entwicklung Künstlicher Intelligenz (KI). Über ihren Einfluss auf die IT-Security wird Elmar Geese, Vorstand von Greenbone, mit Dr. Christoph Bausewein (CrowdStrike), Dr. Sven Herpig (Stiftung Neue Verantwortung) und Dr. Kim Nguyen (Bundesdruckerei) auf dem Podium diskutieren.

  • Zeit: Juni 2024; 13:45
  • Ort: Hasso-Plattner-Institut, Potsdam, Prof.-Dr.-Helmert-Straße 2-3 (Campus Griebnitzsee)
  • Thema: Wie verändert Künstliche Intelligenz die Cybersicherheitslandschaft?
  • Moderation: Dr. Sandra Wachter, University of Oxford

Die „Potsdamer Konferenz für Nationale Cybersicherheit“ findet am 19. und 20. Juni 2024 statt. Besuchen Sie uns gerne auf unserem Stand auf der Konferenz!

Anmeldung: https://hpi.de/das-hpi/bewerbung/2024/potsdam-cybersecurity-conference/

Der April 2024 war ein weiterer rekordverdächtiger Monat für die Veröffentlichung von CVEs. Im Threat-Tracking-Bericht dieses Monats untersuchen wir mehrere neue, aktiv ausgenutzte Schwachstellen und beleuchten den Cyberangriff auf den US-Forschungsriesen MITRE. Der Bericht deckt auch auf, wie sich End-of-Life-Produkte (EOL) nachteilig auf die Cybersicherheitslage eines Unternehmens auswirken können und wie man die damit verbundenen Risiken bewältigt.

MITRE: Schwachstellen durch Ivanti

Die MITRE Corporation ist eine 1958 gegründete gemeinnützige Organisation, die mehrere staatlich finanzierte Forschungs- und Entwicklungszentren zur Unterstützung der US-Verteidigung, der Cybersicherheit, des Gesundheitswesens, der Luftfahrt und anderer Bereiche betreibt. MITRE unterhält auch mehrere zentrale Cybersicherheits-Frameworks wie MITRE ATT&CK, D3FEND sowie Schwachstellen-Ressourcen wie die Datenbanken Common Vulnerabilities and Exposures (CVE), Common Weakness and Enumeration (CWE) und Common Attack Path Enumeration (CAPEC).

Ein kürzlich erfolgter Cyberangriff auf MITRE zeigt, dass selbst die versiertesten Organisationen nicht gegen gezielte Angriffe von Advanced Persistent Threats (APTs) gefeit sind. Der anfängliche Zugang zu einem der Forschungsnetzwerke von MITRE wurde über zwei Sicherheitslücken im Ivanti Connect Secure VPN-Dienst erlangt: CVE-2023-46805 (CVSS 8.2) und CVE-2024-21887 (CVSS 9.1). Wir haben bereits eine ausführliche Beschreibung dieser Schwachstellen veröffentlicht, die beide durch die Schwachstellentests von Greenbone aufgedeckt werden können. Nach dem anfänglichen Zugriff konnten Angreifer mit gestohlenen Sitzungs-Tokens [T1563] auf die angrenzende VMware-Infrastruktur [TA0109] ausweichen, um die Multi-Faktor-Authentifizierung zu umgehen und auf Admin-Konten zuzugreifen.

Wenn es MITRE passieren kann, kann es jeder Organisation passieren, aber das Patchen von Schwachstellen, von denen bekannt ist, dass sie aktiv ausgenutzt werden, ist eine Schlüsselaktivität, auf die alle Organisationen großen Wert legen müssen.

„Operation MidnightEclipse“ PaloAlto Zero Day

Am 10. April 2024 meldeten Forscher des Cybersicherheitsunternehmens Volexity, dass einer bisher unentdeckten Zero-Day-Schwachstelle in der GlobalProtect-Funktion von PaloAlto PAN-OS ausgenutzt wurde. Die jetzt als CVE-2024-3400 (CVSS 10) geführte Schwachstelle, die eine unautorisierte Remote Code Execution (RCE) mit Root-Rechten ermöglicht, wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen. Der Greenbone Enterprise Vulnerability Feed enthält Tests zur Erkennung von CVE-2024-3400, die es Unternehmen ermöglichen, betroffene Anlagen zu identifizieren und Abhilfemaßnahmen zu planen.

Unit42 von PaloAlto verfolgt nachfolgende Angriffe unter dem Namen Operation MidnightEclipse und hat zusammen mit der Shadowserver Foundation und GreyNoise einfache Sondierungen und eine vollständige Ausnutzung mit anschließender Datenexfiltration und Installation von Remote-C2-Tools beobachtet. Außerdem wurden von Dritten mehrere Proof-of-Concept-Exploits (PoC) veröffentlicht [1][2], die die Bedrohung durch Angriffe von wenig oder gar nicht qualifizierten Cyberkriminellen verstärken.

CVE-2024-3400 betrifft PAN-OS 10.2, PAN-OS 11.0 und PAN-OS 11.1 Firewalls, die mit GlobalProtect gateway oder GlobalProtect portal konfiguriert sind. Hotfix-Patches für PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 sind derzeit verfügbar, um betroffene Geräte ohne Neustart zu reparieren. Eine umfassende Anleitung zur Behebung des Problems ist in der Palo Alto Knowledge Base verfügbar.

D-Link: Eingebaute Anmeldeinformationen in Alt-Produkten

In NAS-Geräten des Herstellers D-Link wurden zwei kritische Schwachstellen entdeckt, die als CVE-2024-3272 (CVSS 9.8) und CVE-2024-3273 (CVSS 9.8) bezeichnet werden. Zu den betroffenen Geräten gehören DNS-320L, DNS-325, DNS-327L und DNS-340L, die alle das Ende ihres Produktlebenszyklus erreicht haben. Laut D-Link werden keine Patches bereitgestellt. Weltweit sind schätzungsweise 92.000 Geräte davon betroffen. Beide CVEs werden aktiv ausgenutzt, und ein Proof of Concept (PoC) Exploit für CVE-2024-3273 ist online verfügbar.

Die anfälligen Geräte enthalten alle ein Standard-Administrationskonto, für das kein Kennwort erforderlich ist. Angreifer können aus der Ferne Befehle ausführen, indem sie eine speziell gestaltete HTTP-GET-Anfrage an den URI /cgi-bin/nas_sharing.cgi auf der NAS-Webschnittstelle senden. Beide Schwachstellen zusammen stellen ein ernstes Risiko dar, da sie eine Remote Code Execution (RCE) ohne Authentifizierung auf dem Zielgerät ermöglichen [T1584]. Dies ermöglicht Angreifern den Zugriff auf potenziell sensible Daten [TA0010], die auf dem kompromittierten NAS-Gerät selbst gespeichert sind, aber auch ein Standbein im Netzwerk des Opfers, um ein seitliches Eindringen [TA0008] in andere Systeme dort zu versuchen oder Angriffe als Teil eines Botnets global zu starten [T1584.005].

Sicherung von digitalen Alt-Produkten

Digitale Produkte am Ende ihres Lebenszyklus (End of Life; EOL) erfordern besondere Sicherheitsüberlegungen, da sie aufgrund der eingestellten Unterstützung durch den Hersteller einem höheren Risiko ausgesetzt sind ausgenutzt zu werden. Hier sind einige Verteidigungsmaßnahmen zum Schutz von digitalen EOL-Produkten:

  1. Risikobewertung: Führen Sie regelmäßige Risikobewertungen durch, um die potenziellen Auswirkungen von Altgeräten auf Ihr Unternehmen zu ermitteln, vor allem in Anbetracht der Tatsache, dass neu aufgedeckte Schwachstellen möglicherweise noch nicht vom Hersteller behoben wurden.
  2. Schwachstellen- und Patch-Management: Auch wenn EOL-Produkte von ihren Herstellern offiziell nicht mehr unterstützt werden, werden in einigen Notfällen noch Patches herausgegeben. Schwachstellen-Scans und Patch-Management helfen bei der Identifizierung neuer Schwachstellen und ermöglichen es den Verteidigern, den Hersteller um Ratschläge zu Abhilfemöglichkeiten zu bitten.
  3. Isolierung und Segmentierung: Isolieren Sie, wenn möglich, EOL-Produkte vom restlichen Netzwerk, um ihre Gefährdung durch potenzielle Bedrohungen zu begrenzen. Die Segmentierung dieser Geräte kann dazu beitragen, Sicherheitslücken einzudämmen und zu verhindern, dass sie sich auf andere Systeme auswirken.
  4. Härten Sie Konfiguration und Richtlinien: In manchen Fällen sind zusätzliche Richtlinien oder Sicherheitsmaßnahmen, wie z. B. die vollständige Sperrung des Internetzugangs, angebracht, um das Risiko weiter zu mindern.
  5. Update auf unterstützte Produkte: Aktualisieren Sie die IT-Infrastruktur, um EOL-Produkte durch unterstützte Alternativen zu ersetzen. Die Umstellung auf neuere Technologien kann die Sicherheitslage verbessern und die Abhängigkeit von veralteten Systemen verringern.
  6. Überwachung und Erkennung: Implementieren Sie zusätzliche Überwachungs- und Erkennungsmechanismen, um verdächtige Aktivitäten, Exploit-Versuche oder Versuche des unbefugten Zugriffs auf EOL-Produkte zu erkennen. Eine kontinuierliche Überwachung kann dazu beitragen, bösartige Aktivitäten sofort zu erkennen und angemessene Reaktionen zu ermöglichen.

CVE-2024-4040: Schwachstelle in CrushFTP VFS

Die CISA hat alle US-Bundesbehörden angewiesen, Systeme zu patchen, die den CrushFTP-Dienst nutzen, da diese Schwachstelle von politisch motivierten Hackern aktiv ausgenutzt wird. Die als CVE-2024-4040 (CVSS 9.8) bezeichnete Schwachstelle ermöglicht es einem nicht authentifizierten Angreifer, auf sensible Daten außerhalb des Virtual File System (VFS) von CrushFTP zuzugreifen und das System vollständig zu übernehmen. Die Schwachstelle beruht auf einem Fehler bei der korrekten Autorisierung von Befehlen, die über die CrushFTP-API [CWE-1336] ausgegeben werden.

CrushFTP ist eine proprietäre Dateiübertragungssoftware, die für die sichere Übertragung und gemeinsame Nutzung von Dateien entwickelt wurde. Sie unterstützt eine Vielzahl von Protokollen, darunter FTP, SFTP, FTPS, HTTP, HTTPS und WebDAV. Die Schwachstelle liegt im Java Web-Interface API von CrushFTP für die Verwaltung und Überwachung des CrushFTP-Servers.

Laut CrushFTP gibt es keine Möglichkeit, eine kompromittierte Instanz durch die Inspektion der Anwendungsprotokolle zu identifizieren. Es hat sich herausgestellt, dass CVE-2024-4040 einfach auszunutzen ist und öffentlich zugängliche Exploits verfügbar sind, was das Risiko stark erhöht. Der Enterprise-Feed von Greenbone enthält einen Schwachstellentest zur Identifizierung des HTTP-Headers, der von anfälligen Versionen von CrushFTP gesendet wird.

Es gibt schätzungsweise 6.000 öffentlich zugängliche Instanzen von CrushFTP allein in den USA und über 7.000 öffentliche Instanzen weltweit. CVE-2024-4040 betrifft alle Versionen der Anwendung vor 10.7.1 und 11.1.0 auf allen Plattformen. Kunden sollten dringend auf eine gepatchte Version aktualisieren.

Zusammenfassung

April 2024 war rekordverdächtig in Bezug auf die Veröffentlichung von CVEs und neuen Cybersecurity-Herausforderungen, einschließlich mehrerer einschlägiger Vorfälle. Das Secure Connect VPN von Ivanti wurde genutzt, um unbefugten Zugriff auf die Entwicklungsinfrastruktur von MITRE zu erlangen, was zu internen Netzwerkangriffen führte. Verschiedene Bedrohungsakteure wurden dabei beobachtet, wie sie eine Zero-Day-Schwachstelle in PAN-OS von Palo Alto ausnutzten, die jetzt unter der Bezeichnung CVE-2024-3400 geführt wird, und zwei neue kritische Schwachstellen in auslaufenden NAS-Geräten von D-Link verdeutlichen die Notwendigkeit zusätzlicher Sicherheitsmaßnahmen, wenn ältere Produkte in Betrieb bleiben müssen. Außerdem wurde eine kritische Schwachstelle im CrushFTP-Server gefunden und schnell in die CISA KEV aufgenommen, die US-Regierungsbehörden zu dringenden Patches zwingt.

Save the date: Der „Fachkongress Deutschlands für IT- und Cyber-Sicherheit bei Staat und Verwaltung“ (12. bis 13. Juni 2024) informiert über aktuelle Trends, Strategien und Lösungen in der IT-Security.

Im Hauptprogramm: „IT-Unterstützung zur Krisenfrüherkennung“ (Moderation: Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin, Behörden Spiegel).

Teilnehmer:

  • Dr. Jan-Oliver Wagner, Vorstandsvorsitzender Greenbone
  • Carsten Meywirth, Leiter Abteilung Cybercrime, Bundeskriminalamt
  • Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum
  • Katrin Giebel, Geschäftsstellenleiterin, VITAKO Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister
  • Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit, Bundesamt für Sicherheit in der Informationstechnik

Wo? Berlin, Hotel Adlon Kempinski, Unter den Linden 77
Wann? 13.06.2024; 9:40 Uhr

Schwachstellen in IT-Systemen werden heute immer stärker von böswilligen Angreifern ausgenutzt. Mit Vulnerability Management können Sie Ihre IT-Systeme schützen. Besuchen Sie uns in unserer Lounge an Stand 44. Wir freuen uns auf Sie!

Anmeldung: https://www.public-it-security.de/anmeldung/


Der März 2024 war ein ereignisreicher Monat für Schwachstellen und Cybersicherheit. Es war der zweite Monat in Folge, in dem das CVE-Enrichment (Common Vulnerability Exposure) auslief, was die Verteidiger in eine prekäre Lage brachte, da die Risiken weniger sichtbar waren. Der Linux-Kernel setzte sein hohes Tempo bei der Offenlegung von Schwachstellen fort und wurde als neue „CVE Numbering Authority“ (CNA) beauftragt. Darüber hinaus wurden mehrere kritische Schwachstellen in die KEV-Liste (Known Exploited Vulnerabilities) der CISA aufgenommen, darunter Microsoft Windows, Fortinet FortiClientEMS, alle wichtigen Browser und der Anbieter von „Continuous Integration And Delivery“-Software JetBrains.

Die wichtigsten Cybersecurity-Ereignisse im März:

Informationsfluss des NIST versiegt?

Das NVD-Team (National Vulnerability Database) des NIST (National Institute of Standards and Technology) hat die Anreicherung von CVE-Daten mit weiterführenden Informationen im Februar 2024 ohne Vorwarnung weitgehend eingestellt. Die CVE-Anreicherungsrate der NIST-Database verlangsamte sich im März auf knapp über 5%, und es wurde deutlich, dass es sich bei der abrupten Unterbrechung nicht nur um eine kurzfristige Störung handelte. Das gereicht Cybersicherheitsoperationen auf der ganzen Welt sehr zum Nachteil, da die NVD die größte zentrale Datenbank für Informationen über den Schweregrad von Schwachstellen ist. Ohne diese Anreicherungen stehen den Verantwortlichen für Cybersicherheit nur sehr wenige Informationen für die Priorisierung von Schwachstellen und die Entscheidungsfindung beim Risikomanagement zur Verfügung.

Experten in der Cybersicherheits-Community tauschten öffentlich Spekulationen aus, bis Tanya Brewer vom NIST auf dem VulnCon & Annual CNA Summit ankündigte, dass die nicht-regulatorische US-Regierungsbehörde einige Aspekte der NVD-Verwaltung an ein Industriekonsortium abtreten würde. Brewer erläuterte zwar nicht den genauen Grund für den Ausfall, kündigte aber mehrere zusätzliche Ziele für NIST NVD an:

  • Mögliche Einreichung von Zusatzinformationen durch mehr externe Stellen
  • Verbesserung der NVD-Software zur Identifizierung
  • Hinzufügen neuer Arten von Bedrohungsdaten wie EPSS und das NIST Bugs Framework
  • Verbesserung der Benutzerfreundlichkeit der NVD-Daten und Unterstützung neuer Anwendungsfälle
  • Automatisierung einiger Aspekte der CVE-Analyse

Es rappelt im Linux-Kernel

Insgesamt wurden im März 259 CVEs mit einer Beschreibung veröffentlicht, die mit „Im Linux-Kernel“ begannen. Dies ist der zweitaktivste Monat aller Zeiten bei der Veröffentlichung von Sicherheitslücken in Linux. Den bisherigen Rekord stellte der Vormonat mit insgesamt 279 CVEs auf. Der März markierte auch einen neuen Meilenstein für kernel.org, den Betreuer des Linux-Kernels, da dieser als CVE Numbering Authority (CNA) aufgenommen wurde. Kernel.org wird nun die Rolle der Zuweisung und Anreicherung von CVEs übernehmen, die den Linux-Kernel betreffen. Kernel.org versichert, dass CVEs nur für Schwachstellen vergeben werden, wenn ein Patch verfügbar ist, und CVEs werden nur für Versionen des Linux-Kernels vergeben, die aktiv unterstützt werden.

Brisante Sicherheitslücken in Fortinet-Produkten

In FortiOS und FortiClientEMS wurden mehrere schwere Sicherheitslücken aufgedeckt. Davon wurde CVE-2023-48788 in die KEV-Datenbank der CISA aufgenommen. Das Risiko, das von CVE-2023-48788 ausgeht, wird durch das Vorhandensein eines öffentlich zugänglichen PoC-Exploits (Proof of Concept) noch verstärkt. CVE-2023-48788 ist zwar vor allem eine SQL-Injection-Schwachstelle (CWE-89), kann aber in Verbindung mit der xp_cmdshell-Funktion von Microsoft SQL Server zur Remote Code Execution (RCE) ausgenutzt werden. Selbst wenn xp_cmdshell nicht standardmäßig aktiviert ist, haben Forscher gezeigt, dass die Schwachstelle über SQL-Injection aktiviert werden kann.

Greenbone verfügt über einen Network Vulnerability Test (NVT), mit dem Systeme identifiziert werden können, die von CVE-2023-48788 betroffen sind, über lokale Sicherheitsprüfungen, mit denen Systeme identifiziert werden können, die von CVE-2023-42790 und CVE-2023-42789 betroffen sind, sowie über eine weitere Prüfung, die von CVE-2023-36554 betroffene Systeme identifiziert. Ein PoC-Exploit für CVE-2023-3655 wurde auf GitHub veröffentlicht.

  • CVE-2023-48788 (CVSS 9.8 Kritisch): Eine SQL-Injection-Schwachstelle, die es einem Angreifer ermöglicht, nicht autorisierten Code oder Befehle über speziell gestaltete Pakete in Fortinet FortiClientEMS Version 7.2.0 bis 7.2.2 auszuführen.
  • CVE-2023-42789 (CVSS 9.8 Kritisch): Ein Out-of-bounds-Write in Fortinet FortiOS ermöglicht es einem Angreifer, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Anfragen auszuführen. Betroffene Produkte sind FortiOS 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.5, 7.0.0 bis 7.0.12, 6.4.0 bis 6.4.14, 6.2.0 bis 6.2.15, FortiProxy 7.4.0, 7.2.0 bis 7.2.6, 7.0.0 bis 7.0.12, 2.0.0 bis 2.0.13.
  • CVE-2023-42790 (CVSS 8.1 Hoch): Ein Stapel-basierter Buffer Overflow in Fortinet FortiOS ermöglicht es einem Angreifer, über speziell gestaltete HTTP-Anfragen nicht autorisierten Code oder Befehle auszuführen. Zu den betroffenen Produkten gehören FortiOS 7.4.0 bis 7.4.1, 7.2.0 bis 7.2.5, 7.0.0 bis 7.0.12, 6.4.0 bis 6.4.14, 6.2.0 bis 6.2.15, FortiProxy 7.4.0, 7.2.0 bis 7.2.6, 7.0.0 bis 7.0.12 und 2.0.0 bis 2.0.13.
  • CVE-2023-36554 (CVSS 9.8 Kritisch): FortiManager ist anfällig für eine Sicherheitslücke in der Zugriffskontrolle bei Backup- und Restore-Funktionen, die es Angreifern ermöglicht, nicht autorisierten Code oder Befehle über speziell gestaltete HTTP-Requests auszuführen. Betroffene Produkte sind FortiManager Version 7.4.0, Version 7.2.0 bis 7.2.3, Version 7.0.0 bis 7.0.10, Version 6.4.0 bis 6.4.13 und 6.2, alle Versionen.

Zero Day-Schwachstellen in allen wichtigen Browsern

Pwn2Own, ein spannender Hacking-Wettbewerb, fand vom 20. bis 22. März auf der Sicherheitskonferenz CanSecWest statt. Bei der diesjährigen Veranstaltung wurden 29 verschiedene Zero-Days entdeckt und über eine Million Dollar an Preisgeldern an Security-Forscher vergeben. Der unabhängige Teilnehmer Manfred Paul erhielt insgesamt 202.500 Dollar, davon 100.000 Dollar für zwei Zero-Day-Sandbox-Escape-Schwachstellen in Mozilla Firefox. Mozilla veröffentlichte rasch Updates für Firefox mit der Version 124.0.1.

Manfred Paul schaffte auch eine Remote Code Execution (RCE) in Apples Safari durch die Kombination von Pointer Authentication Code (PAC; D3-PAN) Bypass und Integer Underflow Zero-Days (CWE-191). PACs in Apples Betriebssystemen sind kryptografische Signaturen zur Überprüfung der Integrität von Pointern, um die Ausnutzung von Fehlern in korrumpierten Speichern zu verhindern. PAC wurde bereits früher für RCE in Safari umgangen. Manfred Paul hat Google Chrome und Microsoft Edge über die Schwachstelle Improper Validation of Specified Quantity in Input (CWE-1284) überlistet und damit das Browser-Exploit-Dreigestirn komplettiert.

Die Tatsache, dass alle großen Browser angegriffen wurden, unterstreicht das hohe Risiko, das der Besuch von nicht vertrauenswürdigen Internetseiten mit sich bringt, und die insgesamt mangelnde Sicherheit der großen Browserhersteller. Greenbone enthält Tests, um verwundbare Versionen von Firefox und Chrome zu identifizieren.

  • CVE-2024-29943 (CVSS 10 kritisch): Ein Angreifer konnte in Firefox über Out-of-bounds auf ein JavaScript-Objekt zugreifen, indem er die bereichsbasierte Begrenzungsprüfung austrickste. Diese Sicherheitslücke betrifft Versionen von Firefox vor 124.0.1.
  • CVE-2024-29944 (CVSS 10 kritisch): Firefox behandelte Message Manager-Listener falsch, was einem Angreifer erlaubt, einen Event Handler in ein privilegiertes Objekt einzuschleusen, um beliebigen Code auszuführen.
  • CVE-2024-2887 (hoch): Eine Type-Confusion-Schwachstelle (CWE-843) in der Implementierung von WebAssembly (Wasm) im Chrome-Browser.

Neue, aktiv ausgenutzte Microsoft-Schwachstellen

Microsofts Sicherheitshinweis vom März enthielt insgesamt 61 Sicherheitslücken, die sich auf viele Produkte auswirken. Der Windows-Kernel wies mit insgesamt acht CVEs die meisten Schwachstellen auf, von denen fünf als besonders schwerwiegend eingestuft wurden. Microsoft WDAC OLE DB provider for SQL, Windows ODBC Driver, SQL Server und Microsoft WDAC ODBC Driver sind zusammen für zehn CVEs mit hohem Schweregrad verantwortlich. Für keine der Schwachstellen in dieser Gruppe gibt es Workarounds, was bedeutet, dass Updates auf alle betroffenen Produkte angewendet werden müssen. Greenbone enthält Schwachstellentests, um die neu bekannt gewordenen Schwachstellen aus Microsofts Sicherheitshinweis zu erkennen.

Microsoft hat bisher sechs der neuen Sicherheitslücken vom März als „Ausnutzung wahrscheinlich“ gekennzeichnet, während zwei neue Sicherheitslücken, die Microsoft-Produkte betreffen, der CISA KEV-Liste hinzugefügt wurden; CVE-2023-29360 (CVSS 8.4 hoch), die den Microsoft Streaming Service betrifft, und CVE-2024-21338 (CVSS 7.8 hoch), die im Jahr 2023 veröffentlicht wurden, erhielten im März den Status „Aktiv ausgenutzt“.

CVE-2024-27198: kritische Schwachstelle in JetBrains TeamCity

TeamCity ist ein beliebter Continuous-Integration- und Continuous-Delivery-Server (CI/CD), der von JetBrains entwickelt wurde, dem Unternehmen, das auch hinter weit verbreiteten Entwicklungstools wie IntelliJ IDEA, der führenden integrierten Entwicklungsumgebung (IDE) für Kotlin, und PyCharm, einer IDE für Python, steht. TeamCity wurde entwickelt, um Softwareentwicklungsteams bei der Automatisierung und Rationalisierung ihrer Build-, Test- und Deployment-Prozesse zu unterstützen, und konkurriert mit anderen CI/CD-Plattformen wie Jenkins, GitLab CI/CD, Travis CI und Azure DevOps. TeamCity hat einen geschätzten Anteil von knapp 6 % am Gesamtmarkt für Continuous Integration and Delivery und rangiert insgesamt an dritter Stelle. Nach Angaben von JetBrains nutzen mehr als 15,9 Millionen Entwickler ihre Produkte, darunter 90 der Fortune Global Top 100-Unternehmen.

Angesichts der Marktposition von JetBrains wird eine kritische Schwachstelle in einem ihrer Produkte schnell die Aufmerksamkeit potenzieller Angreifer auf sich ziehen. Innerhalb von drei Tagen nach der Veröffentlichung von CVE-2024-27198 wurde die Schwachstelle in den KEV-Katalog der CISA aufgenommen. Der Schwachstellen-Feed von Greenbone Enterprise umfasst Tests zur Identifizierung betroffener Produkte, darunter eine Versionsprüfung und den Active Check, bei dem eine manipulierte HTTP-GET-Anfrage gesendet und die Antwort analysiert wird.

In Kombination ermöglichen CVE-2024-27198 (CVSS 9.8 kritisch) und CVE-2024-27199 einem Angreifer, die Authentifizierung über einen alternativen Pfad oder Kanal (CWE-288) zu umgehen, um geschützte Dateien zu lesen, auch solche außerhalb des eingeschränkten Verzeichnisses (CWE-23), und begrenzte Admin-Aktionen durchzuführen.

Zusammenfassung

Der Frühling beginnt mit wachsenden Software-Schwachstellen aufgrund des NIST NVD-Ausfalls und der aktiven Ausnutzung mehrerer Schwachstellen in Unternehmens- und Verbrauchersoftware. Positiv ist, dass mehrere Zero-Day-Schwachstellen, die alle wichtigen Browser betreffen, identifiziert und gepatcht wurden.

Die Tatsache, dass ein einzelner Forscher in der Lage war, so schnell alle wichtigen Browser auszunutzen, ist jedoch ein ernsthafter Weckruf für alle Unternehmen, da der Browser eine so grundlegende Rolle im modernen Unternehmensbetrieb spielt. Schwachstellenmanagement ist nach wie vor ein Kernelement der Cybersicherheitsstrategie. Durch regelmäßiges Scannen der IT-Infrastruktur auf Schwachstellen wird sichergestellt, dass die neuesten Bedrohungen identifiziert und behoben werden können – und so die Lücken geschlossen werden, die Angreifer für den Zugriff auf wichtige Systeme und Daten auszunutzen versuchen.


Nachdem Experten bereits 2023 einen rapiden Zuwachs bei Cyberangriffen auf Kommunen und Behörden feststellen mussten, hören die Schreckensmeldungen auch 2024 nicht auf. Der Handlungsdruck ist enorm, denn ab Oktober tritt die NIS2-Richtline der EU in Kraft und macht Risiko- und Schwachstellenmanagement zur Pflicht.

„Die Gefährdungslage ist so hoch wie nie“ sagt die Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Claudia Plattner bei der Bitkom Anfang März. Die Frage sei nicht, ob ein Angriff erfolgreich ist, sondern nur wann. Auch die jährlichen Berichte des BSI, zum Beispiel der jüngste Report von 2023 sprächen da Bände. Auffällig sei aber, so Plattner, wie oft Kommunen, Krankenhäuser und andere öffentliche Institutionen im Mittelpunkt der Angriffe stünden. Aber es gebe „kein Maßnahmen- sondern ein Umsetzungsproblem in den Unternehmen und Behörden“.  Klar ist: Schwachstellenmanagement wie das von Greenbone kann dabei schützen und helfen, das Schlimmste zu vermeiden.

US-Behörden durch chinesische Hacker unterwandert

Angesichts der zahlreichen gravierenden Sicherheitsvorfälle wird das Schwachstellenmanagement von Jahr zu Jahr wichtiger. Knapp 70 neue Sicherheitslücken kamen in den letzten Monaten täglich hinzu. Einige von Ihnen öffneten tief in US-Behörden hinein Tür und Tor für Angreifer, wie im Greenbone Enterprise Blog berichtet:

Über gravierende Sicherheitslücken waren US-Behörden Medien zufolge seit Jahren durch chinesische Hackergruppen wie die wohl staatlich gesponserte „Volt Typhoon“ unterwandert. Dass Volt Typhoon und ähnliche Gruppierungen ein großes Problem sind, bestätigte sogar Microsoft selbst in einem Blog bereits im Mai 2023. Doch damit nicht genug: „Volt Typhoon macht sich die reichlich auftretenden Sicherheitslücken in VPN-Gateways und Routern der Marken FortiNet, Ivanti, Netgear, Citrix und Cisco zunutze. Diese gelten derzeit als besonders verwundbar“, war bei Heise zu lesen.

Dass der Quasi-Monopolist bei Office, Groupware, Betriebssystemen und diversen Clouddiensten 2023 auch noch zugeben musste, dass er sich den Masterkey für große Teile seiner Microsoft-Cloud hat stehlen lassen, zerstörte das Vertrauen in den Redmonder Softwarehersteller vielerorts. Wer diesen Key besitzt, braucht keine Backdoor mehr für Microsoft-Systeme, schreibt Heise. Vermutet werden hierbei ebenfalls chinesische Hacker.

Softwarehersteller und -Lieferanten

Die Lieferkette für Softwarehersteller steht nicht erst seit log4j oder dem Europäischen Cyber Resilience Act unter besonderer Beobachtung bei Herstellern und Anwendern. Auch das jüngste Beispiel um den Angriff auf den XZ-Komprimierungsalgorithmus in Linux zeigt die Verwundbarkeit von Herstellern. Bei der „#xzbackdoor“ hatte eine Kombination aus purem Zufall und den Aktivitäten von Andres Freund, ein sehr an Performance orientierter, deutscher Entwickler von Open-Source-Software für Microsoft, das Schlimmste verhindert.

Hier tat sich ein Abgrund auf: Nur dank der Open-Source-Entwicklung und einer gemeinsamen Anstrengung der Community kam heraus, dass Akteure über Jahre hinweg mit hoher krimineller Energie und mit Methoden, die sonst eher von Geheimdiensten zu erwarten sind, wechselnde Fake-Namen mit diversen Accounts benutzt hatten. Ohne oder mit nur wenig Benutzerhistorie bedienten sie sich ausgeprägter sozialer Betrugsmaschen, nutzen die notorische Überlastung von Betreibern aus und erschlichen sich das Vertrauen von freien Entwicklern. So gelang es ihnen, fast unbemerkt Schadcode in Software einzubringen. Nur dem Performance-Interesse von Freund war es schließlich zu verdanken, dass der Angriff aufflog und der Versuch scheiterte, eine Hintertür in ein Tool einzubauen.

US-Offizielle sehen auch in diesem Fall Behörden und Institutionen besonders bedroht, selbst wenn der Angriff eher ungezielt, für den massenhaften Einsatz ausgerichtet zu sein scheint. Das Thema ist komplex und noch lange nicht ausgestanden, geschweige denn vollumfänglich verstanden. Sicher ist nur: Die Usernamen der Accounts, die die Angreifer verwendet haben, waren bewusst gefälscht. Wir werden im Greenbone Blog weiter darüber berichten.

Europäische Gesetzgeber reagieren

Schwachstellenmanagement kann solche Angriffe nicht verhindern, aber es leistet unverzichtbare Dienste, indem es Administratoren proaktiv warnt und alarmiert, sobald ein derartiger Angriff bekannt wird – und dies meist, noch bevor ein Angreifer Systeme kompromittieren konnte. Angesichts aller Schwierigkeiten und dramatischen Vorfälle überrascht es nicht, dass auch Gesetzgeber die Größe des Problems erkannt haben und das Schwachstellenmanagement zum Standard und zur Best Practice in mehr und mehr Szenarien erklären.

Gesetze und Regulierungen wie die neue NIS2-Richtline der EU schreiben den Einsatz von Schwachstellenmanagement zwingend vor, auch in der Software-Lieferkette. Selbst wenn NIS2 eigentlich nur für etwa 180.000 Organisationen und Unternehmen der Kritischen Infrastruktur (KRITIS) beziehungsweise „besonders wichtige“ oder „bedeutende“ Unternehmen Europas gilt, sind die Regulierungen grundsätzlich sinnvoll – und ab Oktober Pflicht. Die „Betreiber wesentlicher Dienste“, betont die EU-Kommission, „müssen geeignete Sicherheitsmaßnahmen ergreifen und die zuständigen nationalen Behörden über schwerwiegende Vorfälle informieren. Wichtige Anbieter digitaler Dienste wie Suchmaschinen, Cloud-Computing-Dienste und Online-Marktplätze müssen die Sicherheits- und Benachrichtigungsanforderungen der Richtlinie erfüllen.“

Ab Oktober vorgeschrieben: Ein„Minimum an Cyber-Security-Maßnahmen“

Die „Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der gesamten Union (NIS2)“ zwingt Unternehmen der europäischen Gemeinschaft, einen „Benchmark eines Minimums an Cyber-Security-Maßnahmen zu implementieren“, darunter auch Risikomanagement, Weiterbildung, Policies und Prozeduren, auch und gerade in der Zusammenarbeit mit Software-Lieferanten. In Deutschland sollen die Bundesländer die genaue Umsetzung der NIS2-Regelungen definieren.

Haben Sie Fragen zu NIS2, dem Cyber Resilience Act (CRA), zu Schwachstellenmanagement allgemein oder den beschriebenen Sicherheitsvorfällen? Schreiben Sie uns! Wir freuen uns darauf, mit Ihnen zusammen, die richtige Compliance-Lösung zu finden und Ihrer IT-Infrastruktur den Schutz zu geben, den sie heute angesichts der schweren Angriffe benötigt.


Grüner wird’s nicht mehr? Von wegen! Soeben haben wir die Zertifizierung für unser Umweltmanagementsystem nach ISO 14001 abgeschlossen. Und wir haben festgestellt: Es geht immer noch etwas „grüner“ – man musss sich nur engagieren und bereit sein, dieses Engagement in messbaren Fortschritten voranzutreiben.

Die internationale Norm ISO 14001 legt Anforderungen fest, mit deren Hilfe Unternehmen Umweltziele erreichen und dabei auch rechtliche Verpflichtungen erfüllen können. Weil die ökologische Nische für jede Organisation unterschiedlich ist, sieht der Standard zwar keine absoluten Werte und Ziele vor, betont jedoch die Integration ins Qualitätsmanagement, die Leitungsverantwortung für das Umweltmanagement und die Beseitigung von Unklarheiten hinsichtlich der Umweltziele.

Ziele, Vorgaben, Kennzahlen: Trockenes Gerüst für grünes Wachstum

So legt die aktuelle deutsche Fassung der Norm als DIN EN ISO 14001:2015 besonderen Wert auf die „Umweltleistungsverbesserung“ und deren Messung durch entsprechende Kennzahlen. Die ökologischen Ziele beziehen sich so auf vor- und nachgelagerte Umweltauswirkungen von Produkten und Dienstleistungen ebenso wie die Berücksichtigung von Chancen und Risiken im täglichen Business. Das Ganze ist im Rahmen eines kontinuierlichen Verbesserungsprozesses (KVP) einzurichten, sodass die Auswirkungen jeder neuen Maßnahme kontrollierbar sind und diese entsprechend angepasst werden kann. Wir sind stolz darauf, mit der Zertifizierung jetzt einen weiteren, wichtigen Schritt in Richtung auf ein nicht nur von außen, im Firmenlogo, sondern auch von innen „grünen“ Unternehmens verkünden zu können.

Schon im Herbst 2023, als das „Environmental Management System“ eingeführt wurde, war uns klar: Wir können zwar nicht die Welt retten, aber jeder Schritt in diese Richtung ist uns wichtig! Also Schritt für Schritt: Los ging es mit der Sammlung aller Aspekte, die überhaupt Einfluss auf die Umwelt haben können. Nach dem Ranking der Faktoren und ihrer Priorisierung kristallisierten sich elf Gebiete heraus, auf denen Greenbone ökologisch wirksam und aktiv werden kann: Angefangen beim Stromverbrauch über die Kühlung von Servern, die Heizung von Büroräumen und den Warenversand bis hin zur Mülltrennung und der Energieeffizienz unserer Appliances.

Und immer wieder: messen…

Als ein Unternehmen, das hohen Wert auf die Verwirklichung und die klare Darstellung von Zielvorgaben legt, ist Greenbone bereits nach ISO 9001:2015 (Qualitätsmanagement) und ISO 27001:2017 (Informationssicherheit) sowie im Rahmen von TISAX für das Information Security Management System (ISMS) zertifiziert. Für ISO 14001 haben wir unsere Ziele entsprechend in klar definierten Key Performance Indikatoren (KPI) konkretisiert, um sie für spätere Messungen wieder bereitzustellen. So können bestehende Maßnahmen nachjustiert und weitere Verbesserungen eingeführt werden. Was sich zunächst trocken anhört, trägt bereits erste, „grüne“ Früchte:

  • Unser Strom speist sich seit Firmengründung komplett aus erneuerbaren Energien. Der Gesamtverbrauch – inklusive Clients und Server – soll in Kürze noch um 3% gesenkt werden.
  • Bei jeder Neuanschaffung von Equipment achten wir besonders auf Nachhaltigkeit und Energieeffizienz.
  • Seit 2020 nutzen wir ausschließlich E-Autos als Firmenfahrzeuge.
  • Wir haben auf digitale Gehaltsabrechnungen umgestellt.
  • Der Serverraum wird regelmäßig auf mögliche Einsparpotenziale überprüft.
  • Auch im Kleinen schreiben wir Umweltschutz groß: Müll wird nur noch zentral gesammelt, und Verpackungsmaterial wird prinzipiell wiederverwendet.

Um unseren ökologischen Fortschritten schließlich mehr Nachhaltigkeit zu verleihen, halten wir uns in regelmäßigen internen Schulungen zur Energieeffizienz auf dem Laufenden. So tragen wir dazu bei, dass die Welt auch außerhalb von Greenbone noch „grüner“ wird.