In jedem Unternehmen gibt es geschäftskritische Aktivitäten. Sicherheitskontrollen sollen sie schützen und sicherstellen, dass der Geschäftsbetrieb und die strategischen Ziele auf Dauer aufrechterhalten werden. Ein Sicherheitskonzept nach dem Motto „Install and forget“ bietet wenig Gewähr für das Erreichen dieser Ziele. In einer sich ständig verändernden digitalen Landschaft kann eine Sicherheitslücke zu einem schwerwiegenden Datenverstoß führen. Ereignisse und Entwicklungen wie die Ausweitung von Privilegien, Server-Wildwuchs und Konfigurationsfehler häufen sich. Sicherheitsteams, die diese Ereignisse nicht ständig überwachen, entdecken sie nicht – Angreifer schon. Daher handelt es sich bei Cybersicherheits-Frameworks in der Regel um iterative Prozesse, die Überwachung, Audits und kontinuierliche Verbesserungen umfassen.

Sicherheitsverantwortliche sollten sich fragen: Was muss unser Unternehmen messen, um eine hohe Sicherheit zu erlangen und sie kontinuierlich zu verbessern? In diesem Artikel werden wir Ihnen eine Begründung für Key Performance Indicators (KPI) in der Cybersicherheit geben, die von Branchenführern wie dem NIST und dem SANS Institute dargelegt werden, und einen Kernsatz von KPIs für das Schwachstellenmanagement definieren. Die grundlegenden KPIs, die hier behandelt werden, können als Ausgangspunkt für Unternehmen dienen, die ein einfaches Schwachstellenmanagement-Programm einführen, während die fortschrittlicheren Maßnahmen Unternehmen, die bereits über ein ausgereiftes Schwachstellenmanagement verfügen, mehr Transparenz bieten.

Wie KPIs die Cybersicherheit unterstützen

Leistungskennzahlen (KPIs) werden durch das Sammeln und Analysieren relevanter Leistungsdaten generiert und werden hauptsächlich für zwei strategische Ziele verwendet. Das erste ist die Erleichterung evidenzbasierter Entscheidungsfindung. Beispielsweise können KPIs helfen, die Leistung von Programmen zum Schwachstellenmanagement zu bewerten, um das Gesamtniveau der Risikominderung zu beurteilen und zu entscheiden, ob mehr Ressourcen zugewiesen oder der Status quo akzeptiert werden soll. Das zweite strategische Kernziel, das KPIs unterstützen, ist die Rechenschaftspflicht für Sicherheitsaktivitäten. KPIs können helfen, die Ursachen für eine schlechte Leistung zu ermitteln und eine Frühwarnung über unzureichende oder schlecht implementierte Sicherheitskontrollen auszusenden. Mit einer angemessenen Überwachung der Leistung des Schwachstellenmanagements kann die Wirksamkeit bestehender Verfahren bewertet werden, sodass diese angepasst oder durch zusätzliche Kontrollen ergänzt werden können. Die bei der Erstellung von KPIs gesammelten Nachweise können auch dazu verwendet werden, die Einhaltung interner Richtlinien, verbindlicher oder freiwilliger Cybersicherheitsstandards oder geltender Gesetze und Vorschriften nachzuweisen, indem die Aktivitäten des Cybersicherheitsprogramms belegt werden.

Der Umfang der Messung von KPIs kann unternehmensweit sein oder sich auf Abteilungen oder Infrastrukturen konzentrieren, die für den Geschäftsbetrieb entscheidend sind. Dieser Umfang kann auch angepasst werden, wenn ein Cybersicherheitsprogramm ausgereift ist. In der Anfangsphase eines Schwachstellenmanagements stehen möglicherweise nur grundlegende Informationen zur Verfügung, aus denen KPI-Metriken erstellt werden können. Mit zunehmender Reife eines Programms wird die Datenerfassung jedoch robuster und ermöglicht komplexere KPI-Metriken. Fortgeschrittenere Maßnahmen können auch gerechtfertigt sein, um für Organisationen mit erhöhtem Risiko eine hohe Sichtbarkeit zu erreichen.

Arten von Cybersicherheitsmaßnahmen

NIST SP 800-55 V1 (und sein Vorgänger NIST SP 800-55 r2) konzentriert sich auf die Entwicklung und Erfassung von drei Arten von Maßnahmen:

  • Implementierungsmaßnahmen: Diese messen die Umsetzung der Sicherheitsrichtlinien und den Fortschritt der Implementierung. Beispiele hierfür sind: die Gesamtzahl der gescannten Informationssysteme und der Prozentsatz der kritischen Systeme, die auf Schwachstellen gescannt wurden.
  • Maßnahmen zur Effektivität/Effizienz: Diese messen die Ergebnisse von Sicherheitsaktivitäten und überwachen Prozesse auf Programm- und Systemebene. So lässt sich feststellen, ob die Sicherheitskontrollen korrekt implementiert sind, wie beabsichtigt funktionieren und zu den gewünschten Ergebnissen führen. Zum Beispiel der prozentuale Anteil aller identifizierten kritischen Schwachstellen, die in der gesamten betrieblich kritischen Infrastruktur entschärft wurden.
  • Auswirkungsmessungen: Diese messen die geschäftlichen Auswirkungen von Sicherheitsaktivitäten wie Kosteneinsparungen, Kosten, die durch die Behebung von Sicherheitsschwachstellen entstehen, oder andere geschäftsbezogene Auswirkungen der Informationssicherheit.

Wichtige Leistungsindikatoren für das Schwachstellenmanagement

Da es beim Schwachstellenmanagement im Wesentlichen darum geht, bekannte Schwachstellen zu erkennen und zu beheben, sind KPIs, die Aufschluss über die Erkennung und Behebung bekannter Bedrohungen geben, am besten geeignet. Zusätzlich zu diesen beiden Schlüsselbereichen kann die Bewertung der Effektivität eines bestimmten Schwachstellenmanagement-Tools helfen, verschiedene Produkte zu vergleichen. Da dies die logischsten Möglichkeiten zur Bewertung von Schwachstellenmanagement-Aktivitäten sind, gruppiert unsere Liste die KPIs in diese drei Kategorien. Zu jedem Element wurden außerdem Tags hinzugefügt, die angeben, welchen in NIST SP 800-55 spezifizierten Zweck die Metrik erfüllt.

Die Liste ist zwar nicht vollständig, enthält jedoch einige wichtige KPIs für das Schwachstellenmanagement:

Leistungsmetriken für die Erkennung

  • Scan-Abdeckung (Implementierung): Hier wird der prozentuale Anteil der gesamten Anlagen einer Organisation gemessen, die auf Schwachstellen gescannt werden. Die Scan-Abdeckung ist besonders in den frühen Phasen der Programmimplementierung wichtig, um Ziele festzulegen und die sich entwickelnde Reife des Programms zu messen. Der Scan-Abdeckungsgrad kann auch verwendet werden, um Lücken in der IT-Infrastruktur eines Unternehmens zu identifizieren, die nicht gescannt werden und somit ein erhöhtes Risiko darstellen.
  • Mean Time to Detect (MTTD) (Effizienz): Damit wird die durchschnittliche Zeitspanne zwischen der ersten Veröffentlichung von Informationen und der Erkennung von Schwachstellen durch eine Sicherheitskontrolle gemessen. Die MTTD kann verbessert werden, indem die Häufigkeit der Aktualisierung der Module eines Schwachstellen-Scanners oder die Häufigkeit der Durchführung von Scans angepasst wird.
  • Verhältnis der nicht identifizierten Schwachstellen (Wirksamkeit): Das Verhältnis zwischen den proaktiv durch Scans identifizierten Schwachstellen und den Schwachstellen, die durch Post-Mortem-Analysen von Sicherheitsverletzungen oder Vorfällen entdeckt wurden. Ein höheres Verhältnis deutet auf bessere proaktive Erkennungsfähigkeiten hin.
  • Automatisierte Entdeckungsrate (Effizienz): Diese Kennzahl misst den Prozentsatz der Schwachstellen, die durch automatisierte Tools im Vergleich zu manuellen Erkennungsmethoden identifiziert werden. Eine höhere Automatisierung kann zu einer konsistenteren und schnelleren Erkennung führen.

Metriken zur Behebungsleistung

  • Mean Time to Remediate (MTTR; Effizienz): Damit wird die durchschnittliche Zeit gemessen, die für die Behebung von Schwachstellen nach deren Entdeckung benötigt wird. Durch die Verfolgung der Behebungszeiten können Unternehmen ihre Reaktionsfähigkeit auf Sicherheitsbedrohungen messen und das Risiko, das durch die Expositionszeit entsteht, bewerten. Eine kürzere MTTR deutet in der Regel auf einen agileren Sicherheitsbetrieb hin.
  • Remediation Coverage (Wirksamkeit): Diese Kennzahl gibt den Anteil der entdeckten Schwachstellen an, die erfolgreich behoben wurden, und dient als wichtiger Indikator für die Wirksamkeit bei der Behebung erkannter Sicherheitsrisiken. Der Abdeckungsgrad bei der Behebung kann so angepasst werden, dass er speziell die Rate der Schließung kritischer oder schwerwiegender Sicherheitslücken widerspiegelt. Indem sich die Sicherheitsteams zuerst auf die gefährlichsten Schwachstellen konzentrieren, können sie das Risiko effektiver minimieren.
  • Risikoscore-Reduktion (Auswirkung): Diese Kennzahl spiegelt die Gesamtauswirkungen der Schwachstellenmanagement-Aktivitäten auf das Risiko wider. Durch die Überwachung von Änderungen des Risikowertes lässt sich beurteilen, wie gut die Bedrohung durch exponierte Schwachstellen gehandhabt wird. Die Verringerung des Risiko-Scores wird in der Regel mit Hilfe von Risikobewertungs-Tools berechnet, die eine kontextbezogene Ansicht der einzigartigen IT-Infrastruktur und des Risikoprofils eines jeden Unternehmens bieten.
  • Konformitätsrate (Auswirkung): Diese Kennzahl gibt den Prozentsatz der Systeme an, die bestimmte Cybersicherheitsvorschriften, Standards oder interne Richtlinien einhalten. Sie ist ein wichtiges Maß für die Beurteilung des Konformitätsstatus und liefert verschiedenen Interessengruppen einen Nachweis über diesen Status. Sie dient auch als Warnung, wenn die Compliance-Anforderungen nicht erfüllt werden, wodurch das Risiko von Strafen verringert und die in den Compliance-Vorgaben vorgesehene Sicherheitslage gewährleistet wird.
  • Wiederöffnungsrate von Schwachstellen (Effizienz): Diese Kennzahl misst den Prozentsatz der Schwachstellen, die wieder geöffnet werden, nachdem sie als behoben markiert wurden. Die Wiederöffnungsrate gibt Aufschluss über die Effizienz der Abhilfemaßnahmen. Im Idealfall wird für die Schwachstelle kein weiteres Ticket ausgestellt, sobald ein Problembehebungs-Ticket geschlossen wurde.
  • Kosten der Behebung (Auswirkung): Diese Kennzahl misst die Gesamtkosten, die mit der Behebung erkannter Schwachstellen verbunden sind, und umfasst sowohl direkte als auch indirekte Ausgaben. Die Kostenanalyse kann Entscheidungen zur Budgetierung und Ressourcenzuweisung unterstützen, indem sie den Zeit- und Ressourcenaufwand für die Erkennung und Behebung von Schwachstellen erfasst.

Metriken zur Effektivität von Schwachstellenscannern

  • True-Positive-Erkennungsrate (Wirksamkeit): Sie misst den Prozentsatz der Schwachstellen, die von einem bestimmten Tool genau erkannt werden können. Diese Rate zielt auf die effektive Abdeckung eines Schwachstellen-Scanning-Tools und ermöglicht den Vergleich zweier Schwachstellen-Scanning-Produkte anhand ihres relativen Werts.
  • False-Positive-Erkennungsrate (Effektivität): Diese Metrik misst die Häufigkeit, mit der ein Tool fälschlicherweise nicht vorhandene Schwachstellen als vorhanden identifiziert. Dies kann zu einer Verschwendung von Ressourcen führen. Anhand dieser Rate kann die Zuverlässigkeit eines Schwachstellen-Scanning-Tools gemessen werden, um sicherzustellen, dass es mit den betrieblichen Anforderungen übereinstimmt.

Erkenntnisse

Durch die Erstellung und Analyse von Leistungsindikatoren (KPIs) können Unternehmen die grundlegenden Anforderungen an die Cybersicherheit für eine kontinuierliche Überwachung und Verbesserung erfüllen. KPIs unterstützen außerdem zentrale Geschäftsstrategien wie evidenzbasierte Entscheidungsfindung und Rechenschaftspflicht.

Mit quantitativen Einblicken in Schwachstellenmanagement-Prozesse können Unternehmen ihre Fortschritte besser einschätzen und ihre Cybersicherheitsrisiken genauer bewerten. Durch die Zusammenstellung geeigneter KPIs können Unternehmen den Reifegrad ihrer Schwachstellenmanagement-Aktivitäten nachverfolgen, Lücken in den Kontrollen, Richtlinien und Verfahren erkennen, die die Effektivität und Effizienz ihrer Schwachstellenbeseitigung einschränken, und die Übereinstimmung mit den internen Risikoanforderungen und den relevanten Sicherheitsstandards, Gesetzen und Vorschriften sicherstellen.

Referenzen

National Institute of Standards and Technology. Measurement Guide for Information Security: Volume 1 — Identifying and Selecting Measures. NIST, January 2024, https://csrc.nist.gov/pubs/sp/800/55/v1/ipd

National Institute of Standards and Technology. Performance Measurement Guide for Information Security, Revision 2. NIST, November 2022, https://csrc.nist.gov/pubs/sp/800/55/r2/iwd

National Institute of Standards and Technology. Assessing Security and Privacy Controls in Information Systems and Organizations Revision 5. NIST, January 2022, https://csrc.nist.gov/pubs/sp/800/53/a/r5/final

National Institute of Standards and Technology. Guide for Conducting Risk Assessments Revision 1. NIST, September 2012, https://csrc.nist.gov/pubs/sp/800/30/r1/final

National Institute of Standards and Technology. Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology Revision 4. NIST, April 2022, https://csrc.nist.gov/pubs/sp/800/40/r4/final

SANS Institute. A SANS 2021 Report: Making Visibility Definable and Measurable. SANS Institute, June 2021, https://www.sans.org/webcasts/2021-report-making-visibility-definable-measurable-119120/

SANS Institute. A Guide to Security Metrics. SANS Institute, June 2006, https://www.sans.org/white-papers/55/

Greenbone Basic: Auch kleine Unternehmen können sich jetzt einfach vor Schwachstellen schützen

Cyberangriffe stellen seit Jahren die größte Gefahr für moderne Unternehmen jeder Größe dar. Diverse Angriffe sorgten für Furore, kosteten Milliarden und verursachten weltweit Produktionsausfälle . Auch 2024 hat sich daran nichts geändert – die Bedrohung macht keinen Unterschied zwischen kleinen und großen Firmen: Studien zufolge sind sich neun von zehn Unternehmen der Gefahr bewusst und wollen in den Schutz vor Angreifern, Malware und Ransomware investieren.

Professionellen Schutz bietet dabei nur modernes Schwachstellenmanagement, wie wir es als Open-Source-Anbieter seit vielen Jahren liefern. Unsere Produkte bewähren sich täglich unter höchsten Anforderungen in Kritischen Infrastrukturen, Behörden, Konzernen und Organisationen. Jetzt bringen wir ein für kleine und mittelgroße Unternehmen (KMUs) maßgeschneidertes Angebot auf den Markt.

Die ganze Power von Greenbones Schwachstellenmanagement für KMUs

Was für große Organisationen schon lange Pflicht ist, können sich jetzt auch kleinere Firmen leisten: Wir bringen unser bewährtes Greenbone Vulnerability Management in einer kostengünstigen Version auf den Markt:
Greenbone Basic passt perfekt für kleine und mittelgroße Firmen, ist günstiger als die Konkurrenz, basiert auf unseren bewährten Enterprise-Produkten und bietet den bekannten, starken Schutz für jedermann.

Zum kleinen Preis liefert die Greenbone Basic viele Features des großen Bruders und bleibt dabei deutlich günstiger als vergleichbare Angebote von Wettbewerbern. Wie die Greenbone Enterprise-Produkte kommt auch Greenbone Basic mit der besten Erkennungsrate für Schwachstellen, schnellstem Zero-Day-Schutz und einfacher Bedienbarkeit. 

Es glänzt zudem mit schneller Inbetriebnahme und dem effizienten Betrieb, den professionelles Schwachstellenmanagement in heutigen Infrastrukturen verlangt.

„Wir haben Greenbone Basic extra auf die Bedürfnisse von KMUs maßgeschneidert, weil wir immer öfter von Vertretern kleinerer und mittlerer Unternehmen angefragt wurden. Gerade KMUs haben eben doch sehr besondere Anforderungen, müssen sich aber heute zunehmend auch den gleichen Herausforderungen stellen wie große Unternehmen.“

Hannes Nordlohne, Business Development Manager

Greenbone Basic scannt bis zu 200 IP-Adressen binnen 24 Stunden und bringt dabei die bewährten und von unserem Entwicklerteam permanent aktualisierten CVE-Tests für Prognosescans mit. Administratoren nehmen die für verschiedene Plattformen vorbereitete Software schnell und unkompliziert in Betrieb. Basic unterstützt gängige Server-Virtualisierungen wie Microsofts Hyper-V, VMware oder Oracle Virtualbox, wobei die Integration auch Funktionen wie das obligatorische regelmäßige Backup einschließt.

Features und Funktionsweise

Wir sind seit vielen Jahren Marktführer im Open-Source-Schwachstellenmanagement und nutzen auch in Basic unsere große Erfahrung für zahlreiche Extra-Features, die gerade für kleine und mittelgroße Umgebungen unverzichtbar sind – beispielsweise die intuitive und klare Benutzeroberfläche im Browser.

Startseite Scan-Ergebnisse

Die grafische Web-Oberfläche gibt nicht nur einen ständig aktualisierten Überblick über den Status und die Performance des Systems, sie erlaubt auch das komfortable Verwalten und Starten von Scans und integriert Bericht-Plugins mit Filtern, Sortieren, Notizen und Risikoeinstufungen. Um das Zertifikat-Management kümmert sich ein eigenes Modul, Scans lassen sich durch Zeitpläne automatisieren, und nach ihrem Abschluss versorgt Greenbone Basic Administratoren automatisch mit allen relevanten Informationen. Solche Berichte liegen als PDF, HTML, Text und XML vor.
Modernes Schwachstellenmanagement („Vulnerability Management“) zielt darauf ab, Sicherheitslücken (Schwachstellen) in IT-Systemen, Netzwerken, Anwendungen und Geräten zu identifizieren, zu bewerten, zu priorisieren und zu beheben. Dieser Prozess ist entscheidend, um die Sicherheit der IT-Infrastruktur eines Unternehmens oder einer Organisation zu gewährleisten und Risiken durch Cyberangriffe oder Datenverluste zu minimieren.
Greenbone identifiziert Schwachstellen mithilfe von angepassten Tests und eigenen Scannern, aber auch bewährter Open-Source-Software, um Bedrohungen zu klassifizieren und dem Administrator Lösungswege, Patches, Konfigurationsänderungen, Workarounds oder Aktualisierungen vorzuschlagen.

„Greenbone verfügt über eine der größten Datenbanken und die besten Algorithmen zur Erkennung von Schwachstellen. Greenbone-Basic-Kunden profitieren vom schnellsten Zero-Day-Schutz auf dem Markt – wir reagieren schneller als andere Anbieter, fast immer erkennt unser System neue Schwachstellen bereits am ersten Tag. Greenbone Basic bringt all diese Vorteile auch in kleine Unternehmen.“

Benjamin Höner, Chief Product Officer Greenbone

Viel Leistung für wenig Geld: Greenbone Basic

Für nur 2.450 Euro pro Jahr können sich kleine und mittelgroße Unternehmen jetzt auch das leisten, was große Firmen zum Schutz ihrer Infrastruktur benutzen. Gerade im Vergleich mit der freien und kostenlosen Version „Greenbone Free“ bringt Greenbone Basic deutlich mehr Sicherheit und zahlreiche Extra-Features: Neben zahlreichen Scans und Tests, die Enterprise-Kunden benötigen (für Oracle, Microsoft, Cisco, VMware, Palo Alto, Trend Micro, Fortinet, Juniper und viele mehr), gibt es auch automatische Scans und die in Unternehmen unabdingbare Integration in Enterprise-Verzeichnisse wie LDAP und RADIUS.

Featurevergleich (Greenbone Free, Greenbone Basic, Greenbone Enterprise)

Wer jedoch Sensoren, API-Zugriff, Remediation-Tickets und weitere Enterprise-Features benötigt und gleich auch Support von Greenbone mitkaufen möchte, greift zum Klassiker Greenbone Enterprise, der auf jede Unternehmensgröße passt. Das Einstiegsprodukt Greenbone Basic können Sie hier anfordern und sieben Tage lang kostenlos testen.

Am 22. Oktober öffnet die „it-sa Expo&Congress“ in Nürnberg wieder ihre Pforten. Die Fachmesse zählt mittlerweile zu den größten Plattformen für IT-Security-Lösungen weltweit. Mit 19.449 Fachbesuchern aus 55 Ländern sowie 795 Ausstellern aus 30 Ländern stellte sie vergangenes Jahr neue Bestmarken auf. Greenbone wird dieses Jahr am Partnerstand von ADN in Halle 6, Stand 6-346 dabei sein. Unser CEO Jan-Oliver Wagner wird im Forum 6-B am Eröffnungstag (11:00 – 11:15) live mit einem Fachvortrag dabei sein.

  • Öffnungszeiten:
    • Dienstag, 22. Oktober 2024: 09:00 – 18:00
    • Mittwoch, 23. Oktober 2024: 09:00 – 18:00
    • Donnerstag, 24. Oktober 2024: 09:00 – 17:00
  • Ort: Nürnberg, Messezentrum
  • Infos: Tickets, Aussteller, Hallenplan

Besuchen Sie uns auf unserem Stand oder vereinbaren Sie gleich einen Termin mit den Security-Experten von Greenbone. Wir freuen uns auf Ihren Besuch!

Die Veröffentlichung von Schwachstellen legte im Juli eine Pause ein. Nur 3.135 neue CVEs wurden veröffentlicht, ein Rückgang von fast 40 % gegenüber dem Rekordmonat Mai 2024. Letzten Monat sprachen wir über Cybersicherheit am Rand des Netzwerks und bezogen uns dabei auf die zunehmende Zahl von Angriffen auf die Netzwerk-Peripherie. Der Titel dieses Beitrags deutete auch an, dass die IT weltweit an einem katastrophalen Ausfall vorbeischrammen könnte. Elmar Geese, CMO von Greenbone, hat eine schöne Einschätzung des fehlgeschlagenen Updates von CrowdStrike veröffentlicht, das am Freitag, dem 19. Juli, weltweit Windows-Systeme zum Absturz brachte.

Schon im Jahr 2021 sagte Gartner voraus, dass bis 2025 ungezügelte Cyberangriffe Tod und Chaos verursachen werden. Die schlechte Nachricht ist, dass wir dem Zeitplan von Gartner voraus sind, aber die noch schlechtere Nachricht ist, dass wir keinen Cyberangriff brauchten, um dieses Ziel zu erreichen. Hier ein Überblick über die wichtigsten, aktiv ausgenutzten Schwachstellen und kritischen Risiken im Juli 2024.

Ransomware verbreitet sich über VMware-Schwachstelle

In diesem Monat wurden zwei Schwachstellen in VMwares ESXi-Hypervisor und vCenter Server-Produkten in den KEV-Katalog (Known Exploited Vulnerabilities, bekannte ausgenutzte Sicherheitslücken) der CISA aufgenommen. Bei einer Schwachstelle, CVE-2024-37085 in ESXi, wurde beobachtet, dass sie die Ransomware Akira und Black Basta verbreitet. Die Virtualisierungslösungen von VMware sind für das globale IT-Ökosystem von entscheidender Bedeutung. In der Vergangenheit hat der Anbieter verkündet, dass über 80 Prozent der virtualisierten Arbeitslasten auf seiner Technologie laufen, darunter alle Fortune 500- und Fortune Global 100-Unternehmen.

CVE-2024-37085 (CVSS 6.8 Medium) wurde von Microsoft entdeckt, das enthüllte, dass ESXi von vornherein äußerst unsicher ist und jedem Benutzer in einer Active Directory (AD)-Domänengruppe mit dem Namen „ESX Admins“ standardmäßig ohne ordnungsgemäße Validierung vollen administrativen Zugriff gewährt. Nur für den Fall, dass Sie nicht glauben können, was Sie gerade gelesen haben, möchte ich klarstellen: Jeder Benutzer in einer beliebigen AD-Gruppe mit dem Namen „ESX Admins“ erhält volle Administratorrechte auf einer ESXi-Instanz – und zwar absichtlich. Wir sollten alle fassungslos sein und unter Schock stehen.

In Anbetracht der Tatsache, dass CVE-2024-37085 für Ransomware-Angriffe ausgenutzt wird, sollten Sie daran denken, dass die Erstellung sicherer Backups von ESXi-Hypervisor-Konfigurationen und virtuellen Maschinen sowie die Durchführung von Tabletop- und Funktionsprüfungen zu einer schnellen Wiederherstellung nach einem Ransomware-Angriff beitragen können. Das Schließen von Sicherheitslücken durch Scannen auf bekannte Schwachstellen und das Anwenden von Abhilfemaßnahmen können dazu beitragen, dass Ransomware-Angriffe gar nicht erst erfolgreich werden.

CVE-2022-22948 (CVSS 6.5 Medium), das ebenfalls aktiv ausgenutzt wird, ist ein weiterer „Insecure by design“-Fehler in VMware-Produkten, diesmal in vCenter Server, der durch unsachgemäße Standard-Dateiberechtigungen [CWE-276] verursacht wird und die Offenlegung sensibler Informationen ermöglicht.

Greenbone kann aktiv verwundbare Versionen von VMware ESXi und vCenter Server mit separaten Schwachstellentests für CVE-2024-37085 und CVE-2022-22948 erkennen, seit diese im Jahr 2022 erstmals veröffentlicht wurden.

Geballte Ladung an Cisco CVEs mit kritischen Schweregraden

Im Juli 2024 wurden insgesamt 12 Schwachstellen, zwei kritische und drei mit hohem Schweregrad, in 17 verschiedenen Cisco-Produkten aufgedeckt. CVE-2024-20399 in Cisco NX-OS wird aktiv ausgenutzt und wurde in den KEV-Katalog (Known Exploited Vulnerabilities, bekannte ausgenutzte Sicherheitslücken) der CISA aufgenommen. Die CISA verwies auch auf CVE-2024-20399 in einer im Juli veröffentlichten Warnung zu „Secure by Design“. Die Behörde rät Softwareherstellern, ihre Produkte auf Schwachstellen für die Eingabe von Betriebssystembefehlen zu untersuchen [CWE-78]. Greenbone enthält eine Remote-Versionsprüfung für das aktiv ausgenutzte CVE-2024-20399.

Hier eine Übersicht über die wichtigsten CVEs:

  • CVE-2024-20399 (CVSS 6.7 Mittel): Eine Eingabe-Schwachstelle im Command Line Interface (CLI) von Ciscos NX-OS ermöglicht es, authentifizierten administrativen Benutzern, Befehle als Root auf dem zugrundeliegenden Betriebssystem (OS) auszuführen, da unzensierte Argumente an bestimmte Konfigurationsbefehle übergeben werden. CVE-2024-20399 kann nur von einem Angreifer ausgenutzt werden, der bereits privilegierten Zugriff auf die Schnittstelle in der Befehlszeile hat. Greenbone enthält eine Remote-Versionsprüfung für CVE-2024-20399.
  • CVE-2024-20419 (CVSS 10 kritisch): Das Authentifizierungssystem von Cisco Smart Software Manager On-Prem (SSM On-Prem) ermöglicht es einem nicht authentifizierten Angreifer, remote das Passwort eines beliebigen Benutzers, einschließlich Administratoren, über HTTP-Anfragen zu ändern. Greenbone enthält einen Test zur Erkennung von Remote-Versionen für CVE-2024-20419.
  • CVE-2024-20401 (CVSS 10 kritisch): Eine Schwachstelle in den Funktionen zum Scannen von Inhalten und Filtern von Nachrichten des Cisco Secure Email Gateway könnte es einem nicht authentifizierten, Angreifer ermöglichen, beliebige Dateien aus der Ferne auf dem Gerät über E-Mail-Anhänge zu überschreiben, wenn die Dateianalyse und die Inhaltsfilter aktiviert sind. CVE-2024-20401 erlaubt es Angreifern, Benutzer mit Root-Rechten zu erstellen, die Gerätekonfiguration zu verändern, beliebigen Code auszuführen oder das Gerät komplett zu deaktivieren. Greenbone kann anfällige Geräte erkennen, sodass Verteidiger die von Cisco empfohlenen Abhilfemaßnahmen anwenden können.

Weitere CVEs, die im Juli 2024 für führende Cisco-Produkte veröffentlicht wurden, umfassen:

CVE

Produkt

VT

CVE-2024-20400 (CVSS 5.0 M)

Cisco Expressway-Reihe

Erkennungstest

CVE-2024-6387 (CVSS 8.1 H)

Virtuelle Cisco Intersight-Anwendung

Erkennungstest

CVE-2024-20296 (CVSS 5.8 M)

Cisco Identity Services Engine (ISE)

Erkennungstest

CVE-2024-20456 (CVSS 6,5 M)

Cisco IOS XR-Software

Erkennungstest

CVE-2024-20435 (CVSS 6.8 M)

Sichere Web-Anwendung von Cisco

Erkennungstest

CVE-2024-20429 (CVSS 7.7 H)

Sicheres E-Mail-Gateway von Cisco

Erkennungstest

CVE-2024-20416 (CVSS 7.7 H)

Cisco Dual-WAN-Gigabit-VPN-Router

Erkennungstest

ServiceNow: Datendiebstahl und Remote Code Execution

Mit Abschluss des Monats Juli wurden zwei kritische Sicherheitslücken in ServiceNow – CVE-2024-4879 und CVE-2024-5217 – in die KEV-Liste der CISA aufgenommen. Beide CVEs werden mit CVSS 9.8 als kritisch eingestuft. Am selben Tag, dem 10. Juli, wurde ServiceNow noch eine dritte zugewiesen: CVE-2024-5178 (CVSS 6.8 Medium). Die drei Sicherheitslücken werden von Angreifern miteinander verknüpft, um unauthentifizierte Remote Code Execution (RCE) zu erreichen. Die Daten von über 100 Opfern werden Berichten zufolge auf BreachForums verkauft, einer Plattform für den Austausch gestohlener Daten für Cyberkriminelle.

ServiceNow ist eine führende Plattform für das IT-Service-Management (ITSM), die Incident Management, Problem Management, Change Management, Asset Management und Workflow-Automatisierung umfasst und sich auch auf allgemeine Geschäftsmanagement-Tools wie Personalwesen, Kundenservice und Sicherheitsabläufe erstreckt. ServiceNow wird entweder als Software as a Service (SaaS) installiert oder von Unternehmen selbst gehostet. Shodan meldet etwa 20.000 gefährdete Instanzen online und Resecurity hat Angriffe auf Unternehmen des privaten Sektors und auf Regierungsbehörden weltweit beobachtet.

Greenbone hat Schwachstellentests (VTs) [1][2] für alle drei CVEs eingeführt, bevor die CISA auf aktive Exploits aufmerksam wurde. Hotfixes sind beim Hersteller erhältlich [3][4][5] und Kunden, die das System selbst hosten, sollten diese dringend anwenden.

Kritische Sicherheitslücke in den eCommerce-Plattformen Adobe Commerce und Magento

Adobe Commerce und Magento in den Versionen 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 und früher sind von der Sicherheitslücke CVE-2024-34102 (CVSS 9.8 kritisch) betroffen, die durch eine unzulässige Einschränkung der XML External Entity Reference (‚XXE‘) [CWE-611] entsteht. Ein Angreifer könnte die Schwachstelle ohne Benutzerinteraktion ausnutzen, indem er eine bösartige XML-Datei sendet, um sensible Daten innerhalb der Plattform zu lesen.

CVE-2024-34102 wird aktiv ausgenutzt und ein grundlegender Proof-of-Concept-Exploit-Code ist auf GitHub [1] verfügbar. Bösartiger Exploit-Code [2] für die CVE wurde aufgrund der Richtlinien gegen Malware ebenfalls von GitHub entfernt, aber Angreifer verbreiten ihn aktiv über Dark-Web-Foren und Hacker-Kanäle auf Telegram. Außerdem stieg der EPSS-Wert (Exploit Prediction Scoring System) der CVE vor ihrer Aufnahme in die CISA KEV an, was EPSS als Frühwarnmetrik für Schwachstellenrisiken anerkennt.

Magento ist eine Open-Source-PHP-basierte eCommerce-Plattform für kleine und mittlere Unternehmen. Adobe Commerce, das 2018 von Adobe übernommen wurde, ist im Wesentlichen die Enterprise-Version von Magento Open Source mit zusätzlichen Funktionen für größere Unternehmen. Da es sich um eine eCommerce-Plattform handelt, besteht das Risiko, dass Angreifer Zahlungskartendaten oder andere sensible personenbezogene Daten von Kunden einer Website stehlen und darüber hinaus kostspielige Ausfallzeiten aufgrund von Umsatzeinbußen für den Eigentümer der Website verursachen.

Greenbone enthält eine aktive Prüfung und Tests zur Erkennung von Schwachstellen (VTs), um anfällige Versionen dieser hochgefährlichen Schwachstelle zu identifizieren.

GeoServer: Hohes Risiko für RCE

Eine CVSS 9.8 kritische CVE wurde in GeoServer vor den Versionen 2.23.6, 2.24.4 und 2.25.2 gefunden. GeoServer ist eine Open-Source-Anwendung für die gemeinsame Nutzung, Bearbeitung und Anzeige von Geodaten. Die als CVE-2024-36401 verfolgte Schwachstelle wird aktiv ausgenutzt und kann zu beliebiger Remote Code Execution (RCE) führen. Der Exploit-Code ist öffentlich zugänglich [1][2], was das Risiko noch erhöht. CERT-EU hat eine Warnung für alle EU-Institutionen, Agenturen und Mitgliedsstaaten herausgegeben. Greenbone enthält Remote-Erkennungstests zur Identifizierung von CVE-2024-36401, so dass Benutzer der betroffenen GeoServer-Produkte benachrichtigt werden können.

Die Schwachstelle, die als Abhängigkeit von einer anfälligen Drittanbieterkomponente [CWE-1395] klassifiziert ist, liegt in der GeoTools-Komponente – einer Open-Source-Java-Bibliothek, die als Grundlage für verschiedene Geospatial-Projekte und -Anwendungen, einschließlich GeoServer, dient. Ähnlich wie sich Log4Shell auf eine unbekannte Anzahl von Anwendungen auswirkte, die die Log4j 2.x-Bibliothek verwenden, gilt das Gleiche für GeoTools. Verschiedene OGC (Open Geospatial Consortium) Request-Parameter (einschließlich WFS GetFeature, WFS GetPropertyValue, WMS GetMap, WMS GetFeatureInfo, WMS GetLegendGraphic und WPS Execute Requests) verfallen einer RCE, da die GeoTools Bibliotheks-API unsichere Property/Attribute-Namen an die commons-jxpath Bibliothek weitergibt, die die Fähigkeit hat, beliebigen Code auszuführen [CWE-94].

Benutzer sollten auf die GeoServer-Versionen 2.23.6, 2.24.4 oder 2.25.2 aktualisieren, die einen Patch für dieses Problem enthalten. Diejenigen, die nicht aktualisieren können, können die Datei „gt-complex-<Version>.jar“ entfernen, um den anfälligen Code zu beseitigen, was jedoch die Funktionalität beeinträchtigen kann, wenn das gt-complex-Modul erforderlich ist.

Zusammenfassung

Im Juli 2024 wurden weniger Schwachstellen gemeldet, dennoch gab es erhebliche Bedrohungen. Insbesondere wurde beobachtet, dass CVE-2024-37085 in VMwares ESXi aufgrund von unsicheren Designfehlern für Ransomware-Angriffe ausgenutzt wird. Zu den neuen Schwachstellen von Cisco gehören CVE-2024-20399, die aktiv für die Einschleusung von Befehlen ausgenutzt wird, sowie zwei kritische Schwachstellen in den Produkten. Die CVEs von ServiceNow, darunter CVE-2024-4879 und CVE-2024-5217, werden zur Verbreitung von Ransomware und zum Datendiebstahl genutzt. CVE-2024-34102 von Adobe Commerce und CVE-2024-36401 von GeoServer stellen ebenfalls ein großes Risiko dar. Unternehmen müssen Patches, Schwachstellenmanagement und die Reaktion auf Vorfälle priorisieren, um diese Bedrohungen zu entschärfen.

Die Bedrohungslage in puncto Cybersecurity war noch nie so angespannt wie derzeit. Sogar offizielle Stellen prognostizieren, dass dies auch in Zukunft so bleiben wird.  Während die Zahl der Schwachstellen steigt, die die Angreifer ausnutzen können, berichten Analysten, dass die Täter außerdem die Schwachstellen schneller ausnutzen als bisher. Neue Sicherheitshinweise verwerten sie innerhalb weniger Tage, vielleicht sogar Stunden nach ihrer Veröffentlichung, schon in ihren Angriffen.  Unternehmen sind damit einem höheren Risiko ausgesetzt und müssen jetzt bei Transparenz und Effizienz ihrer Abhilfemaßnahmen nachbessern.

Ein beunruhigender Vorfall im Zuge einer nicht gepatchten Sicherheitslücke ist der kürzlich erfolgte Anschlag gegen die Cybersicherheit des Bildungssystems von Helsinki, der zum Diebstahl von mehreren Millionen Dateien mit den sensiblen persönlichen Daten von etwa 80.000 Personen führte. Die forensische Analyse des Angriffs deutet darauf hin, dass russische Bedrohungsakteure dafür verantwortlich sein könnten.

Die Datenpanne im Bildungssystem von Helsinki

Am 2. Mai 2024 wurde die Bildungsabteilung der Stadt Helsinki über eine nicht gepatchte Sicherheitslücke in einem Remote Access Server angegriffen. Nach Angaben des City Managers Jukka-Pekka Ujula war ein Hotfix-Patch bereits verfügbar, um die Schwachstelle zu beseitigen, „aber es ist derzeit nicht bekannt, warum dieser Hotfix nicht auf dem Server installiert wurde“.

Konkrete technische Details über die Sicherheitslücke wurden noch nicht veröffentlicht. Bekannt ist jedoch, dass die Angreifer in der Lage waren, sich Zugang zu Netzlaufwerken mit mehreren Millionen Dateien zu verschaffen und diese zu stehlen. Jukka-Pekka Ujula dazu: „Unsere Kontrollen und Verfahren für Sicherheitsupdates und Gerätewartung waren unzureichend.“ Gemeint ist damit ein fehlendes Schwachstellenmanagement, mit dem sichergestellt wird, dass bekannte Sicherheitslücken entschärft werden.

Zu den gestohlenen Daten gehören personenbezogene Informationen von rund 80.000 Schülern, Erziehungsberechtigten und Mitarbeitern, darunter Benutzernamen und E-Mail-Adressen, Personalausweise, physische Adressen von Schülern sowie andere sensible private Informationen, beispielsweise Gebühren (mit Begründungen) für Kunden der frühkindlichen Bildung und Betreuung, sensible Informationen über den Status von Kindern, Anträge auf Schülerfürsorge oder besondere Unterstützung, ärztliche Bescheinigungen über die Unterbrechung des Studiums für Schüler der Sekundarstufe II und Krankenakten.

Finnlands Reaktion auf den Datenschutzverstoß

Hannu Heikkinen, Chief Digital Officer der Stadt Helsinki, teilte Reportern mit, dass eine erste forensische Analyse des Einbruchs Hinweise darauf ergeben hat, dass der Angriff möglicherweise aus Russland stammt. Er ereignete sich wenige Monate nach der Eskalation der Grenzspannungen zwischen Russland und Finnland. Obwohl russische nationalstaatliche Bedrohungsakteure und mit ihnen verbundene Gruppen für cyber-militärische Kampagnen gegen ihre Gegner bekannt sind, hat keiner von ihnen die Verantwortung für den Angriff übernommen. In Deutschland hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Standpunkt vertreten, dass sich Deutschland als Reaktion auf die zunehmenden Cyberangriffe von russischen Bedrohungsakteuren strategisch neu ausrichten und mehr in die Cybersicherheit investieren muss.

Das Nationale Cybersicherheitszentrum Finnland (NCSC-FI) veröffentlicht Aktualisierungen und Leitlinien für den Umgang mit solchen Vorfällen und für die Verbesserung der Cybersicherheitsmaßnahmen im öffentlichen und privaten Sektor. Die finnische Regierung hat auch die Notwendigkeit einer systematischen Entwicklung und verstärkten Zusammenarbeit zwischen den Behörden hervorgehoben, um die Widerstandsfähigkeit des Landes in der Cybersicherheit zu verbessern.

Trafcom, die finnische Behörde für Verkehr und Kommunikation, bietet Ratschläge für diejenigen, deren persönliche Daten gestohlen wurden, oder für alle, die verdächtige Mitteilungen im Zusammenhang mit diesem Vorfall erhalten. Alle Betroffenen werden gebeten, verdächtige Mitteilungen an kaskotietoturvatilanne@hel.fi oder unter der Telefonnummer +358 9 310 27139 zu melden.

Greenbone unterstützt bewährte Praktiken der Cybersicherheit

Die Erkenntnis aus diesem und ähnlichen Vorfällen ist, dass vorbeugende Maßnahmen in der Cybersecurity wie die Nutzung eines Schwachstellenmanagements das Risiko einer Datenpanne und die damit verbundenen Kosten verringern. Um sich zu schützen, müssen Unternehmen einen proaktiven Ansatz verfolgen, indem sie Richtlinien, Prozesse und Technologien wie die Greenbone Enterprise Vulnerability Management-Plattform implementieren, die bewährte Verfahren für die Cybersicherheit unterstützen. Andernfalls sind Angreifern Tür und Tor geöffnet, was Risiken mit sich bringt – finanziell, für die Reputation und für die Privatsphäre.

Greenbone bietet eine hohe Transparenz der Systeme und Software innerhalb der IT-Infrastruktur eines Unternehmens und nimmt Informationen über Cyber-Bedrohungen auf, sodass IT-Sicherheitsteams Risiko-orientiert Abhilfe schaffen können. Als Plattform zum Scannen und Verwalten von Schwachstellen unterstützt Greenbone Unternehmen dabei, bekannte Schwachstellen in IT-Umgebungen zu erkennen und Standards wie den BSI-Grundschutz und CIS-Vorgaben einzuhalten.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

Mehr und mehr Klarheit zieht ein in die Umsetzung der NIS2-Direktive der EU: Ende Juli hat das NIS2-Umsetzungsgesetz das Kabinett der bundesdeutschen Regierung passiert. Der entscheidende Beschluss im Bundestag steht nun bevor. Für alle Unternehmen und Behörden, die sich fragen, ob sie das etwas angeht, hat das BSI jetzt unter dem griffigen Hashtag #nis2now eine umfangreiche Webseite mit einer Betroffenheitsprüfung und wertvollen Informationen gelauncht.

Auch wenn das Inkrafttreten durch den Bundestagsbeschluss noch auf sich warten lässt und selbst wenn der ursprünglich geplante Termin im Oktober im Zuge dessen verstreichen sollte, müssen sich Unternehmen jetzt vorbereiten, fordert das Bundesamt für Sicherheit in der Informationstechnologie (BSI). Die Behörde gibt deshalb Unternehmen und Organisationen jeder Art einen achtteiligen Fragenkatalog an die Hand, mit dem IT-Leiter und Verantwortliche herausfinden können, ob die strengen Regularien von NIS2 auch für sie gelten. Allen Unternehmen und Einrichtungen, die unter die NIS2-Regelung fallen, liefert es für die Frage, was sie im Vorfeld der Rechtswirksamkeit von NIS2 schon jetzt tun können, weitere Hilfestellung und Antworten.

Hoher Bedarf, hohe Nachfrage

Der Bedarf scheint hoch. Sowohl BSI-Chefin Claudia Plattner als auch Bundes-CIO Markus Richter vermeldeten Erfolge in Form von mehreren zehntausend Zugriffen schon an den ersten Tagen (zum Beispiel auf LinkedIn: Plattner, Richter). Direkt auf der BSI-Seite steht die NIS2-Betroffenheitsprüfung. Hier finden sich „konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen“. Die Fragen sind „kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefer gehend erläutert“. Gewissheit, ob ein Unternehmen oder eine Organisation von NIS2 betroffen ist, gibt es dann binnen weniger Minuten.

In den Fragen müssen Unternehmen angeben, ob sie Betreiber kritischer Anlagen sind, Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentlicher Telekommunikationsnetze, qualifizierte Vertrauensdienste-Anbieter oder eine Top-Level-Domain-Name-Registry oder DNS-Dienste anbieten. Auch wenn ein Unternehmen ein nicht qualifizierter Vertrauensdienste-Anbieter ist oder Waren und Dienstleistungen verkauft, die einer der in Anlage 1 oder 2 der NIS-2-Richtlinie bestimmten Einrichtungsarten zuzuordnen sind, ist es von den NIS2-Regularien betroffen.

Wer alle Fragen mit „Nein“ beantworten kann, ist nicht von NIS2 betroffen. Allen anderen jedoch bietet das BSI umfangreiche Hilfestellungen und Recherchemöglichkeiten dafür, was denn jetzt zu tun sei. Eine FAQ-Liste erklärt ausführlich in neun Fragen den aktuellen Stand, ob man noch warten oder bereits mit der Vorbereitung anfangen solle. Links zu Quellen und Ansprechpartnern finden sich hier ebenso wie weitere Informationen für die Betroffenheits-Checks und Begriffserklärungen (Was bedeutet „wichtig“, „wesentlich“ und „besonders wichtig“ im Kontext des NIS2?). Sehr wichtig dabei sind auch die Sektionen, die erklären welche Pflichten und Nachweise betroffene Unternehmen wann und wohin liefern müssen, sowie die noch unbeantwortete Diskussion, ab wann NIS2 verbindlich gelte.

Unter der Vielzahl von Informationen des BSI finden sich auch Unterstützungsangebote für die Wirtschaft, aber auch klare Anweisungen für die nächsten Schritte und grundlegende Erklärungen zu Kritischen Infrastrukturen (KRITIS) im Allgemeinen.

Jetzt aktiv werden, trotz Warten auf Bundestag

Die in der Diskussion teils hart umstrittene nationale Umsetzung der europäischen NIS2-Richtlinie hatte sich zuletzt aufgrund starker Meinungsverschiedenheiten der Beteiligten verzögert, sodass der bisher erwartete Termin verschoben werden musste. Das Bundesinnenministerium hatte schon vor Wochen bestätigt, dass die Richtlinie nicht im Oktober in Kraft treten werde.

Unabhängig vom Warten auf den Bundestag sollten Betroffene jetzt aktiv werden, schreibt das BSI, man müsse verantwortliche Personen und Teams benennen, die Rollen und Aufgaben definieren, aber auch Bestandsaufnahme machen und Prozesse zur fortlaufenden Verbesserung einrichten. Die Vorbereitung auf die anstehende Meldepflicht sollte dabei höchste Priorität haben.

Umfangreiche Informationen auch von Greenbone

Auch Greenbone hat dem Thema NIS2 in den letzten Monaten zahlreiche Blogposts und Anleitungen gewidmet, vom Cyber Resilience Act über die Bedrohungslage für Kommunen bis hin zu effizienten Maßnahmen und grundsätzlich allem, was Betroffene jetzt über NIS2 wissen müssen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

Ransomware, Phishing, Denial-of-Service-Attacken: Einer aktuellen Studie zufolge machen sich 84 Prozent der befragten Unternehmen Sorgen um die Sicherheit ihrer IT-Systeme und sehen einen weiteren Anstieg der Bedrohungslage. Mit gutem Grund, denn auch veralteter Code, Datendiebstahl durch Mitarbeiter, die unzureichende Absicherung von Unternehmensnetzen und das Benutzen von nicht autorisierten Geräten machen den Firmen zu schaffen.

Für ihre Studie haben das Marktforschungs-Institut Lünendonk und die Wirtschaftsprüfer der KPMG 100 CIOs, CTOs und CISOs nach den Gründen für steigende Risiken und Cyberangriffe befragt. Auch wenn die Untersuchung zu dem Schluss kommt, dass die Betriebe von den gleichen Sorgen geplagt werden wie die, vor denen das BSI in seinen Jahresberichten warnt, fühlen sich die meisten mittelständischen Betriebe in Deutschland gut geschützt und haben einen Plan, wie sie Cyberangriffe frühzeitig erkennen und abwehren wollen. Als Hilfe und Anlaufstelle dafür hat Greenbone gemeinsam mit dem BSI das SMP-Bund-Portal ins Leben gerufen.

Trotz allem: Sorgen im Mittelstand

38 Prozent der Manager nennen ganz grundsätzlich die zunehmende Digitalisierung als Auslöser sich häufender Risiken, jeder vierte sieht eine Zunahme bei der Cyberkriminalität. Und jeder fünfte der Befragten befürchtet, dass die allgemeine politische Lage in der Welt, besonders aber der Krieg in der Ukraine negative Konsequenzen auf die eigene Sicherheit haben werde. Ebenso viele nannten Defizite in der Infrastruktur und den rasanten technische Fortschritt allgemein als Besorgnis erregende Faktoren.

Investitionen in Schwachstellenmanagement

Das hat Folgen: 90 Prozent der Befragten geben an, in Sicherheitstools investieren zu wollen, wobei das Schwachstellenmanagement größte Aufmerksamkeit genießt: Neun von zehn mittelständischen Unternehmen wollen der Studie zufolge verstärkt in die Identifizierung von Schwachstellen investieren. An zweiter Stelle stehen Investitionen ins Zugangsmanagement, vor allem in die Bereiche IAM (Identity Access Management) und PAM (Privileged Access Management). Acht von zehn Unternehmen geben an, hier investieren zu wollen oder es bereits zu tun.

„Neun von zehn Unternehmen wollen 2023 und 2024 in Vulnerability Management, Identity & Access Management, Security-Monitoring und Business Continuity investieren. Einen Anstieg zeigen die Investitionsplanungen unter anderem in den Bereichen Cloud Security und KI-gestützte Cyber-Abwehr“, so die Autoren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

NIS2 Umsetzung gezielt auf den Weg bringen!

Die Deadline für die Umsetzung von NIS2 rückt näher – zum 17.10.2024 sollen verschärfte Cybersicherheitsmaßnahmen in Deutschland über das NIS2 Umsetzungsgesetz ins Recht überführt werden. Dieses liegt bisher als Gesetzesentwurf vor, welcher sich an der EU Richtlinie 2022/2555 orientiert. Diese Richtlinie haben wir für Sie unter die Lupe genommen, um Ihnen in diesem kurzen Video die wichtigsten Anhaltspunkte und Wegweiser für das Inkrafttreten von NIS2 an die Hand zu geben. Ob Ihr Unternehmen betroffen ist, welche Maßnahmen Sie unbedingt ergreifen sollten, welche Themengebiete der Cybersicherheit Sie besonders bedenken müssen, wen Sie diesbezüglich konsultieren können und welche Konsequenzen die Nichteinhaltung hat, erfahren sie in diesem Video.

Informieren sie sich über den Cyber Resilience Act, welcher ein solides Regelwerk bietet, um die Widerstandskraft Ihres Unternehmens gegen Cyberangriffe zu stärken. Die ENISA Common Criteria werden Ihnen helfen, die Sicherheit Ihrer IT-Produkte und Systeme zu bewerten und bereits in der Entwicklung einen risikominimierenden Ansatz zu fahren. Priorisieren Sie außerdem die Einführung eines Informationsmanagementssystems, beispielsweise durch die Umsetzung der ISO 27001 Zertifizierung für Ihr Unternehmen. Lassen Sie sich diesbezüglich zum Thema IT-Grundschutz von entsprechenden, vom BSI empfohlenen Fachkräften beraten.

Neben dem BSI als Anlaufstelle für Anliegen bzgl. NIS2 stehen wir Ihnen gerne zur Verfügung und bieten zertifizierte Lösungen für Schwachstellenmanagement und Penetration Testing. Durch einen proaktiven Ansatz können Sie Sicherheitslücken in Ihren Systemen frühzeitig erkennen und absichern, bevor sie für einen Angriff genutzt werden können. Unsere Schwachstellenmanagementlösung sucht Ihr System automatisch nach kritischen Punkten ab und erstattet Ihnen regelmäßig Bericht. Beim Penetration Testing versucht ein menschlicher Tester in Ihr System einzudringen, um Ihnen die finale Gewissheit über die Angriffsfläche Ihrer Systeme zu verschaffen. 

Auch sollten Sie es sich zur Gewohnheit machen, durch regelmäßige Schulungen zum Thema Cybersecurity auf dem neuesten Stand zu bleiben und einen regen Austausch mit anderen NIS2 Unternehmen zu etablieren. Nur so führt NIS2 am effizientesten zu einem nachhaltig erhöhten Cybersicherheitsniveau in Europa.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

IT-Sicherheitsteams müssen nicht unbedingt wissen, was CSAF ist, aber andererseits kann die Kenntnis dessen, was „unter der Haube“ einer Schwachstellenmanagement-Plattform passiert, einen Kontext dafür liefern, wie sich das Schwachstellenmanagement der nächsten Generation entwickelt und welche Vorteile ein automatisiertes Schwachstellenmanagement hat. In diesem Artikel geben wir eine Einführung in CSAF 2.0, was es ist und wie es das Schwachstellenmanagement in Unternehmen verbessern soll.

Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.

Was ist CSAF?

Das Common Security Advisory Framework (CSAF) 2.0 ist ein standardisiertes, maschinenlesbares Format für Hinweise auf Sicherheitslücken. CSAF 2.0 ermöglicht es der vorgelagerten Cybersecurity Intelligence Community, einschließlich Software- und Hardware-Anbietern, Regierungen und unabhängigen Forschern, Informationen über Schwachstellen bereitzustellen. Nachgelagert ermöglicht CSAF den Nutzern von Schwachstelleninformationen, Sicherheitshinweise von einer dezentralen Gruppe von Anbietern zu sammeln und die Risikobewertung mit zuverlässigeren Informationen und weniger Ressourcenaufwand zu automatisieren.

Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats stellt CSAF eine Entwicklung hin zu einem automatisierten Schwachstellenmanagement der nächsten Generation dar, das die Belastung der IT-Sicherheitsteams, die mit einer ständig wachsenden Zahl von CVE-Enthüllungen konfrontiert sind, verringern und die risikobasierte Entscheidungsfindung angesichts eines Ad-hoc-Ansatzes beim Austausch von Schwachstelleninformationen verbessern kann.

CSAF 2.0 ist der Nachfolger des Common Vulnerability Reporting Framework (CVRF) v1.2 und erweitert die Möglichkeiten seines Vorgängers, um mehr Flexibilität zu bieten.

Hier sind die wichtigsten Erkenntnisse:

  • CSAF ist ein internationaler offener Standard für maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen, der die Markup-Sprache JSON verwendet.
  • Die CSAF-Aggregation ist ein dezentralisiertes Modell zur Verteilung von Schwachstelleninformationen.
  • CSAF 2.0 wurde entwickelt, um ein automatisiertes Schwachstellenmanagement der nächsten Generation in Unternehmen zu ermöglichen.

Der traditionelle Prozess des Schwachstellenmanagements

Der traditionelle Prozess der Schwachstellenverwaltung ist für große Unternehmen mit komplexen IT-Umgebungen ein schwieriger Prozess. Die Anzahl der CVEs, die in jedem Patch-Zyklus veröffentlicht werden, steigt in einem unkontrollierbaren Tempo [1][2]. Bei einem herkömmlichen Schwachstellenmanagementprozess sammeln IT-Sicherheitsteams Schwachstelleninformationen manuell über Internetrecherchen. Auf diese Weise ist der Prozess mit einem hohen manuellen Aufwand für das Sammeln, Analysieren und Organisieren von Informationen aus einer Vielzahl von Quellen und Ad-hoc-Dokumenten Formaten verbunden.

Zu diesen Quellen gehören in der Regel:

  • Datenbanken zur Verfolgung von Schwachstellen wie NIST NVD
  • Sicherheitshinweise der Produktanbieter
  • Nationale und internationale CERT-Beratungen
  • Bewertungen der CVE-Nummerierungsbehörde (CNA)
  • Unabhängige Sicherheitsforschung
  • Plattformen für Sicherheitsinformationen
  • Code-Datenbanken ausnutzen

Das letztendliche Ziel, eine fundierte Risikobewertung durchzuführen, kann während dieses Prozesses auf verschiedene Weise vereitelt werden. Empfehlungen, selbst die des Produktanbieters, sind oft unvollständig und werden in einer Vielzahl nicht standardisierter Formate geliefert. Dieser Mangel an Kohärenz erschwert eine datengestützte Entscheidungsfindung und erhöht die Fehlerwahrscheinlichkeit.

Lassen Sie uns kurz die bestehende Informationspipeline für Schwachstellen sowohl aus der Sicht der Ersteller als auch der Verbraucher betrachten:

Der Prozess der Offenlegung von Schwachstellen

Die in der National Vulnerability Database (NVD) des NIST (National Institute of Standards and Technology) veröffentlichten CVE-Datensätze (Common Vulnerability and Exposure) stellen das weltweit zentralste globale Repository für Schwachstelleninformationen dar. Im Folgenden finden Sie einen Überblick darüber, wie der Prozess der Offenlegung von Schwachstellen funktioniert:

  1. Produktanbieter werden durch ihre eigenen Sicherheitstests oder durch unabhängige Sicherheitsforscher auf eine Sicherheitslücke aufmerksam und setzen damit eine interne Richtlinie zur Offenlegung von Sicherheitslücken in Gang. In anderen Fällen können unabhängige Sicherheitsforscher direkt mit einer CVE Numbering Authority (CNA) zusammenarbeiten, um die Schwachstelle ohne vorherige Rücksprache mit dem Produktanbieter zu veröffentlichen.
  2. Schwachstellen-Aggregatoren wie NIST NVD und nationale CERTs erstellen eindeutige Tracking-IDs (z. B. eine CVE-ID) und fügen die gemeldete Schwachstelle einer zentralen Datenbank hinzu, in der Produktanwender und Schwachstellenmanagement-Plattformen wie Greenbone die Fortschritte verfolgen können.
  3. Verschiedene Interessengruppen wie der Produkthersteller, NIST NVD und unabhängige Forscher veröffentlichen Hinweise, die Informationen zu Abhilfemaßnahmen, voraussichtliche Termine für offizielle Patches, eine Liste der betroffenen Produkte, CVSS-Auswirkungsbewertungen und Schweregrade, Common Platform Enumeration (CPE) oder Common Weakness Enumeration (CWE) enthalten können, aber nicht müssen.
  4. Andere Anbieter von Informationen über Cyber-Bedrohungen, wie z. B. Known Exploited Vulnerabilities (KEV) von CISA und Exploit Prediction Scoring System (EPSS) von First.org, liefern zusätzlichen Risikokontext.

Der Prozess des Schwachstellenmanagements

Die Produktanwender sind für die Aufnahme von Schwachstelleninformationen und deren Anwendung verantwortlich, um das Risiko einer Ausnutzung zu mindern. Hier ein Überblick über den traditionellen Prozess des Schwachstellenmanagements in Unternehmen:

  1. Produktanwender müssen CVE-Datenbanken manuell durchsuchen und die Sicherheitshinweise überwachen, die ihre Software- und Hardware-Assets betreffen, oder eine Schwachstellenmanagement-Plattform wie Greenbone nutzen, die automatisch die verfügbaren Ad-hoc-Bedrohungshinweise zusammenfasst.
  2. Die Produktnutzer müssen die verfügbaren Informationen mit ihrem IT-Bestand abgleichen. Dies beinhaltet in der Regel die Pflege eines Bestandsverzeichnisses und die Durchführung eines manuellen Abgleichs oder die Verwendung eines Produkts zum Scannen von Schwachstellen, um den Prozess der Erstellung eines Bestandsverzeichnisses und der Durchführung von Schwachstellentests zu automatisieren.
  3. Die IT-Sicherheitsteams ordnen die entdeckten Schwachstellen nach dem kontextbezogenen Risiko für kritische IT-Systeme, Geschäftsabläufe und in einigen Fällen für die öffentliche Sicherheit.
  4. Die Ausbesserungen werden entsprechend der endgültigen Risikobewertung und den verfügbaren Ressourcen zugewiesen.

Was ist falsch am traditionellen Schwachstellenmanagement?

Herkömmliche oder manuelle Verfahren zur Verwaltung von Schwachstellen sind in der Praxis komplex und nicht effizient. Abgesehen von den operativen Schwierigkeiten bei der Implementierung von Software-Patches behindert der Mangel an zugänglichen und zuverlässigen Informationen die Bemühungen um eine wirksame Sichtung und Behebung von Schwachstellen. Die alleinige Verwendung von CVSS zur Risikobewertung wurde ebenfalls kritisiert [1][2], da es an ausreichendem Kontext für eine solide risikobasierte Entscheidungsfindung mangelt. Obwohl Plattformen zur Verwaltung von Schwachstellen wie z. B. Greenbone die Belastung der IT-Sicherheitsteams erheblich verringern, ist der Gesamtprozess immer noch häufig von geplagt von einer zeitaufwändigen manuellen Zusammenstellung von Ad-hoc-Hinweisen auf Schwachstellen, die unvollständige Informationen zur Folge haben kann.

Vor allem angesichts der ständig wachsenden Zahl von Schwachstellen besteht die Gefahr, dass die Zusammenstellung von Ad-hoc-Sicherheitsinformationen zu langsam ist und zu mehr menschlichen Fehlern führt, wodurch die Zeit für die Aufdeckung von Schwachstellen verlängert und die risikobasierte Priorisierung von Schwachstellen erschwert wird.

Fehlende Standardisierung führt zu Ad-hoc-Intelligenz

Dem derzeitigen Verfahren zur Offenlegung von Schwachstellen fehlt eine formale Methode zur Unterscheidung zwischen zuverlässigen Informationen von Anbietern und Informationen, die von beliebigen unabhängigen Sicherheitsforschern wie den Partner-CNAs bereitgestellt werden. Tatsächlich wirbt die offizielle CVE-Website selbst für die niedrigen Anforderungen, die für eine CNA-Mitgliedschaft gelten. Dies führt dazu, dass eine große Anzahl von CVEs ohne detaillierten Kontext herausgegeben wird, was eine umfangreiche manuelle Anreicherung im nachgelagerten Bereich erzwingt.

Welche Informationen aufgenommen werden, liegt im Ermessen des CNA, und es gibt keine Möglichkeit, die Zuverlässigkeit der Informationen zu klassifizieren. Ein einfaches Beispiel für dieses Problem ist, dass die betroffenen Produkte in einem Ad-hoc-Hinweis oft mit einer Vielzahl von Deskriptoren angegeben werden, die manuell interpretiert werden müssen. Zum Beispiel:

  • Version 8.0.0 – 8.0.1
  • Version 8.1.5 und höher
  • Version <= 8.1.5
  • Versionen vor 8.1.5
  • Alle Versionen < V8.1.5
  • 0, V8.1, V8.1.1, V8.1.2, V8.1.3, V8.1.4, V8.1.5

Skalierbarkeit

Da Anbieter, Prüfer (CNAs) und Aggregatoren verschiedene Verteilungsmethoden und Formate für ihre Hinweise verwenden, wird die Herausforderung der effizienten Verfolgung und Verwaltung von Schwachstellen operativ komplex und schwer zu skalieren. Darüber hinaus verschlimmert die zunehmende Offenlegung von Schwachstellen die manuellen Prozesse, überfordert die Sicherheitsteams und erhöht das Risiko von Fehlern oder Verzögerungen bei den Abhilfemaßnahmen.

Schwierige Bewertung des Risikokontextes

NIST SP 800-40r4 „Guide to Enterprise Patch Management Planning“ Abschnitt 3 empfiehlt die Anwendung von Schwachstellen-Metriken auf Unternehmensebene. Da das Risiko letztlich vom Kontext jeder Schwachstelle abhängt – Faktoren wie betroffene Systeme, potenzielle Auswirkungen und Ausnutzbarkeit -, stellt die derzeitige Umgebung mit Ad-hoc-Sicherheitsinformationen ein erhebliches Hindernis für ein solides risikobasiertes Schwachstellenmanagement dar.

Wie löst CSAF 2.0 diese Probleme?

Bei den CSAF-Dokumenten handelt es sich um wichtige Hinweise zu Cyber-Bedrohungen, mit denen die Lieferkette für Schwachstelleninformationen optimiert werden kann. Anstatt Ad-hoc-Schwachstellendaten manuell zu sammeln, können Produktanwender maschinenlesbare CSAF-Hinweise aus vertrauenswürdigen Quellen automatisch in einem Advisory Management System zusammenführen, das die Kernfunktionen des Schwachstellenmanagements wie Asset-Matching und Risikobewertung kombiniert. Auf diese Weise zielt die Automatisierung von Sicherheitsinhalten mit CSAF darauf ab, die Herausforderungen des traditionellen Schwachstellenmanagements durch die Bereitstellung zuverlässigerer und effizienterer Sicherheitsinformationen zu bewältigen und das Potenzial für das Schwachstellenmanagement der nächsten Generation zu schaffen.

CSAF 2.0 löst die Probleme des traditionellen Schwachstellenmanagements auf folgende Weise:

Zuverlässigere Sicherheitsinformationen

CSAF 2.0 behebt das Problem der Ad-hoc-Sicherheitsinformationen, indem es mehrere Aspekte der Offenlegung von Sicherheitslücken standardisiert. So erlauben die Felder zur Angabe der betroffenen Version standardisierte Daten wie Version Range Specifier (vers), Common Platform Enumeration (CPE), Paket-URL-Spezifikation, CycloneDX SBOM sowie den allgemeinen Produktnamen, die Seriennummer, die Modellnummer, die SKU oder den File-Hash zur Identifizierung betroffener Produktversionen.

Neben der Standardisierung von Produktversionen unterstützt CSAF 2.0 auch den Austausch von Schwachstellen (Vulnerability Exploitability eXchange, VEX), mit dem Produkthersteller, vertrauenswürdige CSAF-Anbieter oder unabhängige Sicherheitsforscher explizit den Status der Produktbehebung angeben können. VEX liefert Produktanwendern Empfehlungen für Abhilfemaßnahmen.

Die expliziten VEX-Status-Deklarationen sind:

  • Nicht betroffen: Es sind keine Abhilfemaßnahmen bezüglich einer Schwachstelle erforderlich.
  • Betroffen: Es werden Maßnahmen empfohlen, um eine Schwachstelle zu beheben oder zu beseitigen.
  • Behoben: Bedeutet, dass diese Produktversionen einen Fix für eine Sicherheitslücke enthalten.
  • Wird untersucht: Es ist noch nicht bekannt, ob diese Produktversionen von einer Sicherheitslücke betroffen sind. Ein Update wird in einer späteren Version zur Verfügung gestellt.

Effektivere Nutzung von Ressourcen

CSAF ermöglicht mehrere vor- und nachgelagerte Optimierungen des traditionellen Schwachstellenmanagement-Prozesses. Die OASIS CSAF 2.0-Dokumentation enthält Beschreibungen mehrerer Konformitätsziele, die es Cybersecurity-Administratoren ermöglichen, ihre Sicherheitsabläufe zu automatisieren und so ihre Ressourcen effizienter zu nutzen.

Hier sind einige Zielvorgaben für die Einhaltung der Vorschriften, auf die im CSAF 2.0 die eine effektivere Nutzung von Ressourcen über den traditionellen Prozess des Schwachstellenmanagements hinaus unterstützen:

  • Advisory Management System: Ein Softwaresystem, das Daten verarbeitet und CSAF-2.0-konforme Beratungsdokumente erstellt. Es ermöglicht den CSAF-Produktionsteams, die Qualität der zu einem bestimmten Zeitpunkt eingehenden Daten zu bewerten, sie zu überprüfen, zu konvertieren und als gültige CSAF-2.0-Sicherheitshinweise zu veröffentlichen. Auf diese Weise können CSAF-Produzenten die Effizienz ihrer Informationspipeline optimieren und gleichzeitig sicherstellen, dass korrekte Hinweise veröffentlicht werden.
  • CSAF Management System: Ein Programm, das CSAF-Dokumente verwalten kann und in der Lage ist, deren Details gemäß den Anforderungen des CSAF-Viewers anzuzeigen. Auf der grundlegendsten Ebene ermöglicht dies sowohl den vorgelagerten Produzenten als auch den nachgelagerten Konsumenten von Sicherheitshinweisen, deren Inhalt in einem für Menschen lesbaren Format zu betrachten.
  • CSAF Asset Matching System / SBOM Matching System: Ein Programm, das mit einer Datenbank von IT-Assets, einschließlich Software Bill of Materials (SBOM), integriert wird und Assets mit allen CSAF-Hinweisen abgleichen kann. Ein Asset-Matching-System dient dazu, einem Unternehmen, das CSAF nutzt, Einblick in seine IT-Infrastruktur zu verschaffen, festzustellen, wo anfällige Produkte vorhanden sind, und optimale Informationen zur automatischen Risikobewertung und -behebung zu liefern.
  • Technisches System: Eine Softwareanalyse-Umgebung, in der Analysewerkzeuge ausgeführt werden. Ein Engineering-System kann ein Build-System, ein Versionskontrollsystem, ein Ergebnisverwaltungssystem, ein Fehlerverfolgungssystem, ein Testausführungssystem usw. umfassen.

Dezentralisierte Cybersicherheitsinformationen

Der kürzlich verkündete Ausfall des CVE-Anreicherungsprozesses der NIST National Vulnerability Database (NVD) zeigt, wie riskant es sein kann, sich auf eine einzige Quelle für Schwachstelleninformationen zu verlassen. CSAF ist dezentralisiert und ermöglicht es nachgelagerten Nutzern von Schwachstellen, Informationen aus einer Vielzahl von Quellen zu beziehen und zu integrieren. Dieses dezentralisierte Modell des Informationsaustauschs ist widerstandsfähiger gegen den Ausfall eines Informationsanbieters, während die Last der Anreicherung von Schwachstellen effektiver auf eine größere Anzahl von Beteiligten verteilt wird.

Anbieter von IT-Produkten für Unternehmen wie RedHat und Cisco haben bereits ihre eigenen CSAF- und VEX-Feeds erstellt, während staatliche Cybersicherheitsbehörden und nationale CERT-Programme wie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) ebenfalls CSAF-2.0-Austauschfunktionen entwickelt haben. 

Das dezentralisierte Modell ermöglicht es auch, dass sich mehrere Interessengruppen zu einer bestimmten Schwachstelle äußern, so dass die nachgeschalteten Verbraucher mehr Informationen über eine Schwachstelle erhalten. Mit anderen Worten: Eine Informationslücke in einem Gutachten kann von einem alternativen Hersteller geschlossen werden, der die genaueste Bewertung oder spezialisierte Analyse liefert.

Verbesserte Risikobewertung und Priorisierung von Schwachstellen

Insgesamt tragen die Vorteile des CSAF 2.0 zu einer genaueren und effizienteren Risikobewertung, Priorisierung und Abhilfemaßnahmen bei. Produktanbieter können direkt verlässliche VEX-Hinweise veröffentlichen, die Entscheidungsträgern im Bereich Cybersicherheit zeitnahe und vertrauenswürdige Informationen zu Abhilfemaßnahmen liefern. Außerdem dient das aggregierte Schweregradobjekt (aggregate_severity) in CSAF 2.0 als Vehikel, um verlässliche Dringlichkeits- und Kritikalitätsinformationen für eine Gruppe von Schwachstellen zu übermitteln, was eine einheitlichere Risikoanalyse und eine datengesteuerte Priorisierung von Abhilfemaßnahmen ermöglicht und die Expositionszeit kritischer Schwachstellen verkürzt.

Zusammenfassung

Herkömmliche Verfahren zum Management von Schwachstellen leiden unter mangelnder Standardisierung, was zu Problemen bei der Zuverlässigkeit und Skalierbarkeit führt und die Bewertung des Risikokontexts sowie die Fehlerwahrscheinlichkeit erschwert.

Das Common Security Advisory Framework (CSAF) 2.0 zielt darauf ab, den bestehenden Prozess des Schwachstellenmanagements zu revolutionieren, indem es eine zuverlässigere, automatisierte Sammlung von Schwachstelleninformationen ermöglicht. Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats für den Austausch von Schwachstelleninformationen im Bereich der Cybersicherheit und die Dezentralisierung ihrer Quelle versetzt CSAF 2.0 Organisationen in die Lage, zuverlässigere Sicherheitsinformationen zu nutzen, um ein genaueres, effizienteres und konsistenteres Schwachstellenmanagement zu erreichen.

Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

„Ihr Unternehmen kann innerhalb von nur 62 Minuten ruiniert werden“: Damit wirbt der Sicherheitsanbieter Crowdstrike. Nun hat der US-amerikanische Hersteller durch ein fehlerhaftes Produktupdate selbst einen geschätzten Schaden in Höhe eines mehrstelligen Milliardenbetrags verursacht – mit rasender Geschwindigkeit.

Am 19. Juli um 04:09 Uhr (UTC) verteilte der Security-Spezialist CrowdStrike ein Treiber-Update für seine Falcon-Software für Windows-PCs und -Server. Nur 159 Minuten später, um 06:48 UTC, meldete Google Compute Engine das Problem, das „nur“ bestimmte Windows-Computer und -Server mit der CrowdStrike Falcon-Software betraf.

Fast fünf Prozent des weltweiten Flugverkehrs wurde dadurch kurzerhand lahmgelegt, 5.000 Flüge mussten gecancelt werden. Supermärkte von Deutschland bis Neuseeland mussten schließen, weil die Kassensysteme versagten. Ein Drittel aller japanischen MacDonalds-Filialen schloss kurzfristig die Türen. Unter den betroffenen US-Behörden befinden sich das Department of Homeland Security, die NASA, die Federal Trade Commission, die National Nuclear Security Administration und das Department of Justice. In Großbritannien waren sogar die meisten Arztpraxen betroffen.

Das Problem

Der Vorfall weist auf ein brennendes Problem: Die Zentralisierung von Services und die zunehmende Vernetzung der dahinterstehenden IT-Systeme macht uns verwundbar. Wenn ein Dienstleister in der digitalen Lieferkette betroffen ist, kann die gesamte Kette brechen, was dann zu groß angelegten Ausfällen führt. Betroffen war in der Folge auch die Microsoft Azure-Cloud, in der tausende virtuelle Server erfolglos versuchten neu zu starten. Prominente Betroffene reagieren daraufhin recht eindeutig. So will Elon Musk die CloudStrike-Produkte von all seinen Systemen verbannen.
Erschreckender ist jedoch die Tatsache, dass eine Sicherheitssoftware in Bereichen eingesetzt wird, für sie nicht vorgesehen ist. Zwar wirbt der Hersteller recht drastisch mit der Bedrohung durch Dritte, übernimmt aber für die Probleme, die die eigenen Produkte verursachen können, und deren Folgeschäden keine Verantwortung. CrowdStrike rät in den AGB ausdrücklich davon ab, die Lösungen in kritischen Bereichen einzusetzen. Dort steht wörtlich – und in Großbuchstaben: „DIE CROWDSTRIKE-ANGEBOTE UND CROWDSTRIKE-TOOLS SIND NICHT FEHLERTOLERANT UND NICHT FÜR DEN EINSATZ IN GEFÄHRLICHEN UMGEBUNGEN AUSGELEGT ODER VORGESEHEN.“

Die Haftungsfrage

Nicht für kritische Infrastrukturen geeignet, aber gerne dort eingesetzt: Wie kann das passieren? Fahrlässige Fehler mit großen Schäden, aber keine Haftung des Herstellers: Wie kann das sein? 
Oft wird im Kontext von Open Source unzutreffend argumentiert, dass hier die Haftungsfrage im Falle von Fehlfunktionen und Risiken ungeklärt sei, obwohl die meisten Hersteller, die Open Source mit ihren Produkten in Verkehr bringen, sehr wohl Gewährleistung dafür übernehmen. 

Wir können einiges tun, um es besser zu machen, wenn wir die Probleme angehen, die durch mangelnde Qualität und die Abhängigkeit von einzelnen großen Herstellern entstehen. Natürlich wird eine Open Source Supply Chain kritisch betrachtet, und das ist auch gut so. Aber gegenüber einer proprietären Supply Chain hat sie klare Vorteile. Der Vorfall ist ein schlagendes Beispiel dafür. Dass ein Open Source Unternehmen planmäßig ein Update ausrollt, in dem basale Komponenten einfach nicht funktionieren, lässt sich durch entsprechende Toolchains leicht verhindern, und das geschieht auch so. 

Die Konsequenzen

Was also können wir aus dem Desaster lernen und welche Schritte sind als nächste zu tun? Hier sind einige Vorschläge:

  1. Qualität verbessern: Der beste Hebel, um Druck auf die Hersteller zu machen, ist, über eine verschärfte Haftung die Motivation für Qualität zu erhöhen. Hier bietet der Cyber Resilience Act (CRA) erste Ansätze.
  2. Safety first: Im vorliegenden Fall bezieht sich diese Regel vor allem auf den technischen Ansatz bei der Produktentwicklung. Tief in die Kundensysteme einzugreifen, ist sicherheitstechnisch umstritten. Viele Kunden lehnen das ab, die Betroffenen offensichtlich (noch) nicht. Sie haben jetzt den Schaden. Dabei gibt es Alternativen, die zudem auf Open Source basieren.
  3. Software nur bestimmungsgemäß einsetzen: Wenn ein Hersteller vom Einsatz im kritischen Umfeld abrät, dann ist das keine Floskel in den AGB, sondern ein Ausschlussgrund.
  4. Zentralisierung mit Augenmaß: Es gibt Vor- und Nachteile einer Zentralisierung der digitalen Supply Chain, die gegeneinander abgewogen werden müssen. Wenn Abhängigkeit auf mangelnde Vertrauenswürdigkeit trifft, entstehen Risiken und Schäden. Anwendende Behörden und Unternehmen stehen dann hilflos in der Warteschlange, ohne Alternativen, und ohne eigene Souveränität.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht