In Krankenhäusern, Arztpraxen, Labors und beim Konsumenten finden sich für Angreifer attraktive Gesundheitsdaten. Der aktuelle Sicherheitsbericht des Bundesamts für Sicherheit in der Informationstechnologie (BSI) zeigt, dass es Angreifer immer attraktiver finden, diese abzuschöpfen.

Seit mehreren Jahren verpflichten die „Richtlinie zur Netzwerk- und Informationssicherheit“ (NIS) und die KRITIS-Gesetzgebungen Institutionen in elf Sektoren dazu, stärkere und präzisere Sicherheitsmaßnahmen anzuwenden – inklusive Meldepflichten, Risikoanalysen und Resilienz-Pläne. Das zeigt im Gesundheitssektor bereits Wirkung: Laut einer aktuellen BSI-Studie landet Healthcare im Jahr 2024 auf Platz zwei bei der Anzahl gemeldeter Datenlecks. Spätestens jetzt ist auch hier Zeit zum Handeln.

Jeder fünfte Vorfall kommt aus dem Healthcare-Sektor

Von den 726 im letzten Jahr beim BSI gemeldeten Vorfällen stammen gut ein Viertel aus dem Transport- und Verkehrssektor, über 19,5 % aber bereits aus der Gesundheitsbranche. Knapp dahinter: Energie (18,8 %) und Finanz- und Versicherungswesen mit 16,5 %. Die Bedrohungslage ist hoch, erst recht in Krankenhäusern und Einrichtungen des Healthcare-Sektors – auch wenn die Meldezahlen mit Vorsicht zu genießen sind. Ob beispielsweise Banken eine ebenso hohe Motivation bei der Meldung von Einbrüchen haben wie Krankenhäuser, erscheint da fraglich.

Dass Gesundheitsdaten im BSI-Report nur auf Platz acht der geleakten Daten landen, darf von der Gefährdung dagegen nicht ablenken. Zum einen sind dort die geleakten Daten der Statistik anhand der Häufigkeit sortiert, und fast alle häufiger geleakten Informationen kommen auch in anderen Kontexten vor (ausgenommen vielleicht die Sozialversicherungsnummer). Doch Bezahldaten, Namen und Adressen sind Daten, die für Angreifer prinzipiell viel attraktiver sein dürften, als die „nackten“ Gesundheitsdaten es sind.

Vorschriften des KRITIS-Dachgesetz

Derweil hat das Kabinett kurz vor Ende der Ampelkoalition noch das KRITIS-Dachgesetz auf den Weg gebracht. Anfang November einigte man sich auf die Details des Gesetzes, das als analoges Komplementär zu NIS2 eine Art schützendes Dach über verschiedene Sektoren spannen soll. Wann der Bundestag das Gesetz noch verabschiedet, ist derweil nicht klar.

Auch der Gesundheitssektor muss ein betriebliches Resilienzmanagement einführen, und dazu gehören die Einrichtung eines betrieblichen Risiko- und Krisenmanagements, die Durchführung von Risikoanalysen und -bewertungen, die Erstellung von Resilienzplänen und die Umsetzung geeigneter Maßnahmen (technisch, personell und organisatorisch) – alles gemessen und organsiert mit Hilfe von „Business Continuity Management“-Systemen (BCMS) und „Information Security Management“-Systemen (ISMS).

Gemessen werden BCMS und ISMS anhand von Reifegraden (von 1 bis 5; je höher, desto besser). Im angesprochenen BSI-Report zeigt sich deren Implementierung noch durchwachsen. Institutionen des Gesundheitswesens liegen im Mittelfeld. Die meisten haben ISMS und BCMS implementiert, aber nur wenige prüfen sie regelmäßig auf Effektivität oder verbessern sie.

Bei den vorgeschriebenen Systemen zur Angriffserkennung haben die meisten Akteure bereits mit der Umsetzung begonnen und die Muss-Bedingungen umgesetzt, nur ein kleiner Teil jedoch hat auch die Soll-Anforderungen etabliert. Einen kontinuierlichen Verbesserungsprozess haben hier nur die wenigsten.

Besondere Bedrohungen im Gesundheitssektor

Auch für Krankenhäuser, Arztpraxen und andere Institutionen gelten die gleichen Regeln und Erfahrungen: Das IT-Sicherheitsmagazin CSO online berichtet von 81 % mehr Ransomware-Angriffen in den letzten Jahren, wobei über 91 Prozent der „Malware-bezogenen Sicherheitsverletzungen“ 2024 mit Ransomware zu tun hatten. Dagegen, so CSO, schützen nur „Multi-Faktor-Authentifizierung und Erkennungs- und Reaktionstechnologien“, wie sie Greenbone mit seinem Schwachstellenmanagement anbietet. Davor sind auch Clouds nicht gefeit: 53 % der Administratoren im Gesundheitswesen geben gegenüber CSO an, „im letzten Jahr einen Cloud-bezogenen Datenverstoß erlebt“ zu haben. Zudem richten Angreifer ihren Fokus zunehmend auf Webseiten, Bot-Netze, Phishing-Aktivitäten und die wachsende Anzahl anfälliger IoT-Geräte, sowohl im Consumer-Bereich als auch an der Netzwerk-Peripherie (Edge).

“The Future of the enterprise is private”: Das hat kein Geringerer als Broadcom-CEO Hock Tan in einem Blogpost verkündet. Gerade Broadcom hat bisher durch eine sehr offensive Preispolitik versucht, die vielen VMware-Kunden in die Cloud zu drängen. Jetzt will man damit offenbar aufhören. Das Virtualisieren on Premise – und damit teilweise auch die Rückkehr in die Private Cloud sind wieder “in”. Den Wandel bei Broadcom hat das Kundenfeedback ausgelöst, und das macht es besonders interessant.

Technologieanwender wollen die drei „C“ beherrschen:  Complexity, Costs, Control. Jedes Lösungsszenario muss sich dem stellen – insbesondere gilt dies auch für Cloud-Angebote. Ist die Abhängigkeit von einem proprietären Produktangebot sowieso schon deutlich größer als bei einem Open-Source-Produkt, so gilt das für ein Cloud-Angebot umso stärker.

Complexity

Vor allem wenn die entsprechenden Angebote nicht offenen Standards folgen, was in der Regel der Fall ist, ist die Portierbarkeit von Lösungen schwierig. Hyperscaler verstehen sich demzufolge zunehmend stärker als „Platform as a Service“-Anbieter, denn als Anbieter für „Infrastructure as a Service“. Wer den Verlockungen der technisch hochwertigen Komponenten erliegt, ist dem Preismodell des Anbieters ausgeliefert. Das spüren immer mehr Unternehmen und setzen daher auf eine größere Souveränität.

Costs

Cloud-Infrastrukturen werden zunehmend komplexer, und wer schon gesehen hat, wie die Kosten für seine Containerisierung und „Clusterisierung“ nach oben davonrennen, wünscht sich zunehmend auch eine einfachere Virtualisierung. In kritischen Anwendungsfällen wie bei Sicherheitslösungen ist nach wie vor auch Hardware gefragt.

Control

Das stärkste Argument ist jedoch vermutlich “Control”. Es vereint die Kosten und die Komplexität und fügt noch einen wichtigen Aspekt hinzu. Abhängigkeit und Kontrolle schließen sich aus. Jede Organisation, die Technologien nutzt, muss zumindest so viel Kontrolle behalten, wie sie Verantwortung über Sicherheit und Verfügbarkeit übernimmt. Wenn sie zudem Handlungsspielräume nutzen will, braucht sie Unabhängigkeit.

Die Herausforderung für die IT-Verantwortlichen ist zunehmend, die Balance zwischen der Nutzung selbst gefertigter Lösungen und vorgefertigter Dienste zu finden. Während es in den vergangenen Jahren einen klaren Trend zu letzteren gab, sehen wir heute erste Indikatoren, dass sich dieser Trend abschwächt. Vor allem scheint es keine Lösung zu sein, alles in Clouds zu bewegen.

Perspektiven

Wie es auch ohne Clouds gehen kann, zeigt überraschenderweise der stark wachsende Sektor der Künstlichen Intelligenz (KI). Immer öfter stellen sich Unternehmen und Organisationen die Frage, ob sie hier wirklich das große Sprachmodell brauchen und ob dessen Einsatz den damit verbundenen Datenabfluss rechtfertigt. Im Office einer Werbeagentur ist das vielleicht nicht kritisch, aber in sicherheitsrelevanten Branchen wird Datensouveränität mehr und mehr zum Thema.

Daher wächst beispielsweise im militärischen Bereich die Nachfrage nach mobilen KI-Lösungen, die mit deutlichen geringeren Ressourcen auskommen. Nicht überall ist KI auf Edge-Geräten die Lösung, aber oft kann es so sein. Auch private Clouds sind eine gute Alternative zu ChatGPT & Co. So wird On Premise sogar im Hype-Thema KI ein immer prominenteres Thema, da dort Datenhoheit und Transparenz eine besondere Rolle spielen. Die Entwicklung immer effizienterer Modelle trägt zusätzlich zum Abzug aus der Cloud bei. Neben den Aspekten Cost, Control und Complexity haben diese Modelle noch einen weiteren großen Vorteil: sie brauchen deutlich weniger Energie. Vielleicht wird so eine „Green KI“ zum nächsten Hype.

Die Singapore International Cyber Week (SICW) zählt zu den bedeutendsten Veranstaltungen zur Cybersicherheit weltweit. Wir konnten dort unsere Lösungen einem internationalen Publikum vorstellen – und stießen dabei auf großes Interesse, führten inspirierende Gespräche und erhielten wertvolles Feedback. Drei erfolgreiche Tage in Singapur und ein wichtiger Schritt, um unsere internationale Präsenz zu stärken!

Seit ihrer Einführung bringt die SICW jährlich führende Unternehmen, Start-ups, Regierungsorganisationen und Sicherheitsbehörden aus der ganzen Welt zusammen. Ziel ist es, Wissen zu teilen, Partnerschaften zu fördern und innovative Lösungen zu präsentieren, die den wachsenden Herausforderungen im Bereich Cybersicherheit gerecht werden.  Die von der Cyber Security Agency of Singapore (CSA) organisierte Veranstaltung wurde 2016 ins Leben gerufen und findet seitdem jährlich in Singapur statt.

In diesem Jahr hatte Greenbone die Ehre, als Technologiepartner von Huawei auf der SICW vertreten zu sein. An drei spannenden Tagen präsentierten wir unsere Enterprise Appliances einem internationalen Publikum und waren begeistert von der Resonanz.

Großes Interesse an Greenbone-Lösungen 

Wir waren überwältigt vom positiven Feedback der Besucher zu unseren Lösungen – für uns ein starkes Zeichen, dass unsere Cybersicherheitslösungen auch für den asiatischen Markt sehr wichtig sind. Immer wieder haben wir in zahlreichen Gesprächen gemerkt, wie groß das Interesse an einem Schwachstellenscanner mit exzellentem Feed ist, der sich auf das Wesentliche konzentriert und gleichzeitig über seine API die Anbindung an andere Systeme erlaubt.

Prominente Besucher und inspirierende Gespräche 

Besonders gefreut hat uns, dass wir sogar prominente Persönlichkeiten am Stand begrüßen durften. Ein echtes Highlight war der Besuch von John Tan, Commissioner of Cybersecurity und Chief Executive der Cyber Security Agency of Singapore. Sein Interesse und die zahlreichen Gespräche mit potenziellen Kunden und Partnern haben uns darin bestärkt, in Asien weiter Fuß zu fassen.

Nicht ganz unerwarteter Star unseres Auftritts war „das Beast“, unser Firmenlogo als Plüschtier. Es zauberte vielen Standbesuchern ein Lächeln ins Gesicht und diente oft als sympathischer Icebreaker, der den Einstieg in angeregte und wertvolle Gespräche erleichterte.

Fazit: Momentum für die Zukunft 

Die SICW war für Greenbone ein großer Erfolg. Wir konnten nicht nur unsere Lösungen einem breiten Publikum vorstellen, sondern auch wertvolle Verbindungen knüpfen und das Interesse am asiatischen Markt spürbar verstärken. Der große Zuspruch und die hohe Nachfrage nach unserem „Beast“ zeigt, dass unsere Marke auch emotional sehr gut ankommt – und wir freuen uns darauf, dieses Momentum weiter zu nutzen. 

Wir freuen uns, die baldige Veröffentlichung der Greenbone Enterprise Appliance (GEA) Version 24.10 bekanntzugeben! Diese Version wird neue Funktionen im Front-End und leistungssteigernde Verbesserungen im Back-End bringen, die Ihr Schwachstellenmanagement noch effektiver und schneller machen. Die GEA-Produktreihe umfasst vielseitige Schwachstellenmanagement-Lösungen, die von dedizierten Hardware-Appliances bis zu Konfigurationen für virtuelle Maschinen (VMs) reichen – perfekt für Unternehmen jeder Größe.

Mit der GEA Version 24.10 untermauert Greenbone einmal mehr sein Engagement für Cybersicherheit, indem wir Ihnen helfen, Sicherheitslücken rechtzeitig zu schließen und Bedrohungen einen Schritt voraus zu sein. Dank verbesserter Leistung, erweiterten Scanfunktionen und optimierter Benutzerfreundlichkeit bietet GEA 24.10 eine starke Grundlage für umfassende, proaktive Cybersicherheit. In diesem Beitrag stellen wir Ihnen die neuen Funktionen und Verbesserungen vor, die GEA 24.10 zu einem unverzichtbaren Upgrade für das Management digitaler Risiken und die Einhaltung von Cybersicherheitsstandards machen.

Was ist neu in GEA Version 24.10?

Auf den ersten Blick hat die Weboberfläche des Greenbone Security Assistant (GSA) ein völlig neues Aussehen. GSA ist das Tor des IT-Administrators zu mehr Transparenz und Sicherheit. GEA 24.10 bietet ein modernes, minimalistisches Erscheinungsbild, das den Nutzen betont und weitere Optionen immer in Reichweite hält. Aber das neue Aussehen ist nur ein kleiner Vorgeschmack. Sehen wir uns einige Änderungen genauer an, die sich am Horizont abzeichnen.

Die neue Ansicht des Compliance-Prüfberichts

Compliance wird in der Cybersicherheit immer wichtiger. Neue Vorschriften in der gesamten EU wie der Digital Operational Resilience Act (DORA), die Network and Information Security Directive 2 (NIS2) und der Cyber Resilience Act (CRA) verlangen von Organisationen, mehr Maßnahmen zu ergreifen. Andere Faktoren wie Cybersecurity-Versicherungen und die Notwendigkeit von mehr Aufsicht durch Dritte wirken sich darauf aus, wie Unternehmen ihre Cybersicherheitsmaßnahmen überwachen.

GEA 24.10 bietet eine brandneue, auf Compliance ausgerichtete Ansicht für einen besseren Überblick über Cybersicherheitsrisiken, die Einhaltung von Vorschriften und Richtlinien und unterstützt die Ausrichtung auf Ziele der IT-Governance. Die Ansicht enthält Compliance-Prüfungsberichte, neue Dashboard-Anzeigen und Filteroptionen. Dadurch können Compliance-bezogene Daten von regulären Scan-Berichten unterschieden werden. Reports zu Delta-Audits heben außerdem den Compliance-Fortschritt mit visuellen Indikatoren und Tooltips zur einfachen Identifizierung hervor.

EPSS-Support für KI-basierte Priorisierung

Da die Zahl der CVEs (Common Vulnerabilities and Exposures) weiter zunimmt, ist es von entscheidender Bedeutung, Schwachstellen zu priorisieren, um die Bedrohungen mit den größten Auswirkungen zu erfassen. Das Exploit Prediction Scoring System (EPSS) ist eine KI-gesteuerte Metrik, die die Wahrscheinlichkeit schätzt, dass eine Schwachstelle in freier Wildbahn ausgenutzt wird. Sie verwendet historische Daten, um vorherzusagen, welche neuen CVEs das höchste Risiko darstellen.

Die EPSS-Daten sind jetzt direkt in GEA 24.10 integriert und bringen für jede derzeit aktive CVE die aktuelle Wahrscheinlichkeit, ob sie ausgenutzt wird, in die Greenbone-Plattform ein. So können Administratoren zusätzlich zum traditionellen Schweregrad CVSS (Common Vulnerability Scoring System) auf aktuelle Wahrscheinlichkeitswerte und Perzentilen zugreifen und sich auf die Schwachstellen konzentrieren, die am ehesten aktiv von Angreifern ins Visier genommen werden.

Mehr Exportfunktionen für anpassungsfähige CSV- und JSON-Berichte

Greenbone hat sich schon immer auf Einfachheit und Flexibilität konzentriert, um die Lösungen leicht an die individuellen Anforderungen von Organisationen anzupassen. Mit GEA 24.10 haben wir Exportfunktionen für Berichte im JSON-Format eingeführt. User können auch die Felder anpassen, die in exportierten CSV- oder JSON-Berichten enthalten sein sollen. Berichte können jetzt so konfiguriert werden, dass sie den Anforderungen genauer entsprechen und auf das Wesentliche für Analyse, Compliance oder Entscheidungsfindung beleuchten.

Optimierungen im Backend

Um die Flexibilität und Genauigkeit des Schwachstellenabgleichs zu verbessern, führt GEA 24.10 mehrere Backend-Optimierungen ein, die sich auf die Handhabung von CPE (Common Platform Enumeration) und das Feed-Management konzentrieren. Hier ein Überblick über die Neuerungen:

  • Das GEA 24.10-Backend kann CPEv2.3-Zeichenfolgen in CPEv2.2-URIs konvertieren und beide Versionen speichern, um eine zuverlässigere Zuordnung betroffener Produkte zu ermöglichen. Zukünftige Entwicklungen könnten eine erweiterte, sofortige Zuordnung beinhalten, die die Genauigkeit von Schwachstellenbewertungen noch weiter erhöht.
  • GEA unterstützt jetzt JSON-basierte CVE-, CPE-, EPSS- und CERT-Feeds sowie gzip-Datenkompression.

Zusammenfassung

Mit dem kommenden Release GEA 24.10 hebt Greenbone seine führende Lösung für das Schwachstellenmanagement auf das nächste Level. Freuen Sie sich auf eine modernisierte, benutzerfreundliche GSA-Weboberfläche und eine auf Compliance ausgerichtete Ansicht von Audit-Berichten für noch mehr Transparenz. Erweiterte CSV- und JSON-Exportfunktionen geben Ihnen die vollständige Kontrolle über Ihre Berichtsdaten. Neu in dieser Version: KI-basiertes EPSS für eine intelligente Priorisierung von Schwachstellenrisiken. Leistungsstarke Backend-Optimierungen gewährleisten außerdem eine nahtlose Kompatibilität mit neuen CPE-Formaten und JSON-basierten Feeds. Mit diesen neuen Funktionen bietet Greenbone eine robuste, flexible Lösung, die es Organisationen ermöglicht, proaktiv gegen Bedrohungen vorzugehen und ihre Cybersicherheit zu stärken.

Webinar zum Major Release

Erfahren Sie im Webinar alles Wichtige rund um das neue Release 24.10. In nur 30 Minuten zeigen Ihnen unsere Experten, wie Sie mit den neuen Funktionen die Sicherheitsanforderungen noch besser im Blick behalten. Erleben Sie die nächste Generation der IT-Sicherheit mit Greenbone!

Termine:
Donnerstag, 28.11.2024, 11:00 – 11:30 CET
Donnerstag, 28.11.2024, 15:00 – 15:30 CET
Mittwoch, 04.12.2024, 11:00 – 11:30 CET
Mittwoch, 04.12.2024, 14:00 – 14:30 CET

Jetzt anmelden

Das Common Security Advisory Framework (CSAF) reguliert die Bereitstellung von maschinenlesbaren Sicherheitshinweisen nach einem standardisierten Prozess, damit sie automatisiert ausgetauscht werden können. Greenbone arbeitet kontinuierlich an der Integration von Technologien, die den CSAF 2.0-Standard für die automatisierte Bereitstellung von Cybersecurity-Informationen nutzen. Eine Einführung in CSAF 2.0 und wie es das Schwachstellenmanagement der nächsten Generation unterstützt, finden Sie in einem früheren Blogbeitrag.

Zu Beginn des Jahres 2024 hat der Ausfall der NIST National Vulnerabilities Database (NVD) den Fluss kritischer Cybersicherheitsinformationen an nachgeschaltete Verbraucher unterbrochen. Dies macht das dezentralisierte CSAF 2.0-Modell zunehmend wichtiger für Cybersicherheitsinformationen, um die Widerstandsfähigkeit gegenüber einem einzelnen Ausfallpunkt zu erhöhen. Wer CSAF 2.0 einführt, kommt einem zuverlässigeren Ökosystem für Cybersicherheitsinformationen einen Schritt näher.


Inhaltsverzeichnis

1. Zusammenfassung
2. Wer sind die CSAF-Stakeholder?
2.1. Rollen im CSAF 2.0-Prozess
2.1.1. CSAF 2.0 Ausstellende Parteien
2.1.1.1. Die Rolle des CSAF-Publishers
2.1.1.2. Die Rolle des CSAF-Providers
2.1.1.3. Die Rolle des Trusted Providers in CSAF
2.1.2. CSAF 2.0 Datenaggregatoren
2.1.2.1. Die Rolle des CSAF-Listers
2.1.2.2. Die Rolle des CSAF-Aggregators
3. Fazit


1. Zusammenfassung

Dieser Artikel stellt die verschiedenen Akteure und Rollen dar, die in der CSAF-2.0-Spezifikation definiert sind. Die Rollen regeln die Mechanismen zur Erstellung, Verbreitung und Nutzung von Sicherheitshinweisen innerhalb des CSAF-2.0-Ökosystems. Das Verständnis, wer die Stakeholder von CSAF sind und welche standardisierten Rollen das CSAF 2.0-Framework definiert, hilft Security-Verantwortlichen klarer zu sehen, wie CSAF funktioniert, ob es für ihre Organisation von Nutzen sein kann und wie CSAF 2.0 zu implementieren ist.

2. Wer sind die CSAF-Stakeholder?

Auf höchster Ebene hat der CSAF-Prozess zwei primäre Stakeholder-Gruppen: vorgelagerte Produzenten, die Cybersicherheitshinweise im CSAF-2.0-Dokumentenformat erstellen und bereitstellen, und nachgelagerte Konsumenten (Endnutzer), die die Hinweise konsumieren und die darin enthaltenen Sicherheitsinformationen anwenden.

Bei den vorgelagerten Herstellern handelt es sich in der Regel um Anbieter von Softwareprodukten (wie Cisco, Red Hat und Oracle), die für die Aufrechterhaltung der Sicherheit ihrer digitalen Produkte und die Bereitstellung öffentlich zugänglicher Informationen über Schwachstellen verantwortlich sind. Zu den vorgelagerten Akteuren gehören auch unabhängige Sicherheitsforscher und öffentliche Einrichtungen, die als Quelle für Cybersicherheitsinformationen dienen, wie die US Cybersecurity Intelligence and Security Agency (CISA) und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).

Zu den nachgelagerten Verbrauchern gehören private Instanzen, die ihre eigene Cybersicherheit verwalten, staatliche CERT-Agenturen, die mit dem Schutz der nationalen IT-Infrastruktur betraut sind, und Managed Security Service Provider (MSSP), die die Cybersicherheit von Kunden überwachen und managen. Die in den CSAF 2.0-Dokumenten enthaltenen Informationen werden von IT-Sicherheitsteams genutzt, um Schwachstellen in ihrer Infrastruktur zu identifizieren und Abhilfemaßnahmen zu planen, und von Führungskräften, um zu beurteilen, wie IT-Risiken den Betrieb beeinträchtigen.

Der grundlegende Fluss von CSAF 2.0-Hinweisen von vorgelagerten Produzenten zu nachgelagerten Verbrauchern

Der CSAF-2.0-Standard definiert spezifische Rollen für vorgelagerte Hersteller, die ihre Beteiligung an der Erstellung und Verbreitung von Hinweis-Dokumenten beschreiben. Diese offiziell definierten Rollen sehen wie folgt aus:

2.1. Rollen im CSAF 2.0-Prozess

CSAF 2.0-Rollen werden in Abschnitt 7.2 definiert. Sie werden in zwei verschiedene Gruppen unterteilt: Ausstellende Parteien („Issuer“) und Datenaggregatoren („Aggregatoren“). Erstere sind direkt an der Erstellung von Beratungsdokumenten beteiligt. Letztere sammeln diese Dokumente und verteilen sie an die Endnutzer, um die Automatisierung für die Verbraucher zu unterstützen. Eine einzelne Organisation kann sowohl die Rolle des Ausstellers als auch die des Aggregators übernehmen, diese Funktionen sollten jedoch als separate Einheiten betrieben werden. Selbstverständlich müssen Organisationen, die als vorgelagerte Produzenten agieren, auch ihre eigene Cybersicherheit gewährleisten. Daher können sie auch nachgelagerte Verbraucher sein, die CSAF-2.0-Dokumente aufnehmen, um ihre eigenen Aktivitäten im Bereich des Schwachstellenmanagements zu unterstützen.

Ein übergeordnetes Diagramm, das die Beziehung zwischen „Ausstellenden Parteien“ und Datenaggregatoren zeigt

Die spezifischen Verantwortlichkeiten der CSAF-2.0-Issuer und Datenaggregatoren stellen sich wie folgt dar:

2.1.1. CSAF 2.0 Ausstellende Parteien

Issuers sind die Quelle der CSAF-2.0-Cybersecurity-Hinweise. Sie sind jedoch nicht für die Übermittlung der Dokumente an die Endnutzer verantwortlich. Sie müssen angeben, wenn sie nicht wollen, dass ihre Hinweise von Datenaggregatoren aufgelistet oder gespiegelt werden. Außerdem können CSAF 2.0-Aussteller auch als Datenaggregatoren fungieren.

Hier sind die einzelnen Unterrollen innerhalb der Gruppe der ausstellenden Parteien:

2.1.1.1. Die Rolle des CSAF-Publishers

Publisher sind in der Regel Organisationen, die Hinweise nur im Namen ihrer eigenen digitalen Produkte entdecken und weitergeben. Sie müssen die Anforderungen 1 bis 4 in Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Dies bedeutet, dass sie strukturierte Dateien mit gültiger Syntax und Inhalten herausgeben, die den in Abschnitt 5.1 beschriebenen CSAF 2.0-Dateinamenskonventionen entsprechen, und sicherstellen, dass die Dateien nur über verschlüsselte TLS-Verbindungen verfügbar sind. Außerdem müssen sie alle als TLP:WHITE klassifizierten Hinweise öffentlich zugänglich machen.

Alle Publisher müssen über ein öffentlich zugängliches provider-metadata.json-Dokument verfügen, das grundlegende Informationen über die Organisation, ihren CSAF-2.0-Rollenstatus und Links zu einem öffentlichen OpenPGP-Schlüssel enthält, mit dem das provider-metadata.json-Dokument digital signiert wird, um seine Integrität zu verifizieren. Diese Informationen werden von Softwareanwendungen verwendet, die die Hinweise der Publisher für Endbenutzer anzeigen.

2.1.1.2. Die Rolle des CSAF-Providers

Provider stellen CSAF-2.0-Dokumente für die breitere Gemeinschaft zur Verfügung. Zusätzlich zur Erfüllung der gleichen Anforderungen wie ein Publisher muss ein Provider seine provider-metadata.json.-Datei nach einer standardisierten Methode bereitstellen (mindestens eine der Anforderungen 8 bis 10 aus Abschnitt 7.1), eine standardisierte Verteilung für seine Hinweise verwenden und technische Kontrollen implementieren, um den Zugang zu allen Hinweisdokumenten mit dem Status TLP:AMBER oder TLP:RED zu beschränken.

Provider müssen außerdem wählen, ob sie die Dokumente auf der Grundlage eines Verzeichnisses oder auf der Grundlage von ROLIE verteilen wollen. Einfach ausgedrückt, stellt die verzeichnisbasierte Verteilung Hinweisdokumente in einer normalen Verzeichnispfadstruktur zur Verfügung, während ROLIE (Resource-Oriented Lightweight Information Exchange) [RFC-8322] ein RESTful-API-Protokoll ist, das speziell für die Automatisierung der Sicherheit, die Veröffentlichung, das Auffinden und die gemeinsame Nutzung von Informationen entwickelt wurde.

Verwendet ein Provider die ROLIE-basierte Verteilung, muss er auch die Anforderungen 15 bis 17 aus Abschnitt 7.1 erfüllen. Verwendet ein Provider die verzeichnisbasierte Verteilung, so muss er alternativ die Anforderungen 11 bis 14 aus Abschnitt 7.1 erfüllen.

2.1.1.3. Die Rolle des Trusted Providers in CSAF

Trusted Provider sind eine besondere Klasse von CSAF-Providern, die sich ein hohes Maß an Vertrauen und Zuverlässigkeit erworben haben. Sie müssen sich an strenge Sicherheits- und Qualitätsstandards halten, um die Integrität der von ihnen ausgestellten CSAF-Dokumente zu gewährleisten.

Zusätzlich zur Erfüllung aller Anforderungen an einen CSAF-Provider müssen Trusted Provider auch die Anforderungen 18 bis 20 aus Abschnitt 7.1 der CSAF 2.0-Spezifikation erfüllen. Diese beinhalten die Bereitstellung eines sicheren kryptographischen Hashs und einer OpenPGP-Signaturdatei für jedes ausgegebene CSAF-Dokument und sie stellen sicher, dass der öffentliche Teil des OpenPGP-Signierschlüssels öffentlich zugänglich gemacht wird.

2.1.2. CSAF 2.0 Datenaggregatoren

Datenaggregatoren konzentrieren sich auf die Sammlung und Weiterverteilung von CSAF-Dokumenten. Sie fungieren als Verzeichnis für CSAF-2.0-Issuers und deren Hinweis-Dokumente sowie als Vermittler zwischen Issuers und Endanwendern. Eine einzelne Instanz kann sowohl als CSAF-Lister als auch als Aggregator fungieren. Datenaggregatoren können je nach den Bedürfnissen ihrer Kunden wählen, welche Hinweis-Dokumente von vorgelagerten Publishern sie auflisten oder sammeln und weiterverteilen.

Hier sind einzelne Unterrollen in der Gruppe der Datenaggregatoren:

2.1.2.1. Die Rolle des CSAF-Listers

Sogenannte „Lister“ sammeln CSAF-Dokumente von mehreren CSAF-Herausgebern und listen sie an einem zentralen Ort auf, um das Auffinden zu erleichtern. Der Zweck eines Listers ist es, als eine Art Verzeichnis für CSAF 2.0-Hinweise zu fungieren, indem URLs konsolidiert werden, unter denen CSAF-Dokumente abgerufen werden können. Es wird nicht davon ausgegangen, dass ein Lister einen vollständigen Satz aller CSAF-Dokumente enthält.

Lister müssen eine gültige aggregator.json-Datei veröffentlichen, die mindestens zwei separate CSAF-Anbieter auflistet. Während ein Lister auch als Issuer fungieren kann, darf er keine gespiegelten Dateien auflisten, die auf eine Domain unter seiner eigenen Kontrolle zeigen.

2.1.2.2. Die Rolle des CSAF-Aggregators

Die Rolle des CSAF-Aggregators stellt den letzten Wegpunkt zwischen den veröffentlichten CSAF-2.0-Hinweis-Dokumenten und dem Endanwender dar. Aggregatoren bieten einen Ort, an dem CSAF-Dokumente durch ein automatisiertes Tool abgerufen werden können. Obwohl Aggregatoren als konsolidierte Quelle für Cybersicherheitshinweise fungieren, vergleichbar mit NIST NVD oder CVE.org der MITRE Corporation, handelt es sich bei CSAF 2.0 um ein dezentralisiertes Modell, im Gegensatz zu einem zentralisierten Modell. Aggregatoren sind nicht verpflichtet, eine umfassende Liste von CSAF-Dokumenten von allen Herausgebern anzubieten. Außerdem können die Herausgeber ihren CSAF-Beratungsfeed kostenlos zur Verfügung stellen oder als kostenpflichtigen Dienst betreiben.

Ähnlich wie Lister müssen Aggregatoren eine aggregator.json-Datei öffentlich zugänglich machen, und CSAF-Dokumente von jedem gespiegelten Issuer müssen in einem separaten Ordner zusammen mit der provider-metadata.json des Issuers abgelegt werden. Im Wesentlichen müssen Aggregatoren die Anforderungen 1 bis 6 und 21 bis 23 aus Abschnitt 7.1 der CSAF-2.0-Spezifikation erfüllen.

CSAF-Aggregatoren sind auch dafür verantwortlich, sicherzustellen, dass jedes gespiegelte CSAF-Dokument eine gültige Signatur (Anforderung 19) und einen sicheren kryptografischen Hash (Anforderung 18) besitzt. Wenn die ausstellende Partei diese Dateien nicht zur Verfügung stellt, muss der Aggregator sie erzeugen.

3. Fazit

Das Verständnis der CSAF 2.0-Stakeholder und -Rollen ist entscheidend für die ordnungsgemäße Umsetzung von CSAF 2.0 und die Nutzung der automatisierten Erfassung und Nutzung wichtiger Cybersicherheitsinformationen. Die CSAF 2.0-Spezifikation definiert zwei Hauptinteressengruppen: vorgelagerte Produzenten, die für die Erstellung von Cybersicherheitshinweisen verantwortlich sind, und nachgelagerte Verbraucher, die diese Informationen zur Verbesserung der Sicherheit nutzen. Zu den Rollen innerhalb von CSAF 2.0 gehören Issuer (Herausgeber, Anbieter und vertrauenswürdige Anbieter), die Hinweise erstellen und verteilen, und Datenaggregatoren wie Lister und Aggregatoren, die diese Hinweise sammeln und an die Endnutzer weitergeben.

Die Mitglieder jeder Rolle müssen sich an bestimmte Sicherheitskontrollen halten, die die sichere Übertragung von CSAF 2.0-Dokumenten unterstützen. Das Traffic Light Protocol (TLP) regelt, wie Dokumente freigegeben werden dürfen und welche Zugriffskontrollen erforderlich sind.

Der Oktober war der europäische Aktionsmonat für Cybersecurity (ECSM) und der internationale Monat für  „Cybersecurity Awareness“, unter dem Motto „Secure Our World“. Die Einführung von Best Practices für die Online-Sicherheit von Privatpersonen, Unternehmen und kritische Infrastrukturen ist dieses Jahr von entscheidender Bedeutung. Wir freuen uns, zusätzlich zu unserem Angebot für Schwachstellenmanagement in Unternehmen weitere IT-Sicherheitstools über unsere Community Edition, das Community Portal und das lebhafte Community Forum zugänglich zu machen, wo wir Entwicklungen und Funktionen diskutieren und uns gegenseitig unterstützen.

Unsere Kernbotschaft an die Entscheidungsträger für Cybersicherheit: Patchen oder nicht patchen, ist nicht die Frage. Es geht darum, wie man Schwachstellen und Fehlkonfigurationen erkennt, bevor ein Angreifer sie ausnutzen kann. Proaktives Handeln ist gefragt. Sobald Schwachstellen identifiziert sind, müssen sie priorisiert und behoben werden. Warnungen vor einer aktiven Ausnutzung von Sicherheitslücken können zwar helfen, die Prioritäten richtig zu setzen, aber wenn es um wichtige Systeme geht, müssen auch Handlungen folgen. Mit Hilfe von Leistungsindikatoren können Sicherheitsteams und Entscheidungsträger den Fortschritt quantitativ verfolgen und Bereiche mit Verbesserungsbedarf aufzeigen.

Im Threat Tracking-Blogbeitrag dieses Monats geben wir einen Überblick über die diesjährige Ransomware-Landschaft, einschließlich der Ursachen von Ransomware-Angriffen, und stellen einige der wichtigsten Cyber-Bedrohungen vom Oktober 2024 vor.

Internationale Bemühungen zur Bekämpfung von Ransomware

Die internationale „Initiative zur Bekämpfung von Ransomware“ (Counter Ransomware Initiative; CRI), die sich aus 68 Ländern und Organisationen – ohne Russland und China – zusammensetzt, traf sich in Washington, D.C., um die Widerstandsfähigkeit gegen Ransomware weltweit zu bündeln. Die CRI zielt darauf ab, die weltweiten Ransomware-Zahlungen zu reduzieren, den Rahmen für die Meldung von Vorfällen zu verbessern, Partnerschaften mit der Cyber-Versicherungsbranche zu stärken, um die Auswirkungen von Ransomware-Vorfällen zu verringern, und die Widerstandsfähigkeit durch die Festlegung von Standards und bewährten Verfahren zur Verhinderung von und Wiederherstellung nach Ransomware-Angriffen zu verbessern.

Der Digital Defense Report 2024 von Microsoft hat ermittelt, dass die Zahl der Angriffe im Jahr 2024 zwar gestiegen ist, aber weniger davon die Verschlüsselungsphase erreichen. Das Ergebnis ist, dass insgesamt weniger Opfer Lösegeld zahlen. Die Untersuchungen von Coveware, Kaseya und dem Blockchain-Überwachungsunternehmen Chainanalysis bestätigen ebenfalls niedrigere Auszahlungsraten. Dennoch verzeichnen Ransomware-Banden Rekordgewinne: In der ersten Hälfte des Jahres 2024 wurden mehr als 459 Millionen US-Dollar erpresst. In diesem Jahr wurde mit einer Auszahlung in Höhe von 75 Mio. USD ein neuer Höchststand erreicht, wobei ein Trend zur „Großwildjagd“ zu beobachten ist, die eher auf große als auf kleine und mittlere Unternehmen (KMU) abzielt.

Hauptursache für Ransomware

Wie kommen erfolgreiche Ransomware-Angriffe überhaupt zustande? Hier helfen Ursachenanalysen: Laut einer weltweiten Statista-Umfrage sind ausgenutzte Software-Schwachstellen die Hauptursache für erfolgreiche Ransomware-Angriffe, die in 32 % der erfolgreichen Angriffe eine Rolle spielen. In derselben Umfrage wurde die Kompromittierung von Zugangsdaten als zweithäufigste Ursache genannt, während bösartige E-Mails (Malspam und Phishing-Angriffe) an dritter Stelle stehen. Security-Experten von Symantec stellen fest, dass die Ausnutzung bekannter Schwachstellen in öffentlich zugänglichen Anwendungen zum primären Einstiegsvektor bei Ransomware-Angriffen geworden ist. Auch KnowBe4, ein Anbieter von Sicherheitsinformationen, stuft Social Engineering und ungepatchte Software als Hauptursachen für Ransomware ein.

Diese Ergebnisse bringen uns zurück zu unserer anfänglichen Botschaft und unterstreichen die Bedeutung der branchenführenden Kernkompetenz von Greenbone: die Unterstützung von Verteidigern bei der Identifizierung von Schwachstellen, die in ihrer IT-Infrastruktur lauern, damit sie ausnutzbare Sicherheitslücken beheben und schließen können.

FortiJump: Eine aktiv ausgenutzte Sicherheitslücke in FortiManager

Ende Oktober 2024 warnte Fortinet Kunden vor einer RCE-Schwachstelle kritischen Ausmaßes in FortiManager, dem Flaggschiff-Produkt für das Management von Netzwerksicherheit. Die als „FortiJump“ bezeichnete und als CVE-2024-47575 (CVSS 9.8) geführte Schwachstelle wird als „Fehlende Authentifizierung für kritische Funktion“ [CWE-306] im fgfm-Daemon von FortiManager eingestuft. Googles Mandiant hat rückwirkend Protokolle durchsucht und bestätigt, dass diese Schwachstelle seit Juni 2024 aktiv ausgenutzt wird, und beschreibt die Situation als ein Szenario massenhafter Ausnutzung.

Eine weitere aktiv ausgenutzte Schwachstelle in Fortinet-Produkten, CVE-2024-23113 (CVSS 9.8), wurde im Oktober ebenfalls in den KEV-Katalog der CISA aufgenommen. Diesmal ist der Übeltäter ein extern gesteuerter Format-String in FortiOS, der es einem Angreifer ermöglichen könnte, über speziell gestaltete Pakete nicht autorisierte Befehle auszuführen.

Greenbone kann Geräte erkennen, die für FortiJump anfällig sind, FortiOS-Geräte, die für CVE-2024-23113 [1][2][3] anfällig sind, sowie über 600 weitere Schwachstellen in Fortinet-Produkten.

Iranische Cyber-Akteure im Dienst von Ransomware-Bedrohungen

Das FBI, die CISA, die NSA und andere US-amerikanische und internationale Sicherheitsbehörden haben eine gemeinsame Warnung vor einer vom Iran unterstützten Kampagne herausgegeben, die sich gegen kritische Infrastruktur-Netze richtet, insbesondere in den Bereichen Gesundheitswesen, Regierung, IT, Technik und Energie. Assoziierte Bedrohungsgruppen werden mit Ransomware-Angriffen in Verbindung gebracht, die sich in erster Linie über öffentlich zugängliche Dienste [T1190] wie VPNs Zugang verschaffen. Zu den weiteren Techniken, die in der Kampagne eingesetzt werden, gehören Brute-Force-Angriffe [T1110], Passwort-Spraying [T1110.003] und MFA Fatigue Attacken.

Die Kampagne steht im Zusammenhang mit der Ausnutzung der folgenden CVEs:

  • CVE-2024-24919 (CVSS 8.6), eine Offenlegung von Informationen in Check Point Security Gateway VPNs
  • CVE-2024-21887 (CVSS 9.1), ein Fehler bei der Befehlseingabe in Ivanti Connect Secure und Ivanti Policy Secure
  • CVE-2024-3400 (CVSS 10), ein Fehler bei der Befehlseingabe in Palo Alto Networks PAN-OS
  • CVE-2022-1388 (CVSS 9.8), eine Schwachstelle, die die Umgehung der Authentifizierung in F5 BIG-IP ermöglicht, und CVE-2020-5902 (CVSS 9.8), eine Sicherheitslücke zur Remote Code Execution (RCE) in der Benutzeroberfläche von F5 BIG-IP Traffic Management
  • CVE-2020-1472 (CVSS 5.5), eine Schwachstelle, die zur Ausweitung von Berechtigungen in Microsoft Netlogon Remote Protocol führen kann
  • CVE-2023-3519 (CVSS 9.8), eine Schwachstelle zur unautorisierten RCE und CVE-2019-19781 (CVSS 9.8), eine Sicherheitslücke, die die Umgehung von Verzeichnissen in Citrix Application Delivery Controller und Gateway erlaubt
  • CVE-2019-11510 (CVSS 10), ein nicht autorisiertes Lesen von Dateien und CVE-2019-11539 (CVSS 7.2), ein Fehler zur Remote-Ausführung von Befehlen, beide in Pulse Secure Pulse Connect Secure

Greenbone kann alle CVEs erkennen, die im Zusammenhang mit der Kampagne stehen, und gibt Verteidigern mit einem Überblick die Möglichkeit, das Risiko zu mindern. Darüber hinaus ist die Verhinderung von Brute-Force- und Passwort-Spraying-Angriffen ein elementarer Bestandteil der Cybersicherheit, auch wenn sie nicht als CVE erfasst wird. Zwar bieten viele Authentifizierungsdienste von Haus aus keinen Brute-Force-Schutz, doch können zusätzliche Sicherheitsprodukte so konfiguriert werden, dass nach wiederholten Anmeldefehlern eine Sperrzeit verhängt wird. Greenbone kann die Einhaltung der CIS-Sicherheitskontrollen für Microsoft RDP bescheinigen, einschließlich derjenigen, die Brute-Force- und Password-Spraying-Angriffe bei der Anmeldung verhindern.

Schließlich müssen laut Anhang I, Teil I (2)(d) der EU Cyber Resilience Act (CRA) Produkte mit digitalen Elementen „den Schutz vor unbefugtem Zugriff durch geeignete Kontrollmechanismen gewährleisten“, einschließlich Systemen für Authentifizierung, Identitäts- und Zugriffsmanagement, und sollten auch alle Fälle von unbefugtem Zugriff melden. Dies bedeutet, dass die EU in Zukunft von allen Produkten einen eingebauten Brute-Force-Schutz verlangen wird, anstatt sich auf „Rate Limiting“-Tools von Drittanbietern wie fail2ban für Linux zu verlassen.

Unverschlüsselte Cookies in F5 BIG-IP LTM

Die CISA hat beobachtet, dass Cyber-Bedrohungsakteure unverschlüsselte dauerhafte Cookies auf F5 BIG-IP Local Traffic Manager (LTM) Systemen ausnutzen. Sobald die Cookies gestohlen wurden, werden sie verwendet, um andere interne Netzwerkgeräte zu identifizieren, was wiederum eine passive Erkennung von Schwachstellen innerhalb eines Netzwerks ermöglichen kann. Ähnlich wie die meisten Webanwendungen gibt BIG-IP ein HTTP-Cookie zwischen dem Client und dem Server weiter, um User Sessions zu verfolgen. Das Cookie hat standardmäßig den Namen BIGipServer<pool_name> und sein Wert enthält die verschlüsselte IP-Adresse und den Port des Zielservers.

F5 BIG-IP ist eine Suite zur Verwaltung des Netzwerkverkehrs, und LTM ist das Kernmodul, das für Load Balancing und die Verteilung des Datenverkehrs auf die Server sorgt. Die CISA rät Unternehmen, dafür zu sorgen, dass persistente Cookies verschlüsselt werden. F5 bietet eine Anleitung zur Einrichtung der Cookie-Verschlüsselung und mit BIG-IP iHealth ein Diagnosetool, um unverschlüsselte dauerhafte Profile von Cookies zu erkennen.

Obgleich eine aktive Ausnutzung die Bedrohung für Unternehmen erhöht, die diese Schwachstelle nicht behoben haben, ist die Sicherheitslücke seit Anfang 2018 bekannt. Greenbone bietet seit Januar 2018 eine Erkennung für diese Schwachstelle an, sodass Benutzer die Sicherheitslücke, die durch unverschlüsselte Cookies in F5 BIG-IP LTM entsteht, seit ihrer Offenlegung erkennen und schließen können.

Hochgefährliche Schwachstellen in Palo Alto Expedition

In Expedition, einem Migrationstool von Palo Alto, das den Übergang von Security-Konfigurationen von Drittanbietern zu PAN-OS von Palo Alto vereinfachen soll, wurden mehrere neue hochgefährliche Schwachstellen entdeckt. Obwohl noch nicht in aktiven Kampagnen beobachtet, wurden zwei der insgesamt neun CVEs, die Palo Alto im Oktober zugewiesen wurden, mit EPSS-Scores höher als 98 % aller anderen bewertet.  EPSS (Exploit Prediction Scoring System) ist ein Vorhersagemodell, das mithilfe von Machine Learning die Wahrscheinlichkeit schätzt, dass ein CVE innerhalb von 30 Tagen nach der Vorhersage in freier Wildbahn ausgenutzt wird.

Hier eine kurze technische Beschreibung der einzelnen CVEs:

  • CVE-2024-9463 (CVSS 7.5, EPSS 91.34%): Eine OS-Schwachstelle bei der Befehlseingabe in Palo Altos Expedition erlaubt es einem nicht authentifizierten Angreifer, beliebige OS-Befehle als Root-Dateien in Expedition auszuführen, was zur Offenlegung von Benutzernamen, Klartext-Passwörtern, Gerätekonfigurationen und Geräte-API-Schlüsseln von PAN-OS Firewalls führt.
  • CVE-2024-9465 (CVSS 9.1, EPSS 73.86%): Eine SQL-Injection-Schwachstelle in Palo Altos Expedition ermöglicht es einem nicht authentifizierten Angreifer, sensible Datenbankinhalte wie Passwort-Hashes, Benutzernamen, Gerätekonfigurationen und Geräte-API-Schlüssel auszuspähen. Sobald diese Informationen erlangt wurden, können Angreifer beliebige Dateien auf den betroffenen Systemen erstellen und lesen.

Vier kritische CVEs in Mozilla Firefox

Wie bereits in unserem Threat-Tracking-Blog erwähnt, ist die Browsersicherheit von entscheidender Bedeutung für die Verhinderung von Erstzugriffen, insbesondere bei Arbeitsplatzgeräten. Im Oktober 2024 wurden sieben neue kritische und 19 weitere weniger kritische Sicherheitslücken in Mozilla Firefox < 131.0 und Thunderbird < 131.0.1 bekanntgegeben. Eine davon, CVE-2024-9680, wurde bereits gegen Nutzer des Tor-Netzwerks aktiv ausgenutzt und wurde in den Katalog der bekannten Schwachstellen der CISA aufgenommen. Greenbone enthält Schwachstellentests, um alle betroffenen Mozilla-Produkte zu identifizieren.

Hier die sieben neu veröffentlichten Schwachstellen:

  • CVE-2024-9680 (CVSS 9.8): Angreifer gelangten zu einer unautorisierten RCE, indem sie eine Use-After-Free-Schwachstelle in Animation Timelines ausnutzten. CVE-2024-9680 wird in freier Wildbahn ausgenutzt.
  • CVE-2024-10468 (CVSS 9.8): Mögliche Laufbedingungen in IndexedDB können Speicher beschädigen, was zu einem potenziell ausnutzbaren Absturz führt.
  • CVE-2024-9392 (CVSS 9.8): Ein kompromittierter Inhaltsvorgang ermöglicht das willkürliche Laden von Cross-Origin-Seiten.
  • CVE-2024-10467, CVE-2024-9401 und CVE-2024-9402 (CVSS 9.8): In Firefox vorhandene Speicherfehler zeigten Anzeichen von Speicherbeschädigung. Sicherheitsexperten vermuten, dass einige dieser Fehler mit genügend Aufwand zur Ausführung von beliebigem Code ausgenutzt werden könnten.
  • CVE-2024-10004 (CVSS 9.1): Das Öffnen eines externen Links zu einer HTTP-Website, wenn Firefox iOS zuvor geschlossen war und einen HTTPS-Tab geöffnet hatte, konnte dazu führen, dass das Vorhängeschloss-Symbol fälschlicherweise HTTPS anzeigte.

Zusammenfassung

Unser monatlicher Threat Tracking-Blog befasst sich mit den wichtigsten Cybersecurity-Trends und hochriskanten Bedrohungen. Zu den wichtigsten Erkenntnissen für Oktober 2024 gehören die verstärkten Bemühungen zur Bekämpfung von Ransomware auf internationaler Ebene und die Rolle, die ein proaktives Schwachstellenmanagement bei der Verhinderung erfolgreicher Ransomware-Angriffe spielt. Zu den weiteren Höhepunkten gehören aktiv ausgenutzte Schwachstellen von Fortinet und Palo Alto sowie Updates zu einer vom Iran unterstützten Cyberangriffskampagne, die auf öffentliche Dienste kritischer Infrastrukturunternehmen abzielt. Darüber hinaus unterstreichen die unverschlüsselte Cookie-Schwachstelle von F5 BIG-IP LTM, die zur Reconnaissance ausgenutzt wird, und vier neue Mozilla Firefox-Schwachstellen, von denen eine aktiv als Waffe eingesetzt wird, wie notwendig es ist, wachsam zu bleiben.

Greenbone erleichtert die Identifizierung und Behebung dieser und weiterer Schwachstellen und hilft Unternehmen, ihre Widerstandsfähigkeit gegenüber wachsenden Cyber-Bedrohungen zu verbessern. Schnelle Erkennung und rechtzeitiges Patchen sind für die Risikominimierung entscheidend.

Ein DoS-Angriff (Denial of Service) kann den kompletten Stillstand bedeuten: Ein wichtiger Dienst fällt aus, eine Anwendung reagiert nicht mehr oder der Zugriff auf das eigene System wird blockiert. DoS-Attacken haben ein klares, zerstörerisches Ziel: digitale Ressourcen lahmzulegen und den Zugriff für legitime Benutzer zu verhindern. Die Folgen einer DoS-Attacke können drastisch sein: von Ausfallzeiten und Betriebsunterbrechungen über finanzielle Verluste bis hin zu erheblichen Risiken für die gesamte Organisation.

Seit mehreren Jahren sind DoS-Angriffe auf dem Vormarsch und haben erhebliche Auswirkungen auf Unternehmen, kritische Infrastrukturen und das Gesundheitssystem. DoS-Angriffe werden auch in ausgeklügelten Cyber-Militärkampagnen und als Mittel zur Erpressung von Lösegeld eingesetzt. Was steckt hinter diesen Angriffen und wie können Sie sich schützen?

Die Bedrohung wächst

Über unbefugten Zugriff können Angreifer durch einfaches Herunterfahren eines Systems einen Systemausfall erzwingen [T1529]. Auch Fehler in der Anwendungslogik können einem Angreifer aus der Ferne ermöglichen, das System zum Absturz zu bringen. So kann er es mit Netzwerkverkehr überfluten, um die Ressourcen zu erschöpfen. Das Blockieren des Kontozugriffs [T1531], die Zerstörung von Daten [T1485] oder der Einsatz von Ransomware [T1486] können die Systemwiederherstellung [T1490] weiter behindern oder die Verteidiger ablenken, während andere Angriffe stattfinden. Gleichzeitig machen gestoppte kritische Dienste auch anfälliger für weitere Cyberangriffe. Wenn zum Beispiel ein Virenscanner deaktiviert ist, kann Malware leichter in ein Netzwerk eindringen; wenn Backup-Dienste nicht funktionieren, ist eine vollständige Wiederherstellung nach einem Ransomware-Angriff kaum mehr möglich.

DoS-Angriffe lieben bekannte Schwachstellen

DoS-Angriffe nutzen oft Schwachstellen in den Spezifikationen von Netzwerkprotokollen, unsachgemäße Protokoll-Implementierungen, fehlerhafte Logik in Softwareanwendungen oder Fehlkonfigurationen. Zu den Softwarefehlern, die DoS-Angriffe ermöglichen, gehören: 

  • Unkontrollierter Ressourcenverbrauch
  • Buffer overflows
  • Fehlende Speicherfreigabe
  • Unsachgemäße Fehlerbehandlung
  • Asymmetrischer Ressourcenverbrauch (Amplification)
  • Nichtfreigabe einer Ressource nach Gebrauch

Wenn Schwachstellen wie diese entdeckt werden, beeilen sich die Hersteller, Patches herauszugeben. Allerdings sind nur die Benutzer geschützt, die diese Updates auch installieren. Durch das Scannen von Angriffsflächen auf Netzwerk- und Host-Ebene können IT-Sicherheitsteams auf Schwachstellen aufmerksam werden, die sie anfällig für DoS-Attacken machen. Einmal gewarnt, können Verteidiger aktiv werden und die erforderlichen Updates einspielen oder anfällige Konfigurationen anpassen.

Arten von DoS-Angriffen

DoS-Angriffe nutzen viele verschiedene Techniken, zum Beispiel die Überflutung von Netzwerken mit übermäßigem Datenverkehr, die Ausnutzung von Softwareschwachstellen oder die Manipulation von Funktionen auf Anwendungsebene. Das Verständnis der Funktionsweise von DoS-Angriffen und ihrer potenziellen Auswirkungen ist für Unternehmen entscheidend, um umfassende Verteidigungsstrategien zu entwickeln und das Risiko solcher Störungen zu minimieren.

Zu den wichtigsten Kategorien von DoS-Angriffen gehören:

  • Volumenbasierte DoS-Angriffe: Volumenbasierte DoS-Attacken überlasten die Netzwerkbandbreite oder Rechenressourcen des Zielsystems wie CPU und RAM mit großen Datenmengen, sodass das Netzwerk nicht mehr in der Lage ist, seinen ursprünglichen Zweck zu erfüllen.
  • DoS-Angriffe auf Anwendungs- und Protokoll-Ebene: Diese Angriffe zielen auf Schwachstellen in Softwareanwendungen oder Netzwerkprotokollen ab, die sich auf jeder Ebene des Protokoll-Stacks befinden. Eindringlinge nutzen Fehler in einer Protokollspezifikation, eine fehlerhafte Anwendungslogik oder Systemkonfigurationen aus, um das Zielsystem zu destabilisieren oder zum Absturz zu bringen.
  • Amplification DoS-Angriffe: Bei Amplification-Attacken werden bestimmte Protokolle ausgenutzt, die eine Antwort erzeugen, die größer ist als die ursprüngliche Anfrage. Angreifer senden kleine Anfragen an ihr Ziel, das dann mit großen Paketen antwortet. Diese Taktik verstärkt die Auswirkungen auf das Opfer um das 100-fache der ursprünglichen Anfragegröße.
  • Reflection DoS-Angriffe: Der Angreifer sendet hierbei eine Anfrage an einen Dienst, ersetzt jedoch die Quell-IP durch die IP-Adresse des Opfers. Der Server sendet dann seine Antwort an das Opfer und „spiegelt“ die gefälschten Anfragen des Angreifers wider. Reflection-Angriffe basieren in der Regel auf UDP (User Datagram Protocol), da es verbindungslos ist. Im Gegensatz zu TCP überprüfen UDP-basierte Dienste die Quell-IP der empfangenen Daten nicht automatisch.
  • Distributed Denial of Service (DDoS): DDoS-Angriffe nutzen eine große Menge kompromittierter Geräte (oft als Botnet bezeichnet), um überwältigende Mengen an Datenverkehr an ein Ziel zu senden. Botnets bestehen aus gehackten Webservern oder SOHO-Routern (Small Office, Home Office) aus der ganzen Welt und werden zentral von den Angreifern gesteuert. Dass DDoS-Angriffe von vielen verschiedenen IP-Adressen stammen, macht es viel komplizierter, sie zu entschärfen. Legitime Benutzer sind schwierig zu identifizieren, und es ist nahezu unmöglich, die große Anzahl individueller IP-Adressen des Botnets zu blockieren.

Mit Greenbone gegen Systemausfall

Staatliche Cybersicherheitsbehörden aller NATO-Länder wie Deutschland, die USA und Kanada bezeichnen das Schwachstellenmanagement als oberste Priorität bei der Abwehr von DoS-Angriffen. Durch das Scannen nach bekannten Schwachstellen hilft Greenbone, Einfallstore für DoS-Angriffe zu schließen. Greenbone-Lösungen erkennen viele bekannte Fehlkonfigurationen und CIS-Benchmark-Kontrollen und verringern damit den Beitrag menschlichen Versagens zum Problem. Schwachstellentests werden zudem täglich aktualisiert, um die neuesten Sicherheitslücken zu identifizieren, die DoS-Angriffe erlauben könnten.

Die Schwachstellentests von Greenbone beinhalten eine eigene Denial-of-Service-Kategorie, die auch in anderen Testfamilien integriert ist, wie bei Datenbank-DoS-Tests, Webanwendungs-DoS-Tests, Webserver-DoS-Tests oder Windows-DoS-Tests [1][2]. Ebenso gibt es Tests in vielen Produkten für Unternehmensnetze wie für Cisco, F5, Juniper Networks oder Palo Alto, die DoS-spezifische Schwachstellen aufspüren. Wenn Sie Greenbone zum Scannen Ihrer Netzwerke und Endpunkte verwenden, haben Sie Zugriff auf über 4.900 Tests, mit denen sich Schwachstellen identifizieren lassen, die für DoS-Attacken ausgenutzt werden könnten.

Wenn der „Safe Checks“-Schutz von Greenbone für eine Scankonfiguration deaktiviert ist, führt unser Scanner aktive Angriffe wie zum Beispiel Amplification-DoS-Angriffe durch. Da diese Tests ein höheres Risiko bergen, wie etwa die größere Wahrscheinlichkeit von Service-Unterbrechungen, ist die Funktion „Safe Checks“ standardmäßig aktiviert, was bedeutet, dass die erweiterten invasiven Scans nur durchgeführt werden, wenn sie speziell dafür konfiguriert wurden.

Zwar gibt es keine bekannte Cybersicherheitsmaßnahme, die Schutz vor allen DoS-Angriffen wie hochvolumige DDoS-Attacken garantieren kann, doch die proaktive Identifizierung und Behandlung bekannter Schwachstellen beseitigt die „low-hanging fruits“, die Angreifer ausnutzen können. Durch die Beseitigung bekannter Schwachstellen aus der IT-Infrastruktur kann eine Organisation vermeiden, selbst Teil des Problems zu werden – denn gekaperte IT-Ressourcen werden von Angreifern oft für DDoS-Angriffe auf andere genutzt.

Zusammenfassung

DoS-Angriffe (Denial of Service) zielen darauf ab, die Verfügbarkeit von IT-Systemen zu (zer)stören, indem sie diese mit Datenverkehr überschwemmen oder bekannte Software-Schwachstellen ausnutzen. Die umfassenden Lösungen von Greenbone zur Schwachstellenanalyse können potenzielle Eintrittspunkte für DoS-Angriffe identifizieren und ermöglichen es Unternehmen, ihre Abwehr zu stärken und das Risiko solcher Attacken zu minimieren. Durch proaktives Schwachstellenmanagement und kontinuierliche Überwachung unterstützt Greenbone Unternehmen dabei, die Auswirkungen potenziell zerstörerischer DoS-Angriffe zu erkennen und zu mindern.

Sobald ein Unternehmen einen gewissen Wert hat, kann man darauf wetten, dass bösartige Akteure darüber nachdenken, wie sie die Schwachstellen in der IT des Unternehmens ausnutzen können, um finanziellen Gewinn zu erzielen. Ransomware-Angriffe sind dabei die größte Bedrohung. Sie machen die Daten ihres Opfers unbrauchbar und erpressen es zur Entschlüsselung. Je stärker Unternehmen gefährdet sind, desto genauer müssen sie wissen, wo ihr Risiko liegt, und ihre kritischen Anlagen besonders gut schützen. Alle Unternehmen mit IT-Infrastruktur, auch kleine Firmen, profitieren jedoch von einer Bewertung ihrer Angriffsfläche und der Beseitigung von Schwachstellen.

Angriffe durch die massenhafte Ausnutzung von Schwachstellen („Mass Exploitations“) funktionieren in Form automatisierter Kampagnen, bei denen das öffentliche Internet kontinuierlich auf der Suche nach leichten Opfern durchsucht wird. Diese Kampagnen werden von Bots durchgeführt, die Cyberangriffe qua Automatisierung in großem Maßstab dirigieren. CloudFlare behauptet, dass nur 7 % des Internetverkehrs auf bösartige Bots entfallen, während anderen Berichten zufolge bösartige Bots bis zu 32 % der gesamten Internetaktivitäten ausmachen. Nach dem Eindringen missbrauchen die Angreifer die kompromittierten Ressourcen für bösartige Aktivitäten.

Was geschieht mit den kompromittierten Vermögenswerten?

Sobald ein Angreifer die Kontrolle über die IT-Infrastruktur eines Opfers erlangt hat, schätzt er den Wert seiner neuen Beute ein und entscheidet, wie er daraus am besten Kapital schlagen kann. Das Dark Web ist ein Untergrund-Ökosystem von Cybercrime-Services mit einer eigenen Wirtschaft von Angebot und Nachfrage für illegale Handlungen. Innerhalb dieses Ökosystems verkaufen Initial Access Broker (IAB) unbefugten Zugang an RaaS-Gruppen (Ransomware as a Service), die sich auf die Ausführung von Ransomware spezialisiert haben, d. h. auf die Verschlüsselung der Dateien eines Opfers und dessen Erpressung. Mass Exploitation ist eine Möglichkeit für diese IABs, Fuß zu fassen.

Kompromittierte Anlagen mit geringerem Erpressungswert können Teil des „Zombie-Botnets“ des IAB werden, das das Internet kontinuierlich nach anfälligen Systemen durchsucht, die es zu kompromittieren gilt. Andernfalls können gekaperte Systeme zum Versenden von Malspam- und Phishing-E-Mails verwendet werden, mit Krypto-Mining-Malware infiziert werden oder als unauffälliger Host für eine C2-Infrastruktur (Command and Control) dienen, die gezieltere Angriffskampagnen unterstützt.

Wie die automatisierte Ausnutzung funktioniert

Verteidiger können Mass Exploitations durch die Brille der „Taktiken, Techniken und Verfahren“ (Tactics, Techniques and Procedures; TTP) des MITRE ATT&CK-Frameworks untersuchen, um das Verhalten von Angreifern besser zu verstehen. Wenn Sie mit MITRE ATT&CK nicht vertraut sind, ist jetzt ein guter Zeitpunkt, um die MITRE ATT&CK Enterprise Matrix zu lesen: Sie dient als Referenzpunkt für die Vorgehensweise von Angreifern.

Die automatisierten Attacken zielen auf eine große Anzahl von Systemen. Mit hochentwickelten Tools sind sie in der Lage, viele IP-Adressen zu scannen und automatisch Cyberangriffe auszuführen, wenn Schwachstellen gefunden werden. Sie nutzen Schwachstellen in Software aus, die üblicherweise dem öffentlichen Internet ausgesetzt ist, insbesondere solche, die zum Hosten von Websites und für den Fernzugriff auf Webserver verwendet wird.

Schritt für Schritt zum automatisierten Angriff:

  • Auskundschaftung [TA0043]: Angreifer sammeln Quellen für Schwachstelleninformationen wie NIST NVD, wo CVEs mit Schweregraden und Berichten, die technische Details enthalten, veröffentlicht werden. Sie nutzen dabei auch Quellen für Exploit-Code wie Exploit-db, GitHub oder andere Quellen wie Dark-Web-Marktplätze. Alternativ dazu können Angreifer auch ihre eigenen bösartigen Exploits entwickeln.
  • Bewaffnung [TA0042]: Angreifer bauen Cyberwaffen, die Schwachstellen automatisch erkennen und ausnutzen [T1190], ohne dass ein Mensch eingreifen muss.
  • Aktives Scannen [T1595]: Angreifer führen aktive Scans des öffentlichen Internets in großem Umfang durch, um Abhördienste und deren Versionen zu entdecken [T1595.002]. Dieser Prozess ähnelt der Art und Weise, wie Cyber-Verteidiger Schwachstellen-Scans ihrer eigenen Infrastruktur durchführen – mit dem Unterschied, dass Angreifer, anstatt erkannte Schwachstellen zu beheben, Strategien planen, um sie auszunutzen.
  • Einsatz und Ausnutzung von Angriffen: Sobald eine aktive Schwachstelle gefunden wurde, versuchen automatisierte Tools, diese auszunutzen, um das System des Opfers aus der Ferne zu kontrollieren [TA0011] oder einen Denial of Service (DoS) zu verursachen [T1499]. Dabei kann eine Vielzahl von Software-Schwachstellen ausgenutzt werden, beispielsweise Standard-Kontoanmeldeinformationen [CWE-1392], SQL-Injection [CWE-89], Buffer Overflows [CWE-119], nicht autorisierte Dateiuploads [CWE-434] oder anderweitig ausgehebelte Zugriffskontrollen [CWE-284].
  • Bewertung und Maßnahmen zur Erreichung der Ziele [TA0040]: Nach der Kompromittierung entscheidet der Angreifer, wie er das Opfer am besten zu seinem eigenen Vorteil beeinflussen kann. Angreifer können beschließen, weitere Erkundungen durchzuführen und versuchen, „seitlich“ auf andere angeschlossene Systeme im Netzwerk vorzudringen [TA0008], Daten des Opfers zu stehlen [TA0010], Ransomware einzusetzen [T1486] oder den ursprünglichen Zugang an andere Cyber-Kriminelle mit speziellen Fähigkeiten zu verkaufen [T1650].

Schutzmaßnahmen gegen automatisierte Angriffe

Die Abwehr von „Mass Exploitation“-Angriffen erfordert einen proaktiven Ansatz, der potenzielle Schwachstellen beseitigt, bevor sie ausgenutzt werden können. Unternehmen sollten grundlegende Best Practices für die IT-Sicherheit anwenden, einschließlich regelmäßiger Bewertungen, kontinuierlicher Überwachung und rechtzeitiger Behebung erkannter Schwachstellen.

Hier sind einige wichtige Sicherheitsmaßnahmen zum Schutz vor den automatisierten Angriffen:

  • Erstellen Sie ein IT-Bestandsinventar: Die Erstellung eines umfassenden Inventars aller Hardware-, Software- und Netzwerkgeräte in Ihrem Unternehmen stellt sicher, dass keine Systeme bei der Risiko- und Schwachstellenbewertung und beim Patch-Management übersehen werden.
  • Bewerten Sie Ihre Risiken: Legen Sie die Prioritäten für die Vermögenswerte nach ihrer Bedeutung für den Geschäftsbetrieb fest und bestimmen Sie, worauf sich die Präventionsmaßnahmen konzentrieren sollen. Regelmäßige Risikobewertungen tragen dazu bei, dass die kritischsten Bedrohungen angegangen werden, um die Wahrscheinlichkeit einer schwerwiegenden Verletzung zu verringern.
  • Regelmäßige Überprüfung aller Anlagen und Behebung festgestellter Schwachstellen: Führen Sie regelmäßige Schwachstellen-Scans für alle IT-Ressourcen durch, insbesondere für diejenigen, die dem öffentlichen Internet ausgesetzt sind und ein hohes Risiko darstellen. Wenden Sie Patches oder alternative Abhilfemaßnahmen sofort an, um eine Ausnutzung zu verhindern. Verfolgen und messen Sie die Fortschritte beim Schwachstellenmanagement in quantifizierter Form.
  • Entfernen Sie ungenutzte Dienste und Anwendungen: Ungenutzte Software stellt eine zusätzliche Angriffsfläche dar, die Angreifern die Möglichkeit bietet, Schwachstellen auszunutzen. Indem Sie die Zahl aktiver Dienste und installierter Anwendungen verkleinern, schränken Sie potenzielle Einstiegspunkte für Angreifer ein.
  • Ausbildung und Schulung: Schulung ist wichtig, um das Bewusstsein für IT-Sicherheit in der Unternehmenskultur zu fördern. Eine Sensibilisierung trägt auch wesentlich dazu bei, Malspam- und Phishing-Angriffe auf ein Unternehmen zu verhindern.
  • Verwenden Sie Anti-Malware-Lösungen: Malware wird oft durch automatisierte Spam- und Phishing-Kampagnen in großem Umfang verbreitet. Stellen Sie sicher, dass alle Systeme mit aktueller Antiviren-Software ausgestattet sind, und implementieren Sie Spam-Filter, um bösartige Dateien zu erkennen und zu isolieren.
  • Richtlinien für starke Authentifizierung: Credential Stuffing-Angriffe sind oft automatisierte Bestandteile von Massen-Exploits. Wenn Sie bewährte Kennwortpraktiken wie die Verwendung starker, zufällig generierter Kennwörter einhalten und die Wiederverwendung von Kennwörtern für verschiedene Konten vermeiden, verringern Sie das Risiko durch gestohlene Kennwörter. Die Einführung von Richtlinien zur Passwortrotation, die Multi-Faktor-Authentifizierung (MFA) und die Verwendung von Passwortmanagern erhöhen ebenfalls die Passwortsicherheit.
  • Verwenden Sie Firewalls und IPS: Firewalls und Intrusion Prevention Systeme (IPS) können bösartigen Datenverkehr mit Hilfe von Regeln oder Mustern blockieren. Konfigurieren Sie Regelsätze so streng wie möglich, um unnötigen eingehenden Datenverkehr vom Scannen sensibler Dienste abzuhalten. Überprüfen und aktualisieren Sie Firewall- und IPS-Konfigurationen regelmäßig, um aktuellen Bedrohungen Rechnung zu tragen.

Zusammenfassung

In automatisierten Kampagnen werden Schwachstellen massenhaft ausgenutzt. Dabei werden Botnetze eingesetzt, um das öffentliche Internet nach anfälligen Systemen zu durchsuchen. Die Angriffe zielen auf ein breites Spektrum von Opfern und nutzen bekannte Schwachstellen in Software aus, die üblicherweise im Internet steht. Sobald die Systeme kompromittiert sind, verwenden Angreifer sie für verschiedene böswillige Zwecke, zum Beispiel um Ransomware einzuschleusen, den Zugang an andere kriminelle Gruppen zu verkaufen oder Botnetze weiter auszubauen. Mass Exploitations sind eine große Bedrohung, da sie es Angreifern ermöglichen, mit minimalem Aufwand in großem Maßstab zu operieren.

Um sich gegen die automatisierten Angriffe zu schützen, müssen Unternehmen proaktive Sicherheitsmaßnahmen wie regelmäßige Schwachstellen-Scans, rechtzeitige Patch-Verwaltung, strenge Zugangskontrollen und Netzwerküberwachung durchführen. Darüber hinaus kann eine angemessene Sicherheitsschulung des Personals dazu beitragen, das Risiko zu verringern, den automatisierten Kampagnen zum Opfer zu fallen.

Die it-sa 2024 in Nürnberg war nicht nur für die Veranstalter, sondern auch für uns ein voller Erfolg: drei Tage voll inspirierender Gespräche, neuer Kontakte und wichtiger Einblicke in die aktuellen Sicherheitsanforderungen von Kunden und Interessenten. Als eine der wichtigsten Fachmessen für IT-Sicherheit in Europa war die it-sa für uns die ideale Bühne, um die neuesten Entwicklungen einem breiten Publikum vorzustellen. Unsere Keynote, gehalten vom Vorstandsvorsitzenden Dr. Jan-Oliver Wagner, zog zahlreiche Fachbesucher an. Unter dem Titel „Sicher sein und sicher bleiben“ gab er einen Einblick in den Stellenwert unseres Portfolios für eine proaktive Unternehmenssicherheit.

Das Greenbone-Team auf der it-sa 2024 freute sich über doppelt so viele Besucher wie im Vorjahr.

 

Keynote: Schwachstellenmanagement als Basis für Cybersicherheit

In seiner Keynote sprach Jan-Oliver Wagner über die wachsende Bedeutung von Schwachstellenmanagement als den fundamentalen Baustein einer umfassenden Sicherheitsstrategie. Unternehmen und Organisationen jeder Größe stehen vor der Herausforderung, die ständig wachsende Bedrohung durch Cyberangriffe zu bewältigen. Besonders im Hinblick darauf, dass die Zahl der Angriffe in den letzten Jahren stark zugenommen hat und schon hohe zweistellige Millionenbeträge für Lösegeldzahlungen aufgerufen wurden, ist klar, dass Cybersicherheit nicht länger nur „nice to have“, sondern überlebensnotwendig ist.

Jan-Oliver Wagner forderte, Bedrohungen möglichst frühzeitig zu erkennen und Risiken proaktiv zu managen. Dabei stellte er das Schwachstellenmanagement als „die erste Verteidigungslinie“ gegen Angreifer dar. Mit den Lösungen von Greenbone können Unternehmen ihre IT-Infrastruktur kontinuierlich auf Sicherheitslücken überprüfen: „Schwachstellenmanagement ist die Basis einer nachhaltigen und hochwirksamen Sicherheitsstrategie.“ Sicherheitsteams stehen dabei oft vor der schwierigen Aufgabe, Risiken angemessen zu beurteilen und die richtigen Entscheidungen zu treffen. „Das Ziel ist es, Angreifern stets einen Schritt voraus zu sein. Unsere Lösungen identifizieren nicht nur Sicherheitslücken, sondern helfen auch zu priorisieren, welche Schwachstellen am dringendsten behoben werden müssen.“

Inspirierende Gespräche und neue Kontakte: die Messe-Highlights

Die Messe ermöglichte es uns, direkt mit Fachbesuchern, Kunden und Partnern in Kontakt zu treten, ihre Fragen zu beantworten und ihre Perspektiven besser zu verstehen. Mit extrem vielen Fachgesprächen in nur drei Messetagen hat sich die Zahl der Besucher an unserem Partnerstand bei ADN gegenüber dem vergangenen Jahr mehr als verdoppelt, berichtet Ingo Conrads, Chief Sales Officer: „Besonders gefreut haben wir uns über die vielen neuen Interessenten und Partner, mit denen wir viele neue Geschäftsmöglichkeiten besprechen konnten.“

Greenbone-CEO Dr. Jan-Oliver Wagner bei seiner Keynote „Sicher sein und sicher bleiben“ auf der it-sa 2024.

Viele Messebesucher kannten Greenbone bereits als Marke, teils durch den Einsatz von OpenVAS in der Vergangenheit. Doch auch neue Produkte wie „Greenbone Basic“ waren für viele eine Entdeckung, die zeigt, wie umfassend und skalierbar unsere Lösungen inzwischen sind – von Einsteigervarianten bis hin zu Enterprise-Produkten für den öffentlichen Sektor. Gerade die Vielfalt unseres Portfolios und unserer Services hat für Überraschung und Interesse gesorgt. Einen Überblick über die verschiedenen Einsatzmöglichkeiten unserer Lösungen steht auf unserer Webseite zur Verfügung.

Danke für die erfolgreiche Messe!

Die it-sa 2024 war für uns ein voller Erfolg und ein inspirierendes Erlebnis. Einmal mehr hat die Messe gezeigt, wie wichtig Schwachstellenmanagement geworden ist und dass Greenbone hier einen wichtigen Beitrag zur IT-Sicherheit leistet. Besten Dank an unseren Distributionspartner ADN für die hervorragende Zusammenarbeit am Partnerstand – und herzlichen Dank an alle Besucher für die interessanten Gespräche und das wertvolle Feedback!

Gemeinsam setzen wir uns dafür ein, dass Unternehmen sicher sind – und sicher bleiben.

Kommende Woche startet die it-sa, eine der größten Plattformen für IT-Security-Lösungen. Unser CEO Dr. Jan-Oliver Wagner wird am Eröffnungstag, dem 22. Oktober 2024, ab 11:00 Uhr zeigen, wie Unternehmen dauerhaft und in Krisensituationen handlungsfähig bleiben können. Unter dem Titel  „Sicher sein und sicher bleiben“ weist er im Forum 6-B Wege aus der wachsenden Bedrohungslage durch Cyberrisiken. Nicht umsonst aber heißt der Überblick über die Möglichkeiten und Potenziale von Schwachstellenmanagement nicht „Vortrag“, sondern „Action“: Handeln ist gefragt!

Werden Sie aktiv!

In Zeiten, in denen Ransomware-Banden mehrstellige Millionenbeträge zu erpressen versuchen, gilt es für Unternehmen und Organisationen, möglichst frühzeitig für die Sicherheit der IT-Systeme mit ihren Daten und Kommunikationswegen tätig zu werden. Jede Investition in die eigene Cybersicherheit macht sich um ein Vielfaches bezahlt, vergleicht man die Anschaffungskosten einer entsprechenden proaktiven Lösung mit den Kosten, die durch den Schaden entstehen – und die mit dem Zahlen von Lösegeldern bei Weitem nicht abgegolten sind. Wie bei jeder Rechnung mit Zins und Zinseszins: Je früher die Investition begonnen wird, desto mehr zahlt sie sich aus.

Die Lösungen von Greenbone setzen am frühestmöglichen Zeitpunkt der Entstehungsgeschichte von Cyberrisiken an: Dem Auffinden von Sicherheitslücken in der eigenen IT-Infrastruktur. So geht das Schwachstellenmanagement Hand in Hand mit einer fundierten Security-Strategie, in deren Rahmen kontinuierlich Sicherheitsdaten bereitgestellt, Systeme überwacht und Ergebnisse verglichen und ausgewertet werden.

Wissensvorsprung verschaffen

Weil Kriminelle ihre Angriffe auf die Netzwerke ihrer Opfer so einfach und so flächendeckend wie möglich gestalten, um ihre Gewinne zu maximieren, sollten IT-Verantwortliche es ihnen hierbei so schwer wie möglich machen. Schwachstellenmanagement bietet Unternehmen einen entscheidenden Vorsprung im Wettlauf mit potenziellen Angreifern. Sicherheitslücken werden zwar häufig schon vor ihrer öffentlichen Bekanntgabe ausgenutzt, sind sie aber erst einmal offiziell bekannt, kommt der Wettlauf zwischen Angreifer und Angegriffenem in die heiße Phase: Angriffsvektoren sollten jetzt schneller geschlossen werden, als Cyberkriminelle sie ausnutzen können.

Risiken managen

Damit das Sicherheitsrisiko gar nicht so weit eskaliert, greifen die Lösungen von Greenbone auf mittlerweile über 180.000 automatisierte Schwachstellentests zu. Sie reduzieren damit die potenzielle Angriffsfläche um 99,9 Prozent im Vergleich zu Unternehmen, die kein Vulnerability Management einsetzen. Diese immensen Möglichkeiten der Risikominimierung setzen ein umsichtiges Security-Management voraus. Denn je mehr Schwachstellen offengelegt werden, desto drängender wird die Frage, welche Aktionen zuerst eingeleitet werden müssen. Welche IT-Systeme brauchen Soforthilfe? Welche Assets und Interaktionspfade im Unternehmen sind besonders kritisch und durch welche Sicherheitsmaßnahmen zu bevorzugen?

Nur wer plausible Antworten auf diese Fragen hat, wird das Gesamtrisiko für Cyberangriffe auch dauerhaft so gering wie möglich halten können. Welche Prioritäten gesetzt werden sollten und wie eine entsprechende „Triage“ unter Daten und Systemen im operativen Alltag praktiziert werden kann, wird Jan-Oliver Wagner auf der it-sa in der Action „Sicher sein und sicher bleiben“ zeigen. Seien Sie dabei!

Besuchen Sie uns auf unserem Stand 6-346 oder vereinbaren Sie gleich einen Termin und sichern Sie sich Ihr Gratis-Ticket zur Messe. Wir freuen uns auf Ihren Besuch!

Jetzt Termin vereinbaren!