Schlagwortarchiv für: Cyber Security

Markus Feilner

“Schwachstellenmanagement wird immer wichtiger” – Greenbone-CEO Dr. Jan-Oliver Wagner auf PITS-Kongress

Jedes Jahr treffen sich IT- und Cybersicherheitsexperten aus Behörden, Bund, Ländern und Kommunen sowie in Streitkräften, Polizei und Nachrichtendiensten zum Cybersicherheitskongress „Public IT Security“ (PITS). Auch 2023 stand dabei das Thema Schwachstellen ganz oben.

Als Experte geladen war dieses Jahr Greenbone-CEO Jan-Oliver Wagner, um an der Podiumsdiskussion „Den Finger in die Wunde legen – Schwachstellen managen oder schließen?“ teilzunehmen. Moderiert von Katharina Sook Hee Koch vom Bundesamt fur Sicherheit in der Informationstechnik (BSI) trafen sich auf dem Panel Vertreter der Gesellschaft für Informatik (Nikolas Becker, Leiter Politik & Wissenschaft), des Bundestagsausschuss für Digitales (MdB Catarina dos Santos-Wintz, CDU/CSU), das BSI selbst (Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit) zum Austausch. Für die Exekutive dabei war Dirk Kunze vom Landeskriminalamt Nordrhein-Westfalen (Dezernatsleiter Ermittlungen Cybercrime/Cyber im Recherche- und Fahndungszentrum).

v.l.n.r. Catarina dos Santos-Wintz, Dirk Kunze, Katharina Sook Hee Koch, Dr. Dirk Häger, Dr. Jan Oliver Wagner, Nikolas Becker
(Foto: Greenbone)

Soll man Schwachstellen schließen? Auf jeden Fall!

Im Zentrum der Debatte stand schnell die Frage, ob und wie (schnell) Schwachstellen in Software zu schließen seien und/oder ob damit die Arbeit von Ermittlungsbehörden beeinträchtigt würde. Große Einigkeit unter den Anwesenden bestand dabei in der Ansicht, dass die Sicherheit der Bürger höchste Priorität habe. Schwachstellen gar aus politischen Gründen offen zu halten, kommt dabei kaum in Frage, sowohl aus Kostengründen (Exploits sind teuer) als auch bei der Risikobewertung.

Im Gegenteil, es gelte auch Open-Source-Software zu stärken und mehr Belohnungen (Bug Bounties) auszusetzen für Experten, die aktiv nach Schwachstellen suchen. Auch das BSI ist fest überzeugt: „Grundsätzlich gilt es, Schwachstellen sind zu schließen.“ (Häger). In der kriminellen Praxis spielt das Thema scheinbar eine untergeordnete Rolle: Die Polizei, so kommt es aus dem LKA in Nordrhein-Westfalen, kennt nur wenige Fälle, wo es helfen hätte können, Schwachstellen offen zu halten. Offene Schwachstellen werden aber trotzdem als mögliches Element für Ermittlungen gesehen. Aber man werde sich selbstverständlich nach der Entscheidung der Politik richten.

Dr. Jan-Oliver Wagner: „Schwachstellenmanagement wird immer wichtiger!“

Greenbone-CEO Wagner warnt, die Anzahl der offenen Schwachstellen werde in den nächsten Jahren eher größer als kleiner. Und das obwohl gute Fortschritte bzgl. Sicherheit in der Software-Entwicklung gemacht werden. Es verschärfen sich aber auch die Regulierungen und und damit der Druck auf Unternehmen durch den Gesetzgeber – nicht unbedingt eine schlechte Sache, aber es erzeugt eben Handlungsbedarf: „Das kommende Common Security Advisory Framework (CSAF 2.0) und der Cyber Resilience Act der EU (CRA) werden die Anzahl der bekannten Schwachstellen deutlich erhöhen.“

Das CSAF mache das Melden von Schwachstellen für Hersteller einfacher, der Cyber Resilience Act bringe die Verantwortung auch zum Staubsaugerhersteller, also in alle Teile der Wirtschaft. Wer da nicht den Überblick verlieren wolle, brauche Schwachstellen-Management wie das von Greenbone, erklärt Wagner. „Kommende Regulierungen bringen das Thema Schwachstellen in alle Bereiche der Wirtschaft, da nun jeder Hersteller für die Sicherheit der Geräte und deren Software verantwortlich ist, auch beispielsweise Hersteller für Staubsaugerroboter oder andere intelligente Haushaltsgeräte – Für die gesamte Lebensdauer des Produktes!“

Schwachstellenmanagement ist Risikomanagement

Schwachstellen Management ist heute für den professionellen Anwender ein reines Risikomanagement, wie es heute schon bei Versicherungen praktiziert wird – man trifft Entscheidungen darüber, welche Schwachstellen es zu schließen gilt und welche noch warten können oder müssen (Triage).

Genau da setzen unsere Schwachstellenmanagement-Produkte an – als Hardware- oder virtuelle Appliance oder im Greenbone Cloud Service. Greenbone entwickelt ein Open Source Vulnerability Management und erlaubt es Anwendern, Schwachstellen in der eigenen Netzwerkinfrastruktur innerhalb von wenigen Schritten aufzuspüren. Unsere Produkte generieren Berichte mit konkreten Handlungsanweisungen, die Sie sofort umsetzen können.

Wir arbeiten streng nach deutschem/europäischem Recht und bieten eine Open-Source-Lösung. Das bedeutet beste Datenschutzkonformität und ist so garantiert frei von Hintertüren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Jan-Oliver Wagner

Erdbeben und Cyberangriffe haben viel gemeinsam

Erstens: Die Kräfte liegen außerhalb unserer Kontrolle, und wir können nicht verhindern, dass sie geschehen.

Zweitens: Wir sind nicht hilflos ausgeliefert. Wir können eine Frühwarnung einrichten, die zerstörerische Wirkung minimieren und uns schnell erholen. Aber nur, wenn wir handeln, BEVOR es passiert. Sicher, bei Erdbeben geht es um Menschenleben, bei Cyberangriffen bisher meist nicht.

Dennoch halte ich diesen Vergleich für wichtig, um die Bedeutung von Cyberangriffen und die Handlungsoptionen besser zu verstehen. Natürlich gibt es auch Unterschiede, und der auffälligste ist für mich die durchschnittliche Häufigkeit des Auftretens.

Dieser anschauliche Direktvergleich zeigt die Parallelen:

Wir haben keine Technologie,um sie zu verhindern, aber…
Erdbeben
Cyber-Attacke
Wir haben Prognosemodelle, die voraussagen können, wo sie am wahrscheinlichsten auftreten Tektonische Modelle Vulnerability Intelligence
Wir haben Sensoren, die kurz vor dem Eintreten des Ereignisses Frühwarnungen ausgeben
(manchmal versagen sie jedoch mit falsch positiven und falsch negativen Ergebnissen)		 Seismographen Schwachstellen-Scans und Bedrohungsanalysen
Wir haben eine Skala zum Vergleich von Ereignissen über mögliche Schäden

Richter-Magnitudenskala: Bereich von 1,0 bis 9,9

  • manchmal ist der Effekt nur ein Schütteln von Gegenständen in Innenräumen und
  • manchmal ist es ein Einsturz von Gebäuden

Schweregrad: Bereiche von 0,1 bis 10,0

  • manchmal gibt es eine zusätzliche Netzlast und
  • manchmal eine administrative Fernnutzung
… Sie können etwas tun, um die negativen Auswirkungen zu minimieren:
    
Stabilisierung Ihrer Infrastruktur gegen diese Art von Kraft

Obligatorische Architekturentwürfe

  • Überblick und Kontrolle der Einhaltung

Obligatorische Sicherheitsmaßnahme

  • Erkennung und Begrenzung der Angriffsfläche
  • Schwachstellenprüfung und -beseitigung,
  • Schwachstellenmanagement und Compliance
Sie können geschulte Teams bereithalten, um im Falle eines Falles schnell zu helfen
  • zentrale Kommandozentrale und verteilte medizinische und Reparaturteams vor Ort
  • Prozesse und regelmäßige Schulungen dazu
  • Security Operation Center und verteilte Systemadministratoren
  • Dev-Ops oder Lieferanten für operative Unterstützung
  • Prozesse und regelmäßige Schulungen dazu
Sie können Ihre Umgebung sensibilisieren, wie sie sich am besten verhalten, wenn es passiert
  • verständliche Schulungsunterlagen und
  • regelmäßige Sensibilisierungsschulungen
  • verständliche Schulungsunterlagen und
  • regelmäßige Sensibilisierungsschulungen

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Jan-Oliver Wagner

Der Schlüssel zur Qualitätssicherung Ihres Sicherheitsstatus (Schwachstellenstatus)

Die Aufgabe, sich vor Cyberangriffen zu schützen, indem Sie Ihre Angriffsfläche minimieren, erfordert drei wesentliche Säulen:

Vulnerability Intelligence
Erfahren Sie sofort alles über Schwachstellen und Risiken

Asset-Intelligenz
Scannen Sie alle TCP/IP-Protokolle, tauchen Sie tief in Anlagen ein und nutzen Sie andere Quellen für Anlagendetails.

Schwachstellen-Scanning
Schwachstellentests schnell und nach Priorität erstellen, bereitstellen und ausführen

Vulnerability Intelligence

Vulnerability Intelligence hilft bei zwei Aufgaben: Zunächst müssen Sie eine Prioritätsentscheidung darüber treffen, welche Angriffsvektoren Sie angehen sollten und welche Sie akzeptieren. Diese Entscheidung ist nicht einfach und kann weitreichende Auswirkungen haben. Schlimmer noch, sie muss unter Zeitdruck und mit begrenzten Ressourcen getroffen werden. Mit anderen Worten: Diese Entscheidung ist (manchmal) eine Triage. Je besser die Informationen über die Schwachstelle sind, desto besser wird die Entscheidung ausfallen. Und je mehr Beweise Sie erhalten, desto weniger persönliche Vermutungen müssen Sie hinzufügen. Sobald Sie entschieden haben, welche Angriffsvektoren Sie in Angriff nehmen wollen, helfen Ihnen die technischen Details über die Schwachstelle als Leitfaden für eine effiziente Behebung. Zu wissen, wie einfach oder kompliziert eine Abhilfemaßnahme ist, unterstützt Sie bereits bei der Prioritätsentscheidung.

Asset Intelligence

Bei Asset Intelligence geht es darum, so viel wie möglich über die Vermögenswerte zu wissen, die Sie zum Schutz vor Cyberangriffen besitzen. Es mag seltsam klingen, aber der erste Teil dieser Aufgabe besteht darin, zu wissen, welche Anlagen Sie haben. Netzwerke können sehr dynamisch sein, weil Ihre Mitarbeiter Dienste und Geräte sehr dynamisch erweitern und verbinden. Das Scannen nach vorhandenen Ressourcen und das Scannen in die Ressourcen ist gleichermaßen wichtig. Beides dient dem Aufbau eines Inventars, das Sie später mit den eingehenden Schwachstelleninformationen über neue Angriffsvektoren vergleichen können. Es gibt erwartete Details wie Produktversionen und unerwartete Details, die erst bei der Veröffentlichung eines Sicherheitshinweises festgestellt werden. Für den ersten Fall bauen Sie eine Datenbank auf, die schnelle Offline-Scans bei neuen Hinweisen ermöglicht. Für den zweiten Fall benötigen Sie die Möglichkeit, beliebige TCP/IP-Protokolle zu verwenden, um die Informationen zu sammeln, die für die Feststellung einer Sicherheitslücke erforderlich sind. Ein Sonderfall sind fiktive Assets, die durch Inventare oder eine Software Bill of Materials repräsentiert werden und beispielsweise Geräte darstellen, die dem EU Cyber Resilience Act unterliegen.

Vulnerability Scanning

Die Kunst des Vulnerability Scanning beginnt mit der Erstellung von Tests, die in der Regel von Vulnerability Intelligence abgeleitet und gründlich überprüft werden. Angesichts der wachsenden Zahl von Sicherheitshinweisen ist es auch eine Frage der Prioritäten, welche Hinweise zuerst behandelt werden sollen. Die Kenntnis der Asset-Inventare unserer Kunden hilft uns, diese Aufgabe noch besser für sie zu erledigen. Nach dem schnellen Einsatz der Tests endet die Kunst des Schwachstellen-Scannens mit einem schnellen, leistungsstarken und einfach einzusetzenden Satz von Scannern. In einfachen Worten: Diese Scanner vergleichen die Schwachstelleninformationen mit den Informationen über die Anlagen, um die aktuelle Angriffsfläche aufzulisten. Das Scannen kann so einfach sein wie der Vergleich einer Versionsnummer oder so komplex wie ein mehrstufiger Exploit über TCP/IP.

Das Ergebnis ist ein Schwachstellenstatus mit hoher Relevanz und hoher Erkennungsqualität, und damit auch Ihre Schwachstellenbehebung und Schwachstellenberichte.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Masterarbeit: Automatisierte Schwachstellenerkennung und Reaktion im Netzwerkperimeter

Aus der langjährigen Zusammenarbeit der Greenbone AG mit der Universität Osnabrück ist erneut eine erfolgreiche Masterarbeit hervorgegangen.

Unter dem Titel „Development of an Automated Network Perimeter Threat Prevention System (DETERRERS)“ hat Nikolas Wintering seine Masterarbeit in der Arbeitsgruppe Mathematik, Physik und Informatik des Fachbereichs Mathematik/Informatik der Universität Osnabrück geschrieben und dabei ein System zur automatisierten Gefahrenprävention am Netzwerkperimeter eines universitären Campusnetzwerkes entwickelt.

Besonders bedroht: Universitäten

Universitäten sind lebendige Zentren des Informationsaustauschs und der Zusammenarbeit, mit ihren zahlreichen Hosts und einer Vielzahl von Services bieten sie eine große Angriffsfläche für Cyberbedrohungen. Für die Bildungseinrichtungen ist es daher enorm wichtig, gefährdende Stellen zu erkennen und automatisch vom Internet zu isolieren.

Automatisiertes Schwachstellenmanagement

Durch die Automatisierung der Interaktionen zwischen Administratoren, Schwachstellen-Scanner und Perimeter-Firewall werden Administratoren so in ihrer Arbeit unterstützt und das universitäre IT-Netzwerk geschützt. Teil des in der Masterarbeit entwickelten Systems ist auch die Automatisierung der Risikobewertung der Ergebnisse der Schwachstellenscans und die Generierung von hostbasierten Firewallkonfigurationen.

„Durch den Einsatz von DETERRERS und der damit verbundenen Anpassung der Freigabeprozesse, konnte die Sicherheit im Universitätsnetzwerk mit sehr geringem Mehraufwand für Administrator*innen massiv verbessert werden. Mit der automatisierten Mitigation kann zudem kurzfristig auf neue Bedrohungen reagiert und somit eine potenzielle neue Angriffsoberfläche, ohne lange manuelle Laufzeiten, schnell geschlossen werden.“
Eric Lanfer, M. Sc. (Rechenzentrum Osnabrück, Gruppe Netze)

Praxisbezug und freier Demonstrator

Auf Basis eines praktischen Einsatzes in einem Campusnetzwerk evaluiert Wintering, wie die Risikobewertung agiert, wie die Angriffsfläche verringert wird und welche Auswirkungen das System auf die Arbeit von Administratoren hat. Dabei entstand auch ein Demonstrator, dessen Source Code und Funktionsweise Interessierte auf Github einsehen und testen können. Langfristig ist eine Weiterführung als Open-Source-Projekt geplant.

„Es handelt sich um eine sehr gelungene Arbeit mit klarem Mehrwert für die Praxis. Effiziente Sicherheitsmechanismen im Alltag nutzbar zu machen, ist oft eine große Herausforderung, und diese Masterarbeit leistet sehr überzeugende Beiträge dazu.“
Prof. Dr. rer. nat. Nils Aschenbruck (Universität Osnabrück, Institut für Informatik, Arbeitsgruppe Verteilte System)

Greenbone: Experten für Universitäten und mehr

Greenbone versorgt seit vielen Jahren zahlreiche Kunden aus dem universitären Umfeld mit Produkten zum Schwachstellenmanagement. Dank dieser umfangreichen Erfahrung konnten wir immer wieder branchentypische Anforderungen erkennen, sammeln, und in die Weiterentwicklung unserer Produkte einbauen.

Die Universität Osnabrück nutzt die Greenbone Enterprise Appliance 450. Dass diese Lösung nun Teil einer Masterarbeit geworden ist, begrüßen wir sehr. Wir gratulieren Nikolas Wintering zu dieser gelungenen wissenschaftlichen Auswertung.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

Cyber Resilience Act macht Schwachstellenmanagement zur Pflicht

Wir leben und arbeiten in der digitalen Welt. Das Thema Cybersicherheit betrifft daher uns alle – sowohl Unternehmen und staatliche Verwaltungen, als auch jeden einzelnen von uns. Dies gilt nicht für unsere eigene direkte Nutzung von digitalen Systemen, sondern – manchmal sogar im Besonderen – auch wo Andere für uns digitalisiert, teilweise wünschenswerte, aber auch unersetzliche Dienste erbringen. Existentiell wird es spätestens dort wo wir von kritischen Infrastrukturen (KRITIS) abhängig sind: Wasser, Strom, Gesundheit, Sicherheit und einige mehr.

Durch die fortschreitendende Vernetzung wird nahezu jedes digitale Gerät ein mögliches Einfalltor für Cyberangriffe. Cybersicherheit ist daher ein technisches, ein gesellschaftliches und ein Verbraucherthema.

Die Bundesregierung setzt sinnvollerweise auf (Zitat aus dem Koalitionsvertrag der SPD, Bündnis 90 / Die Grünen und der FDP) „ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen“. Um eine allgemeine Widerstandfähigkeit gegen Cyberangriffe in Europa zu begründen, hat die EU den Cyber Resilience Act (CRA) ins Leben gerufen.

Cyber Resilience Act macht Schwachstellenmanagement zur Pflicht

Im Cyber Resilience Act (CRA) haben sich die EU-Mitgliedsstaaten auf eine gemeinsame Position geeinigt – das gab der Rat der EU Ende Juli in einer Pressemitteilung bekannt und berichtet optimistisch:

„Diese Einigung ist ein Erfolg des Engagements der EU für einen sicheren und geschützten digitalen Binnenmarkt. (…) Mit dem Verordnungsentwurf werden verbindliche Cybersicherheitsanforderungen für die Konzeption, Entwicklung, Herstellung und das Inverkehrbringen von Hardware- und Softwareprodukten eingeführt, um sich überschneidende Anforderungen aufgrund unterschiedlicher Rechtsvorschriften in den EU-Mitgliedstaaten zu vermeiden.“
(https://www.consilium.europa.eu/de/press/press-releases/2023/07/19/cyber-resilience-act-member-states-agree-common-position-on-security-requirements-for-digital-products/)

Der CRA soll die digitale Sicherheit durch gemeinsame Cybersicherheitsstandards für vernetzte Geräte und Dienste nachhaltig in Europa verankern. Damit hat der CRA nicht nur hohe Auswirkungen auf die Hersteller von digitalen Geräten, die EU schafft auch einen neuen, normsetzenden Standard. Wir unterstützen als IT-Sicherheitsunternehmen seit 15 Jahren unsere Kunden dabei, den bestmöglichen Sicherheitsstandard zu erreichen. Die neue Normierung durch den CRA sehen wir als Chance, und helfen unseren Kunden gerne dabei, diese für noch mehr Sicherheit zu nutzen.

Sicherheit kontinuierlich nachweisen

Die neuen CRA-Regelungen zur Behandlung und Erkennung von Schwachstellen, die „die Cybersicherheit digitaler Produkte … gewährleisten, und Pflichten der Wirtschaftsakteure wie Einführer oder Händler in Bezug auf diese Verfahren“ regeln sollen, stellen viele Unternehmen vor Herausforderungen. Der Einsatz von Werkzeugen wie Greenbone’s Schwachstellenmanagement macht es dabei deutlich einfacher, den neuen Anforderungen nachzukommen. Dies geht auch soweit, zu überprüfen, ob zum Beispiel Zulieferer die geforderten und zugesicherten Sicherheitsstandards erfüllen.

Mehr Verantwortung

Unternehmen sind durch den CRA aufgerufen, regelmäßig, dauerhaft und nachhaltig, Schwachstellenanalysen vorzunehmen und bei als „kritisch“ klassifizierten Produkten externe Audits vornehmen zu lassen. Besonders bei älteren Produkten kann das schwierig werden. Auch hilft Greenbone, weil wir solche, häufig unvollkommen dokumentierte Produkte, auch im laufenden Betrieb untersuchen können.

Dort wo unsere Kunden das heute schon regelmäßig tun, sind sie schnell handlungsfähig, und gewinnen wertvolle Zeit, mögliche Risiken zu mitigieren.

Jetzt aktiv werden

Der CRA führt Regeln zum Schutz digitaler Produkte ein, die bislang rechtlich nicht erfasst wurden, damit stehen Unternehmen neue und große Herausforderungen bevor, die die gesamte Supply Chain betreffen.

Wir können Ihnen helfen, den Anforderungen nachzukommen. Die Produktserie des Greenbone Vulnerability Managements, die Greenbone Enterprise Appliances, ermöglichen Compliance mit dem CRA – on premise oder aus der Cloud. Unsere Experten beraten sie gerne.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Bund, Länder und EU investieren Millionen in Fördermittel für Cybersecurity

Ab 2024 plant die EU eine Milliarde Euro fürs „Cybersolidaritätsgesetz“ auszugeben. Nordrhein-Westfalen fördert Einrichtungen mit über 70 Millionen Euro, die in IT-Sicherheit und Gefahrenabwehr investieren. Wer jetzt das Thema Schwachstellenmanagement noch nicht auf seiner Agenda hat, sollte das schleunigst nachholen und die zur Verfügung gestellten Fördermittel nutzen.

Die EU wird massiv ins Schwachstellenmanagement investieren: Laut einer DPA-Meldung will die Kommission „nationale und grenzüberschreitende Sicherheitszentren in der gesamten EU einrichten“, die mit Hilfe von künstlicher Intelligenz (KI) und Datenanalyse Cyber-Bedrohungen und -Vorfälle rechtzeitig erkennen und melden.“

Ein „Europäisches Cybersolidaritätsgesetz“ soll es werden, erreichen will man die „Stärkung der Fähigkeiten der EU für eine wirksame operative Zusammenarbeit, Solidarität und Resilienz“, konkret bedeutet das: „ein sicheres digitales Umfeld für die Bürgerinnen und Bürger und die Unternehmen schaffen und kritische Einrichtungen und wesentliche Dienste wie Krankenhäuser und öffentliche Versorgungsunternehmen zu schützen.“

Konkrete Pläne

Das Gesetz sieht einen Cybernotfallmechanismus, Vorsorgemaßnahmen, den Aufbau einer neuen EU-Cybersicherheitsreserve und finanzielle Förderung der gegenseitigen Amtshilfe sowie den Aufbau einer „EU-Akademie für Cybersicherheitskompetenzen“ (auf der Plattform „Digital Skills & Jobs“ der EU) vor. Zwei Drittel der 1,1 Mrd werden über das Programm „Digitales Europa“ finanziert.

70 Millionen Fördermittel aus NRW

Die zunehmenden Angriffe auf kritische Infrastrukturen, Behörden und Unternehmen lassen aber auch die Regierungen der Bundesländer nicht untätig. Das Bundesland Nordrhein-Westfalen beispielsweise geht mit gutem Beispiel voran: Die schwarz-grüne Landesregierung unter Wissenschaftsministerin Brandes (CDU) bietet jetzt konkret an, Kitas, Schulen und Hochschulen nicht nur bei den Energiepreisen, sondern im gleichen Paket auch mit 77 Millionen Euro bei der Cybersecurity zu unterstützen. Dazu gehören laut dpa viele verschiedene Aspekte, von IT-Systemen wie Firewalls oder Zwei-Faktor-Authentisierung bis hin zu für Notstromaggregate und Schließanlagen, aber auch „mehr Personal“ im Bereich Cybersecurity. Bestehende Fördertöpfe für IT-Sicherheit, beispielsweise digital-sicher.nrw bleiben davon unberührt.

Fördermittel des Bundes und anderer Länder

Auch beim Bund gibt es derzeit Unterstützung für sicherheitsbewusste Unternehmer und Manager: Das BMWK richtet derzeit eine Transferstelle IT-Sicherheit in der Wirtschaft ein, deren Förderstelle gezielt kleine und mittelständische Unternehmen fördern soll. Im wahlkampfgeprägten Bayern finden sich Informationen unter Bayern Innovativ oder beim IT Security Cluster. Hessen rühmt sich, eine „Bundesweit einmalige Förderung von kleinen und mittelständischen Unternehmen gegen Cyberangriffe“ anzubieten, und in Baden-Württemberg fördert man nicht nur KI-Cybersecurity-Projekte sondern man hat im Januar auch eine halbe Million Euro Fördermittel für KMUs aufgelegt, die in Cybersecurity investieren wollen.

Greenbone‘ Unterstützung für Cybersecurity

Wir bei Greenbone haben mit den Greenbone Enterprise Appliances eine Lösung geschaffen, die diese Lücke schließt und Cybersecurity gewährleistet. Mögliche Schwachstellen werden gefunden, bevor sie ausgenutzt werden. Die allermeisten Schwachstellen, die zu Schäden in IT Infrastrukturen führen, sind nicht etwa neu, sondern schon seit über einem Jahr bekannt. Was oft fehlt sind Lösungen die aktive Sicherheit bieten, indem sie solche Schwachstellen vor ihrer Ausnutzung durch Angreifer erkennen, sie priorisieren und Vorschläge für ihre Behebung machen. Genau das macht Greenbone seit über 10 Jahren sehr erfolgreich.

Die Greenbone Enterprise Appliances bieten Lösungen für unterschiedliche Bedürfnisse, anpassbar auf die individuelle Unternehmensgröße in Form einer Hardware-Lösung, einer virtuellen Lösung oder einer Cloud-Lösung als Managed Service. Außerdem beinhaltet das Paket einen Rund-um-Service von der Unterstützung bei der Antragsstellung zur Förderung über die Implementierung bis hin zur Datenanalyse und Behebung der Schwachstellen. Mehr zur Cybersecurity von Greenbone erfahren Sie hier.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Greenbone testet Ihre Webanwendungen

Verringern Sie das Risiko eines Angriffs aus dem Internet auf Ihre Server: Nutzen Sie das neueste Angebot von Greenbone: Mit unserem Pentesting Webanwendungen helfen wir Ihnen, die bestmöglichste Sicherheit für Ihre Webanwendungen zu erhalten.

Die Zahlen sprechen eine eindeutige Sprache: Angriffe auf Webanwendungen nehmen zu, seit Jahren schon, und ein Ende ist nicht in Sicht. Die Komplexität moderner Internetauftritte und -dienste erfordert ein hohes Maß an Sicherheitsmaßnahmen und ist ohne Tests durch Experten nicht zu bewerkstelligen.

Dabei hilft nur das die Technik des so genannten „Pentesting“ von Webanwendungen, genauer das „Web Application Penetration Testing“. Mit diesem Versuch, von außen in geschützte Systeme einzudringen („Penetration“) erstellen die Experten von Greenbone eine aktive Analyse der Schwachstellen und können so die Sicherheit einer Webapplikation bewerten. Zwar gibt es Leitfäden wie den sehr empfehlenswerten des Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Vorgehensweise fürs Testen beschreibt, doch kann nichts den Experten ersetzen, der Ihr System selbst unter die Lupe nimmt. In diesem Video erhalten Sie einen ersten Eindruck von der Arbeit unserer Experten.

Greenbone agiert dabei streng nach den Vorschriften der DSGVO, ist nach ISO 27001/9001 zertifiziert. Wie bei den Produkten im Bereich des Schwachstellenmanagements erhalten Sie auch bei den Webanwendungen-Pentests ausführliche Berichte über Ihre Sicherheitssituation mit klaren Handlungsanweisungen, bei deren Umsetzung die Greenbone-Experten gerne helfen. Da Angebot umfasst sowohl Client- als auch Server-Seite Ihrer Webanwendungen und richtet sich nach den modernsten und aktuellsten Vorgaben, beispielsweise der OWASP Top 10 oder auch dem OWASP Risk Assessment Framework (RAF). Egal ob es sich um Cross-Site-Scripting (XSS), SQL Injection, Information Disclosure oder Command Injection handelt, egal ob es Lücken in den Authentifizierungsmechanismen Ihrer Server gibt oder Websockets die Gefahrenquelle sind – Greenbones Experte werden die Schwachstellen finden.

Als weltweit führender Anbieter von Open Source Produkten zum Vulnerability Management verfügt Greenbone stets über die aktuellste Expertise im Umgang mit Schwachstellen und Sicherheitsrisiken, auch hier im „Black Box Testing“, wenn unsere Experten Ihre Systeme von außen unter die Lupe nehmen, genauso wie das ein Angreifer tun würde: mit dem Blickwinkel einer potenziellen angreifenden Person finden Sie im Idealfall jede existierende Schwachstelle in Ihrer IT-Infrastruktur und können sich um ihre Behebung kümmern. Nur wer seine Schwachstellen kennt, kann die Sicherheitsmaßnahmen zielgerichtet einsetzen. Finden Sie hier mehr zu den Produkten und Services von Greenbone AG.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

BSI warnt: Log4J bleibt weiter ein Problem

Auch mehr als zwei Jahre nach Bekanntwerden der ersten Probleme mit Log4j betreiben viele Szenarien offensichtlich immer noch ungepatchte Versionen der Logging-Bibliothek.

Greenbones Produkte helfen – gerade beim Aufspüren von veralteter Software.

Niemand sollte Log4j als erledigt auf die leichte Schulter nehmen, nur weil die Sicherheitslücke (CVE 2021-44228) eigentlich seit anderthalb Jahren behoben ist. Das ist das Fazit einer Veranstaltung Ende März, in der das Bundesamt für Sicherheit in der Informationstechnik (BSI) eindringlich warnt. Die Schwachstelle betraf Log4j in den Versionen 2.0 bis 2.14.1 und erlaubte es Angreifern, eigenen Programmcode auf Zielsystemen auszuführen und fremde Server zu kompromittieren.

Unter dem Titel „Log4j & Consequences“ in der Reihe „BuntesBugBounty“ sprach das BSI mit Christian Grobmeier aus dem Log4j Team und Brian Behlendorf von der Open Source Security Foundation (OpenSSF). Erschreckenderweise addieren sich auf der Log4j-Webseite immer noch mehr als ein Drittel der Downloads auf veraltete Versionen, die den wichtigen Patch nicht beinhalten – es ist davon auszugehen, dass zahlreiche Systeme in Unternehmen immer noch verwundbar sind.

Schuld daran sei überwiegend Software Dritter, die Log4j einbette oder diese über Softwareverteilung integriere – was Grobmeier ganz und gar nicht überrascht, denn so funktioniere die Lieferkette bei Open-Source-Software nun mal. Daran, so der Log4J-Entwickler, lasse sich so schnell auch nichts ändern.

Das bestätigt auch die Open SSF: Für Behlendorf könnte nur eine verschärfte Haftung für Softwarehersteller hilfreich sein, so wie diese in den USA bereits erwogen werde. Ohne grundlegend neue Ansätze dürfte sich an den Problemen nichts ändern.

Wer sich dennoch dauerhaft vor Angriffen auf bekannten, bereits gepatchten Schwachstellen schützen will, sollte sich die Produkte von Greenbone ansehen. Nur das professionelle Schwachstellenmanagement gibt Administratoren den Überblick über veraltete Softwareversionen und ungepatchte Lücken in den Systemen der Firma – und schafft so die Grundlage für weitere Sicherheitsmaßnahmen.

Die Entwicklung von Schwachstellentests ist bei Greenbone eine Schlüsselaktivität und ein kontinuierlicher Prozess, der die hohe Qualität der Produkte und damit den hohen Nutzen für die Kunden sicherstellt. Sicherheitsprüfungen erfolgen jeden Tag und Schwachstellentests werden nach Sicherheitslage priorisiert und ebenfalls täglich in die Produkte integriert. Bei kritischen Sicherheitswarnungen, wie bei Log4j, berichtet Greenbone über den aktuellen Stand, die Fakten und dem Umgang damit, wie beispielsweise in den Blogbeiträgen über Log4j.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Orange Security Report: Viele alte Schwachstellen noch offen

Laut der neuesten Studie von Orange Security waren 13 Prozent der Schwachstellen, die in heutigen Unternehmensnetzen gefunden werden, schon 2012 bekannt, fast die Hälfte aller Lücken ist älter als fünf Jahre – Tendenz zunehmend. Abhilfe kann professionelles Schwachstellenmanagement wie die Greenbone Produktfamilie schaffen.

Der Orange Security Navigator nimmt sich jedes Jahr auf vielen Seiten die aktuelle Bedrohungslage vor. In der neuesten Ausgabe kommt der Hersteller von Sicherheitssoftware zu erstaunlichen Einsichten hinsichtlich des Alters der Schwachstellen in Unternehmen. Die ältesten Risiken bestünden schon seit 20 Jahren oder mehr, schreibt Orange, und auch das Patchen lasse immer länger auf sich warten.

Auch jüngst füllten eigentlich schon lange gefixte Probleme die Schlagzeilen: Eine seit Jahren geschlossene Sicherheitslücke in VMWares ESXi-Server wurde aktiv von Angreifern ausgenutzt, laut Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden dabei tausende Server mit Ransomware infiziert und verschlüsselt – Details hier im Greenbone-Blog.

Auch Orange Security kann davon ein Lied singen: „Unsere Pentester finden Schwachstellen, die zuerst in 2010 identifiziert wurden, (…) [und] Probleme, deren Ursachen bis 1999 zurückreichen. (…) Das ist ein sehr besorgniserregendes Ergebnis.“ Im Falle des ESXi-Vorfalls war die Schwachstelle vom Hersteller bereits im Februar 2021 geschlossen worden, doch nicht alle Anwender hatten die notwendigen Updates eingespielt – genau hier helfen Greenbones Produkte, indem Sie aktiv Ihre Systeme nach bekannten, offenen Sicherheitslücken absuchen.

Das wird zunehmend wichtiger, weil auch laut Orange immer mehr kritische Lücken manchmal sechs Monate oder länger offenstehen, In den letzten Jahren sei die durchschnittliche Zeit bis zu einem Fix um 241 Prozent gestiegen. Immerhin gehe das Patchen bei schwerwiegenden Schwachstellen zwar im Durchschnitt um ein Drittel schneller als bei weniger kritischen Bedrohungen, Sorgen bereite aber die maximale notwendige Zeit, die bis zum Einspielen eines Patches verginge: Egal ob kritisch oder nicht, manche Patches einzuspielen dauert Jahre.

Nur ein Fünftel aller gefundenen Schwachstellen würden in weniger als 30 Tagen behoben, erklärt die Studie, 80 % stünden mehr als einen Monat offen. Im Durchschnitt dauere es ganze 215 Tage bis Lücken geschlossen werden. Von den Schwachstellen, die 1000 Tage auf einen Patch warten, seien 16% als schwerwiegend klassifiziert, drei Viertel von mittlerer Gefahr. Bei der ESXi-Lücke gab es seit zwei Jahren eine Warnung, eine Einstufung als hohes Risiko und auch einen Patch zur Fehlerbehebung. Trotzdem wurden eine Vielzahl von Organisationen durch Ausnutzung der Schwachstelle erfolgreich angegriffen.

Das Problem ist bekannt: Aufforderungen zum Beispiel der Datenschutz-Aufsichtsbehörden Schwachstellen- und Patchmanagement zu betreiben sind regelmäßig zu finden. „Mit Sorge blicke ich auf das Thema Informationssicherheit. Einerseits haben immer noch viele Organisationen ihre Hausaufgaben nicht gemacht, um bekannte Schwachstellen in IT-Systemen zu beseitigen – die Datenpannen-Meldungen zeigen uns, wie solche Sicherheitslücken immer wieder ausgenutzt werden und oft auch Daten abfließen können.“ Marit Hansen, die Landesbeauftragte für Datenschutz Schleswig-Holstein, Februar 2022.

Bei der Cybersecurity stünden Unternehmen vor großen Herausforderungen: Jeden Tag würden mehr als 22 Schwachstellen mit CVE veröffentlicht, mit einem durchschnittlichen CVSS Score von 7 oder mehr. Ohne professionelles Schwachstellenmanagement sei das nicht mehr zu handhaben, erklärt auch Orange.

Umso wichtiger dabei ist das frühzeitige Erkennen und Erfassen von Schwachstellen im Unternehmen. Hier können die Greenbone-Produkte viel Arbeit abnehmen und für Sicherheit sorgen – als Hardware– oder virtuelle Appliance oder als Cloud-Dienst. Der Greenbone Enterprise Feed, aus dem sich alle Sicherheitsprodukte Greenbones speisen, erhält tägliche Updates und deckt damit einen hohen Prozentsatz der Risiken ab. Unsere Security Experten forschen seit über 10 Jahren an dem Thema, so dass wir Risiken auch in gewachsenen Strukturen erkennen können.

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine hundertprozentige Sicherheit jedoch gibt es nicht, und es gibt auch keine einzelne Maßnahme, die genügt, um das jeweilige Maximum an Sicherheit zu erreichen – Schwachstellenmanagement ist ein wichtiger Baustein. Erst die Gesamtheit der eingesetzten Systeme, zusammen mit umfassenden Datenschutz- und Cybersicherheitskonzepten ist die bestmögliche Sicherheit.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

BSI warnt vor Schwachstelle in VMware ESXi

Eine neue Welle von Ransomware-Attacken bedroht zahlreiche Server in Europa. Im Fokus liegen der Angriffe die Hypervisoren in VMwares Virtualisierungsserver ESXi. Patches stehen bereit, Greenbones Produkte können schützen und helfen, die Schwachstelle zu finden.

Das BSI warnt ausdrücklich vor der Schwachstelle und spricht in seinen aktuellen Informationen zur Sicherheitslage von tausenden Servern und einer weltweiten Bedrohung mit Fokus auf Europa, den USA und Kanada, wobei eine Schwachstelle genutzt wird, die der Hersteller bereits vor fast zwei Jahren gefixt hat: (CVE-2021-21974).

Nicht nur VMWare-Server selbst gefährdet

Laut dem IT-Security-Portal Hackernews hat der französische Provider OVHcloud die Open-Source-Implementierung des IETF Service Location Protocol (OpenSLP) als Einfallstor bestätigt.

Die Bedrohungslage für IT-Systeme wird dabei als geschäftskritisch eingestuft – der erfolgreiche Angriff mit Ransomware kann also auch in diesem Fall massive Beeinträchtigungen des Regelbetriebs verursachen. Besonders gravierend bei Angriffen dieser Art ist, dass unter Umständen nicht nur Institutionen betroffen sind, die VMware ESXi selbst einsetzen, sondern auch Dritte – beispielsweise über die in der VMware-Virtualisierung gehosteten Serversysteme.

Frankfreich, Italien, Finnland, Kanada und die USA

Der Verdacht, dass bei der jüngsten Angriffswelle vor allem europäische Organisationen und Institutionen im Fokus der Angreifer stehen, bestätigte sich auch wenige Tage später, als die Nationale Italienische Cybersecurity Agentur ACN vor den Schwachstellen und einer „groß angelegten Angriffswelle“ warnte. Eine Reuters-Meldung spricht auch von Angriffen in Finnland und den USA.

Anwender können sich jedoch schützen: Der Hersteller VMware rät zum Upgrade auf die neueste Version seiner Software – und zur Installation des Patches. Generell helfen Systeme wie das Greenbone Schwachstellenmanagement, derlei Einbrüche zu verhindern, indem Sie die ungepatchten Lücken finden und Administratoren proaktiv in Reports warnen.

Überprüfen mit der Greenbone Cloud

Die Installation des Vmware-Patches ist kostenlos, ebenso eine Prüfung Ihrer Systeme mit dem Greenbone Cloud Service Trial. Generell sollten Administratoren immer sicherstellen, dass alle Backups gegen Ransomware gesichert sind und Log-Dateien auf verdächtige Systemzugriffe untersuchen – das BSI nennt auf der Checkliste in seiner Warnung sechs Fragen, die sich jeder Administrator jetzt stellen sollte.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von