Schlagwortarchiv für: Greenbone

Joseph Lee

September 2024 Threat Tracking: Geschwindigkeit vor Sicherheit?

Ein Bericht des Weltwirtschaftsforums von 2023, in dem 151 Führungskräfte von Unternehmen weltweit befragt wurden, ergab, dass 93 % der Cyber-Führungskräfte und 86 % der Unternehmensleiter glauben, dass in den nächsten zwei Jahren eine Cyber-Katastrophe wahrscheinlich ist. Dennoch stellen viele Softwareanbieter die schnelle Entwicklung und Produktinnovation über die Sicherheit. In diesem Monat erklärte CISA-Direktorin Jen Easterly, dass Softwareanbieter „Probleme schaffen, die Bösewichten Tür und Tor öffnen“ und dass „wir kein Cybersicherheitsproblem haben, sondern ein Softwarequalitätsproblem“. Nachgelagert profitieren die Kunden von innovativen Softwarelösungen, sind aber auch den Risiken von schlecht geschriebenen Softwareanwendungen ausgesetzt: finanziell motivierte Ransomware-Angriffe, Wiper-Malware, Spionage durch Nationalstaaten und Datendiebstahl, kostspielige Ausfallzeiten, Rufschädigung und sogar Insolvenz.

So scharfsinnig die Position der Direktorin auch sein mag, so sehr verdeckt sie doch die wahre Cyber-Risikolandschaft. So hat Bruce Schneier bereits 1999 festgestellt, dass die Komplexität der IT die Wahrscheinlichkeit menschlicher Fehler erhöht, die zu Fehlkonfigurationen führen [1][2][3]. Greenbone identifiziert sowohl bekannte Software-Schwachstellen als auch Fehlkonfigurationen mit branchenführenden Schwachstellentests und Konformitätstests, die CIS-Kontrollen und andere Standards wie die BSI-Basiskontrollen für Microsoft Office bestätigen.

Letztendlich tragen Unternehmen eine Verantwortung gegenüber ihren Interessengruppen, den Kunden und der Öffentlichkeit. Auf diese Verantwortung müssen sie sich konzentrieren und sich mit grundlegenden IT-Sicherheitsmaßnahmen wie einem Schwachstellenmanagement schützen. Im „September 2024 Threat Tracking“ geben wir einen Überblick über die schwerwiegendsten neuen Entwicklungen in der Cybersicherheitslandschaft, die sowohl für kleine Unternehmen als auch für große Organisationen eine Bedrohung darstellen.

SonicOS in Akira-Ransomware-Kampagnen

CVE-2024-40766 (CVSS 10 Kritisch), eine Sicherheitslücke, die sich auf SonicWalls Flaggschiff-Betriebssystem SonicOS auswirkt, wurde als ein bekannter Vektor für Kampagnen identifiziert, die Akira-Ransomware verbreiten. Akira, ursprünglich in C++ geschrieben, ist seit Anfang 2023 aktiv. Eine zweite, auf Rust basierende Version wurde in der zweiten Hälfte des Jahres 2023 zur dominierenden Variante. Es wird angenommen, dass die Hauptgruppe hinter Akira aus der aufgelösten Conti-Ransomware-Bande stammt. Akira wird jetzt als Ransomware-as-a-Service (RaaS) betrieben, die eine doppelte Erpressungstaktik gegen Ziele in Deutschland und in der EU, Nordamerika und Australien einsetzt. Bis Januar 2024 hatte Akira über 250 Unternehmen und kritische Infrastrukturen kompromittiert und über 42 Millionen US-Dollar erpresst.

Die Taktik von Akira besteht darin, bekannte Schwachstellen für den Erstzugang auszunutzen, beispielsweise:

Greenbone führt Tests durch, um SonicWall-Geräte zu identifizieren, die für CVE-2024-40766 [1][2] und alle anderen Schwachstellen anfällig sind, die von der Akira-Ransomware-Bande für den Erstzugang ausgenutzt werden.

Wichtiger Patch für Veeam Backup und Wiederherstellung

Ransomware ist die größte Cyber-Bedrohung, insbesondere im Gesundheitswesen. Das US-Gesundheitsministerium (HHS) berichtet, dass in den letzten fünf Jahren große Sicherheitsverletzungen um 256 % und Ransomware-Vorfälle um 264 % zugenommen haben. Unternehmen haben darauf mit proaktiven Cybersicherheitsmaßnahmen reagiert, um den Erstzugriff zu verhindern, sowie mit wirksameren Reaktionen auf Vorfälle einschließlich robusteren Lösungen für Backup and Recovery. Backup-Systeme sind daher ein Hauptziel für Ransomware-Betreiber.

Veeam ist ein weltweit führender Anbieter von Backup-Lösungen für Unternehmen und bewirbt seine Produkte als wirksamen Schutz gegen Ransomware-Angriffe. CVE-2024-40711 (CVSS 10 Kritisch), eine kürzlich bekannt gewordene Schwachstelle in Veeam Backup and Recovery, ist besonders gefährlich, da sie es Hackern ermöglichen könnte, die letzte Schutzlinie gegen Ransomware anzugreifen: Backups. Die Schwachstelle wurde von Florian Hauser von CODE WHITE GmbH, einem deutschen Forschungsunternehmen für Cybersicherheit, entdeckt und gemeldet. Die unbefugte Remote Code Execution (RCE) über CVE-2024-40711 wurde von Sicherheitsforschern innerhalb von 24 Stunden nach der Veröffentlichung verifiziert, und ein Proof-of-Concept-Code ist nun öffentlich online verfügbar, was das Risiko noch erhöht.

Veeam Backup & Replication Version 12.1.2.172 und alle früheren v12-Builds sind anfällig, und Kunden müssen die betroffenen Instanzen dringend patchen. Greenbone kann CVE-2024-40711 in Veeam Backup and Restoration erkennen, sodass IT-Sicherheitsteams den Ransomware-Banden damit einen Schritt voraus sind.

Blast-RADIUS bringt 20 Jahre alte MD5-Kollision ans Licht

RADIUS ist ein leistungsfähiges und flexibles Authentifizierungs-, Autorisierungs- und Abrechnungsprotokoll (AAA), das in Unternehmensumgebungen verwendet wird, um die vom Benutzer eingegebenen Anmeldeinformationen mit einem zentralen Authentifizierungsdienst wie Active Directory (AD), LDAP oder VPN-Diensten abzugleichen. CVE-2024-3596, genannt Blast-RADIUS, ist ein neu veröffentlichter Angriff auf die UDP-Implementierung von RADIUS, der von einer speziellen Website, einem Forschungspapier und Angriffsdetails begleitet wird. Proof-of-Concept-Code ist auch aus einer zweiten Quelle verfügbar.

Blast-RADIUS ist ein AiTM-Angriff (Adversary in the Middle), der eine Schwachstelle in MD5 ausnutzt, die ursprünglich im Jahr 2004 entdeckt und 2009 verbessert wurde. Forschende haben die Zeit, die zum Vortäuschen von MD5-Kollisionen benötigt wird, exponentiell reduziert und ihre verbesserte Version von Hashclash veröffentlicht. Der Angriff ermöglicht es einem aktiven AiTM, der sich zwischen einem RADIUS-Client und einem RADIUS-Server befindet, den Client dazu zu bringen, eine gefälschte Access-Accept-Antwort zu akzeptieren, obwohl der RADIUS-Server eine Access-Reject-Antwort ausgibt. Dies wird erreicht, indem eine MD5-Kollision zwischen der erwarteten Access-Reject- und einer gefälschten Access-Accept-Antwort berechnet wird, die es einem Angreifer ermöglicht, Login-Anfragen zu genehmigen.

Greenbone kann eine Vielzahl anfälliger RADIUS-Implementierungen in Unternehmensnetzwerken schützen, wie F5 BIG-IP [1], Fortinet FortiAuthenticator [2] und FortiOS [3], Palo Alto PAN-OS [4], Aruba CX Switches [5] und ClearPass Policy Manager [6]. Auf Betriebssystemebene schützt Greenbone dabei unter anderem Oracle Linux [7][8], SUSE [9][10][11], OpenSUSE [12][13], Red Had [14][15], Fedora [16][17], Amazon [18], Alma [19][20] und Rocky Linux [21][22].

Dringend: CVE-2024-27348 in Apache HugeGraph-Server

CVE-2024-27348 (CVSS 9.8 Kritisch) ist eine RCE-Sicherheitslücke im Open-Source Apache HugeGraph-Server, die alle Versionen 1.0 vor 1.3.0 in Java8 und Java11 betrifft. HugeGraph-Server bietet eine API-Schnittstelle zum Speichern, Abfragen und Analysieren komplexer Beziehungen zwischen Datenpunkten und wird häufig zur Analyse von Daten aus sozialen Netzwerken, bei Empfehlungsdiensten und zur Betrugserkennung verwendet.

CVE-2024-27348 ermöglicht es Angreifern, die Sandbox-Beschränkungen innerhalb der Gremlin-Abfragesprache zu umgehen, indem sie eine unzureichende Java-Reflection-Filterung verwendet. Ein Angreifer kann die Schwachstelle ausnutzen, indem er bösartige Gremlin-Skripte erstellt und sie über die API an den HugeGraph/gremlin-Endpunkt sendet, um beliebige Befehle auszuführen. Die Schwachstelle kann über einen entfernten, benachbarten oder lokalen Zugriff auf die API ausgenutzt werden und Privilegien erweitern.

In Hacking-Kampagnen wird sie aktiv ausgenutzt. Proof-of-Concept-Exploit-Code [1][2][3] und eine eingehende technische Analyse sind öffentlich verfügbar, sodass Cyberkriminelle einen Vorsprung bei der Entwicklung von Angriffen haben. Greenbone bietet eine aktive Prüfung und einen Versionserkennungstest, um verwundbare Instanzen von Apache HugeGraph-Server zu identifizieren. Den Benutzern wird empfohlen, auf die neueste Version zu aktualisieren.

Ivanti: ein offenes Tor für Angreifer im Jahr 2024

In unserem Blog haben wir dieses Jahr mehrfach über Sicherheitslücken in Ivanti-Produkten berichtet [1][2][3]. September 2024 war ein weiterer heißer Monat für Schwachstellen in Ivanti-Produkten. Ivanti hat endlich die Sicherheitslücke CVE-2024-29847 (CVSS 9.8 Kritisch) gepatcht, eine RCE-Schwachstelle, die Ivanti Endpoint Manager (EPM) betrifft und erstmals im Mai 2024 gemeldet wurde. Proof-of-Concept-Exploit-Code und eine technische Beschreibung sind nun öffentlich verfügbar, was die Bedrohung erhöht. Obwohl es noch keine Hinweise auf eine aktive Ausnutzung gibt, sollte diese Sicherheitslücke mit hoher Priorität behandelt und dringend gepatcht werden.

Im September 2024 identifizierte die CISA jedoch auch vier neue Schwachstellen in Ivanti-Produkten, die aktiv ausgenutzt werden. Greenbone ist in der Lage, alle diese neuen Ergänzungen zu CISA KEV und frühere Schwachstellen in Ivanti-Produkten zu erkennen. Hier die Details:

  • CVE-2024-29824 (CVSS 9.6 Kritisch): Eine SQL-Injection-Schwachstelle [CWE-89] in der Core-Server-Komponente von Ivanti Endpoint Manager (EPM) 2022 SU5 und früher. Die Ausnutzung erlaubt einem nicht authentifizierten Angreifer mit Netzwerkzugang die Ausführung von beliebigem Code. Der Exploit-Code ist öffentlich auf GitHub verfügbar. Die Sicherheitslücke wurde erstmals im Mai 2024 bekannt gegeben.
  • CVE-2024-7593 (CVSS 9.8 Kritisch): Eine fehlerhafte Implementierung eines Authentifizierungsalgorithmus [CWE-303] in Ivanti Virtual Traffic Manager (vTM) Version 22 mit Ausnahme der Versionen 22.2R1 oder 22.7R2 kann es einem Angreifer ermöglichen, die Authentifizierung zu umgehen und auf das Admin-Panel zuzugreifen. CVE-2024-7593 wurde erst im August 2024 bekannt gegeben, dennoch ist bereits Exploit-Code verfügbar.
  • CVE-2024-8963 (CVSS 9.1 Kritisch): Ein Path Traversal [CWE-22] in Ivanti Cloud Services Appliance (CSA) Version 4.6 und früher ermöglicht einem entfernten, nicht authentifizierten Angreifer den Zugriff auf eingeschränkte Funktionen. Die Schwachstelle wurde am 19. September 2024 bekannt gegeben und in die CISA KEV aufgenommen. Ein Fix wurde von Ivanti bereits am 10. September herausgegeben, sodass Benutzer die Schwachstelle beheben können. Die von Ivanti empfohlene Abhilfemaßnahme ist jedoch ein Upgrade auf CSA 5.0. Die CSA-Version 4.6 hat ihr End-of-Life (EOL) für Sicherheitsupdates erst letzten Monat im August 2024 erreicht, aber gemäß seiner EOL-Richtlinie wird Ivanti noch ein Jahr lang Sicherheits-Patches herausgeben. In Verbindung mit der unten beschriebenen Sicherheitslücke CVE-2024-8190 kann die Administrator-Authentifizierung umgangen werden, sodass eine beliebige RCE auf CSA-Geräten möglich ist.
  • CVE-2024-8190 (CVSS 7.5 Hoch): Eine Schwachstelle zur OS Command Injection [CWE-78] in Ivanti Cloud Services Appliance (CSA) kann remote einem authentifizierten Angreifer RCE ermöglichen. Der Angreifer muss über Administratorrechte verfügen, um diese Sicherheitslücke auszunutzen. Die empfohlene Abhilfemaßnahme ist ein Upgrade auf CSA 5.0, um weiterhin unterstützt zu werden. Proof-of-Concept-Exploit-Code ist für CVE-2024-8190 öffentlich verfügbar.

Zusammenfassung

Im Threat-Tracking-Blog dieses Monats haben wir wichtige Entwicklungen im Bereich der Cybersicherheit hervorgehoben, darunter kritische Schwachstellen wie CVE-2024-40766, die von der Ransomware Akira ausgenutzt werden, CVE-2024-40711, die sich auf Veeam Backup auswirkt, und der kürzlich bekannt gewordene BlastRADIUS-Angriff, der sich auf Enterprise AAA auswirken könnte. Proaktive Cybersecurity-Aktivitäten wie regelmäßiges Vulnerability Management und Compliance-Prüfungen tragen dazu bei, die Risiken von Ransomware, Wiper-Malware und Spionagekampagnen zu mindern, und ermöglichen es den Verteidigern, Sicherheitslücken zu schließen, bevor Angreifer sie ausnutzen können.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

August 2024 Threat Tracking: Bedrohungen auf dem Vormarsch

In der ersten Hälfte des Jahres 2024 war die Cybersicherheit für viele Unternehmen sehr prekär. Selbst in sehr wichtigen Bereichen führten kritische Schwachstellen zu einer permanenten Bedrohung durch Cyberangriffe. Die Verteidiger stehen damit im ständigen Kampf, die unaufhaltsam entstehenden Sicherheitslücken zu erkennen und zu beheben. Große Unternehmen sind Ziel ausgeklügelter „Großwild-Jagden“ von Ransomware-Banden, die den Ransomware-Jackpot knacken wollen. Die größte Auszahlung aller Zeiten wurde im August gemeldet – 75 Millionen Dollar an die Dark Angels-Bande. Kleine und mittlere Unternehmen sind ebenfalls täglich Ziel von automatisierten „Mass Exploitation“-Angriffen, die ebenfalls häufig auf die Verbreitung von Ransomware abzielen [1][2][3].

Ein kurzer Blick auf die „Top Routinely Exploited Vulnerabilities“ der CISA zeigt, dass Cyberkriminelle zwar neue Informationen zu CVE (Common Vulnerabilities and Exposures) innerhalb weniger Tage oder sogar Stunden in Exploit-Code umwandeln können, ältere Schwachstellen aus den vergangenen Jahren aber immer noch auf ihrem Radar haben.

Im Threat Tracking dieses Monats beleuchten wir einige der größten Risiken für die Cybersicherheit in Unternehmen. Dabei geht es um Schwachstellen, die kürzlich als aktiv ausgenutzt gemeldet wurden, und andere kritische Schwachstellen in IT-Produkten von Unternehmen.

BSI findet Fehler in LibreOffice

OpenSource Security hat im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine Sicherheitslücke in LibreOffice entdeckt. Unter der Bezeichnung CVE-2024-6472 (CVSS 7.8 Hoch) wurde festgestellt, dass Benutzer in LibreOffice-Dokumenten eingebettete unsignierte Makros aktivieren und damit die Einstellung „Hochsicherheitsmodus“ außer Kraft setzen können. Während die Ausnutzung der Schwachstelle menschliche Interaktion erfordert, vermittelt sie ein falsches Gefühl von Sicherheit, da nicht signierte Makros nicht ausgeführt werden können, wenn der Hochsicherheitsmodus aktiviert ist.

KeyTrap: DoS-Angriff gegen DNSSEC

Im Februar 2024 enthüllten Wissenschaftler des deutschen Nationalen Forschungszentrums für Angewandte Cybersicherheit (ATHENE) in Darmstadt den „schlimmsten Angriff auf DNS, der jemals entdeckt wurde“. Den deutschen Forschern zufolge kann ein einziges Paket einen „Denial of Service“ (DoS) verursachen, indem es einen DNS-Resolver während der DNSSEC-Validierung überflutet. Unter dem Namen „KeyTrap“ können Angreifer die Schwachstelle ausnutzen, um Clients, die einen kompromittierten DNS-Server verwenden, am Zugriff auf das Internet oder lokale Netzwerkressourcen zu hindern. Schuld daran ist ein Designfehler in der aktuellen DNSSEC-Spezifikation [RFC-9364], der mehr als 20 Jahre zurückliegt [RFC-3833].

Die im Februar 2024 veröffentlichte und als CVE-2023-50387 (CVSS 7.5 Hoch) verfolgte Sicherheitslücke gilt als trivial und der Proof-of-Concept-Code ist auf GitHub verfügbar. Die Verfügbarkeit von Exploit-Code bedeutet, dass Kriminelle mit geringen Kenntnissen leicht Angriffe starten können. Greenbone kann Systeme mit anfälligen DNS-Anwendungen, die von CVE-2023-50387 betroffen sind, mit lokalen Sicherheitsüberprüfungen (LSC) für alle Betriebssysteme identifizieren.

CVE-2024-23897 in Jenkins hilft, um in indische Bank einzubrechen

CVE-2024-23897 (CVSS 9.8 Kritisch) in Jenkins (Versionen 2.441 und LTS 2.426.2 und früher) wird aktiv ausgenutzt und in Ransomware-Kampagnen verwendet, sogar gegen die National Payments Corporation of India (NPCI). Jenkins ist ein Open-Source Automation Server, der in erster Linie für die kontinuierliche Integration (CI) und die kontinuierliche Bereitstellung (CD) bei Software Development Operations (DevOps) verwendet wird.

Das Command Line Interface (CLI) in den betroffenen Versionen von Jenkins enthält eine Path Traversal-Schwachstelle [CWE-35], die durch eine Funktion verursacht wird, die das @-Zeichen gefolgt von einem Dateipfad durch den tatsächlichen Inhalt der Datei ersetzt. Dies ermöglicht es Angreifern, den Inhalt sensibler Dateien zu lesen, einschließlich solcher, die unbefugten Zugriff und anschließende Codeausführung ermöglichen. CVE-2024-23897 und ihre Verwendung in Ransomware-Angriffen folgen einer gemeinsamen Warnung der CISA und des FBI an Softwarehersteller, in ihren Produkten Schwachstellen in Bezug auf Pfad-Querungen zu beheben [CWE-35]. Greenbone enthält eine aktive Prüfung [1] und zwei Tests zur Versionserkennung [2][3], um verwundbare Versionen von Jenkins unter Windows und Linux zu identifizieren.

2 neue aktiv genutzte CVEs in Apache OFBiz

Apache OFBiz (Open For Business) ist eine beliebte Open-Source Software für ERP (Enterprise Resource Planning) und E-Commece, die von der Apache Software Foundation entwickelt wurde. Im August 2024 warnte die CISA die Cybersecurity Community vor einer aktiven Ausnutzung von Apache OFBiz über CVE-2024-38856 (CVSS 9.8 Kritisch), die Versionen vor 18.12.13 betrifft. CVE-2024-38856 ist eine Path-Traversal-Schwachstelle [CWE-35], die die „Override View“-Funktion von OFBiz betrifft und nicht authentifizierten Angreifern eine Remote Code Execution (RCE) auf dem betroffenen System ermöglicht.

CVE-2024-38856 umgeht eine zuvor gepatchte Schwachstelle, CVE-2024-36104, die erst im Juni 2024 veröffentlicht wurde, was darauf hindeutet, dass die erste Korrektur das Problem nicht vollständig behoben hat. Dies baut auch auf einer anderen Sicherheitslücke in OFBiz aus dem Jahr 2024 auf, CVE-2024-32113 (CVSS 9.8 Kritisch), die ebenfalls aktiv zur Verbreitung des Mirai-Botnetzes ausgenutzt wurde. Schließlich wurden Anfang September 2024 zwei neue CVEs mit kritischem Schweregrad, CVE-2024-45507 und CVE-2024-45195 (CVSS 9.8 Kritisch), zur Liste der Bedrohungen hinzugefügt, die aktuelle Versionen von OFBiz betreffen.

Da aktive Exploits und PoC-Exploits (Proof of Concept) für CVE-2024-38856 [1][2] und CVE-2024-32113 [1][2] zur Verfügung stehen, müssen die Betroffenen dringend einen Patch installieren. Greenbone ist in der Lage, alle vorgenannten CVEs in Apache OFBiz sowohl mit aktiven als auch mit Versionsprüfungen zu erkennen.

CVE-2022-0185 im Linux-Kernel wird aktiv ausgenutzt

CVE-2022-0185 (CVSS 8.4 Hoch), eine Heap-Overflow-Schwachstelle im Linux-Kernel, wurde im August 2024 in die CISA KEV aufgenommen. Öffentlich verfügbarer PoC-Exploit-Code und detaillierte technische Beschreibungen der Schwachstelle haben zur Zunahme von Cyberangriffen unter Ausnutzung von CVE-2022-0185 beigetragen.

Bei CVE-2022-0185 wird in der Linux-Funktion „legacy_parse_param()“ innerhalb der Filesystem-Kontext-Funktionalität die Länge der übergebenen Parameter nicht ordnungsgemäß überprüft. Durch diesen Fehler kann ein nicht privilegierter lokaler User seine Privilegien auf den Root-User ausdehnen.

Greenbone konnte CVE-2022-0185 seit Offenlegung Anfang 2022 über Schwachstellen-Testmodule erkennen, die eine Vielzahl von Linux-Distributionen abdecken, darunter Red Hat, Ubuntu, SuSE, Amazon Linux, Rocky Linux, Fedora, Oracle Linux und Enterprise-Produkte wie IBM Spectrum Protect Plus.

Neue VoIP- und PBX-Schwachstellen

Im August 2024 wurden eine Handvoll CVEs veröffentlicht, die sich auf Sprachkommunikationssysteme in Unternehmen auswirken. Die Schwachstellen wurden in den VoIP-Systemen von Cisco für kleine Unternehmen und in Asterisk, einem beliebten Open-Source-PBX-Zweigstellensystem, aufgedeckt. Schauen wir uns die Einzelheiten an:

Cisco Small Business IP-Telefone mit RCE und DoS

Es wurden drei schwerwiegende Schwachstellen bekannt, die die Web-Management-Konsole der IP-Telefone der Cisco Small Business SPA300 Series und SPA500 Series betreffen. Diese Schwachstellen unterstreichen nicht nur, wie wichtig es ist, Management-Konsolen nicht dem Internet auszusetzen, sondern stellen auch einen Angriffsvektor für Insider oder ruhende Angreifer dar, die sich bereits Zugang zum Netzwerk eines Unternehmens verschafft haben, um ihre Angriffe auf höherwertige Vermögenswerte zu richten und den Geschäftsbetrieb zu stören.

Greenbone erkennt alle neu bekannt gewordenen CVEs in Cisco Small Business IP Phone. Hier eine kurze technische Beschreibung der einzelnen CVEs:

  • CVE-2024-20454 und CVE-2024-20450 (CVSS 9.8 Kritisch): Ein nicht authentifizierter Angreifer könnte remote beliebige Befehle auf dem zugrundeliegenden Betriebssystem mit Root-Rechten ausführen, da eingehende HTTP-Pakete nicht richtig auf ihre Größe geprüft werden, was zu einem Buffer Overflow führen kann.
  • CVE-2024-20451 (CVSS 7.5 Hoch): Ein nicht authentifizierter Angreifer kann remote ein betroffenes Gerät dazu bringen, unerwartet neu zu laden, was zu einem Denial of Service führt, da HTTP-Pakete nicht ordnungsgemäß auf ihre Größe überprüft werden.

CVE-2024-42365 in Asterisk PBX Telephonie-Toolkit

Asterisk ist eine Open-Source-Nebenstellenanlage (Private Branch Exchange; PBX) und ein Telefonie-Toolkit. PBX ist ein System zur Verwaltung der in- und externen Anrufweiterleitung und kann traditionelle Telefonleitungen (analog oder digital) oder VoIP (IP PBX) verwenden. CVE-2024-42365, veröffentlicht im August 2024, betrifft die Versionen von Asterisk vor 18.24.2, 20.9.2 und 21.4.2 sowie die zertifizierten Asterisk-Versionen 18.9-cert11 und 20.7-cert2. Auch wurde ein Exploit-Modul für das Metasploit-Framework veröffentlicht, das das Risiko noch erhöht. Eine aktive Ausnutzung in freier Wildbahn wurde jedoch noch nicht beobachtet.

Greenbone kann CVE-2024-42365 über Netzwerk-Scans erkennen. Hier eine kurze technische Beschreibung der Sicherheitslücke:

  • CVE-2024-42365 (CVSS 8.8 Hoch): Ein AMI-Benutzer mit „write=originate“ kann alle Konfigurationsdateien im Verzeichnis „/etc/asterisk/“ ändern. Er kann entfernte Dateien verkleinern und auf Festplatte schreiben, aber auch an bestehende Dateien anhängen, indem er die FILE-Funktion innerhalb der SET-Anwendung verwendet. Dieses Problem kann zu einer Privilegien-Erweiterung, Remote Code Execution oder zur Fälschung serverseitiger Requests mit beliebigen Protokollen führen.

Browser: eine ständige Bedrohung

CVE-2024-7971 und CVE-2024-7965, zwei neue Schwachstellen im Chrome-Browser mit hohem Schweregrad (CVSS 8.8), werden aktiv durch RCE ausgenutzt. Beide CVE können ausgelöst werden, wenn die Opfer dazu verleitet werden, einfach eine bösartige Webseite zu besuchen. Google räumt ein, dass der Exploit-Code öffentlich zugänglich ist, sodass auch wenig erfahrene Cyberkriminelle in der Lage sind, Angriffe zu starten. Für Google Chrome wurden in den letzten Jahren immer wieder neue Schwachstellen entdeckt und aktiv ausgenutzt. Ein kurzer Blick auf Mozilla Firefox zeigt einen ähnlichen kontinuierlichen Strom kritischer und schwerwiegender Sicherheitslücken; sieben kritische und sechs schwerwiegende Sicherheitslücken wurden im August 2024 in Firefox bekanntgegeben, obwohl keine aktive Ausnutzung dieser Schwachstellen gemeldet wurde.

Der ständige Ansturm auf Sicherheitslücken in den wichtigsten Browsern unterstreicht die Notwendigkeit, dafür zu sorgen, dass Updates installiert werden, sobald sie verfügbar sind. Aufgrund des hohen Marktanteils von Chrome von über 65 % (über 70 %, wenn man den auf Chromium basierenden Microsoft Edge berücksichtigt) erhalten die Schwachstellen dieses Browsers erhöhte Aufmerksamkeit von Cyberkriminellen. In Anbetracht der hohen Anzahl schwerwiegender Schwachstellen, die sich auf die V8-Engine von Chromium auswirken (bisher mehr als 40 im Jahr 2024), könnten Google Workspace-Administratoren in Erwägung ziehen, V8 für alle Nutzer in ihrer Organisation zu deaktivieren, um die Sicherheit zu erhöhen. Weitere Optionen zur Erhöhung der Browsersicherheit in Szenarien mit hohem Risiko sind die Verwendung von Remote-Browser-Isolierung, Netzwerksegmentierung und das Booten von sicheren Baseline-Images, um sicherzustellen, dass Endpunkte nicht gefährdet sind.

Greenbone umfasst aktive authentifizierte Schwachstellentests, um anfällige Versionen von Browsern für Linux, Windows und macOS zu identifizieren.

Zusammenfassung

Neue kritische und remote ausnutzbare Schwachstellen wurden in einem rekordverdächtigen Tempo inmitten eines brandgefährlichen Cyberrisiko-Umfelds aufgedeckt. Von IT-Sicherheitsteams zu verlangen, dass sie zusätzlich zur Anwendung von Patches neu entdeckte Schwachstellen manuell nachverfolgen, stellt eine unmögliche Belastung dar und birgt das Risiko, dass kritische Schwachstellen unentdeckt und somit ungeschützt bleiben. Schwachstellenmanagement gilt als grundlegende Cybersecurity-Aktivität; Verteidiger großer, mittlerer und kleiner Unternehmen müssen Tools wie Greenbone einsetzen, um Schwachstellen in der gesamten IT-Infrastruktur eines Unternehmens automatisch zu suchen und zu melden. 

Die Durchführung automatischer Netzwerkschwachstellen-Scans und authentifizierter Scans der Host-Angriffsfläche jedes Systems kann die Arbeitsbelastung der Verteidiger drastisch reduzieren, indem sie ihnen automatisch eine Liste von Abhilfemaßnahmen zur Verfügung stellt, die nach dem Schweregrad der Bedrohung sortiert werden kann.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Greenbone AG

Greenbone Enterprise-Produkte übertreffen alle Netzwerk-Schwachstellen-Scanner

OpenVAS wurde 2005 ins Leben gerufen, als Nessus von Open Source auf eine proprietäre Lizenz umgestellt wurde. Zwei Unternehmen, Intevation und DN Systems, übernahmen das bestehende Projekt und begannen, es unter einer GPL v2.0-Lizenz weiterzuentwickeln und zu pflegen. Seitdem hat sich OpenVAS zu Greenbone entwickelt, der weltweit meist genutzten und gelobten Open-Source-Lösung für Schwachstellenscanner und Schwachstellenmanagement. Wir sind stolz darauf, Greenbone sowohl als kostenlose Community Edition für Entwickler als auch als eine Reihe von Unternehmensprodukten mit unserem Greenbone Enterprise Feed für den öffentlichen Sektor und private Unternehmen anzubieten.

Als „alter Hase“ kennt Greenbone die Spiele, die Anbieter von Cybersicherheitsprodukten gerne in der Öffentlichkeit spielen. Unsere eigenen Ziele bleiben jedoch davon unberührt, denn wir halten uns an die Wahrheit über unser Produkt und die branchenführende Abdeckung von Schwachstellentests. Als wir den kürzlich von einem Mitbewerber veröffentlichten Benchmark-Bericht zu Netzwerk-Schwachstellen-Scannern 2024 gelesen haben, waren wir gelinde gesagt etwas schockiert.

Als Open-Source-Schwachstellen-Scanner mit der höchsten Anerkennung ist es nur logisch, dass Greenbone in den Wettbewerb um den Spitzenplatz aufgenommen wurde. Wir fühlen uns zwar geehrt, Teil des Tests zu sein, aber einige Fakten haben uns sehr zu denken gegeben. Denn in den Details sehen wir uns gezwungen, einiges klarzustellen…

Was der Benchmark-Test ergibt

Der von Pentest-Tools durchgeführte Benchmark-Test bewertet die führenden Schwachstellen-Scanner anhand zweier Faktoren: der Erkennungsverfügbarkeit (die CVEs, für die jeder Scanner Erkennungstests anbietet) und der Erkennungsgenauigkeit (wie effektiv diese Erkennungstests sind).

Bei dem Benchmark wurden die kostenlose Community Edition von Greenbone und der Greenbone Community Feed mit den Unternehmensprodukten anderer Anbieter verglichen: Qualys, Rapid7, Tenable, Nuclei, Nmap und das eigene Produkt von Pentest-Tools. In dem Bericht belegte Greenbone Platz 5 bei der Erkennungsverfügbarkeit und Platz 4 bei der Erkennungsgenauigkeit. Nicht schlecht, wenn man es mit den Titanen der Cybersicherheitsbranche aufnimmt.

Das einzige Problem ist, dass Greenbone, wie oben erwähnt, auch ein Unternehmensprodukt hat. Wenn die Ergebnisse unter Verwendung unseres Greenbone Enterprise Feeds neu berechnet werden, sind die Ergebnisse nämlich deutlich anders – Greenbone gewinnt haushoch.

Was unsere Recherche ergibt

Balkendiagramm aus dem Benchmark 2024 für Netzwerkschwachstellenscanner: Greenbone Enterprise erreicht mit 78 % Verfügbarkeit und 61 % Genauigkeit die höchsten Werte

Greenbone Enterprise führt das Feld der Schwachstellen-Scanner an.

 

Die Erkennungsverfügbarkeit unseres Enterprise Feed führt in der gesamten Gruppe

Nach unseren internen Ergebnissen, die im SecInfo-Portal eingesehen werden können, verfügt der Greenbone Enterprise Feed über Erkennungstests für 129 der 164 im Test enthaltenen CVEs. Das bedeutet, dass die Erkennungsverfügbarkeit unseres Enterprise-Produkts um erstaunliche 70,5% höher ist als angegeben, womit wir uns von allen anderen abheben.

Wichtig: Die Greenbone Enterprise Feed Tests sind nicht etwas, das wir nachträglich hinzugefügt haben. Greenbone aktualisiert sowohl die Community- als auch Enterprise-Feeds täglich, und wir sind oft die ersten, die Schwachstellentests veröffentlichen, wenn ein CVE veröffentlicht wird. Ein Blick auf unsere Schwachstellentests zeigt, dass diese vom ersten Tag an verfügbar waren.

Erkennungsgenauigkeit: stark unterschätzt

Zusätzlich kommt hinzu, dass Greenbone nicht wie die anderen Scanner arbeitet. Die Art und Weise, wie Greenbone entwickelt wurde, verleiht ihm starke, branchenführende Vorteile. Zum Beispiel kann unser Scanner über eine API gesteuert werden, die es Benutzer:innen ermöglicht, ihre eigenen Tools zu entwickeln und alle Funktionen von Greenbone auf jede beliebige Weise zu steuern. Zweitens gibt es bei den meisten anderen Schwachstellen-Scannern nicht einmal eine Bewertung der Erkennungsqualität (Quality of Detection, QoD).

Der Autor des Berichts stellte klar, dass er einfach die Standardkonfiguration für jeden Scanner verwendete. Ohne die korrekte Anwendung des QoD-Filters von Greenbone konnte der Benchmark-Test jedoch die tatsächliche CVE-Erkennungsrate von Greenbone nicht angemessen bewerten. Bei Anwendung dieser Ergebnisse liegt Greenbone erneut vorn und erkennt schätzungsweise 112 der 164 CVEs.

Zusammenfassung

Wir fühlen uns zwar geehrt, dass unsere Greenbone Community Edition in einem kürzlich veröffentlichten Benchmark für Netzwerk-Schwachstellen-Scanner den 5. Platz bei der Erkennungsverfügbarkeit und den 4. Platz bei der Erkennungsgenauigkeit belegt, es liegt aber auf der Hand, dass dabei unser Enterprise-Produkt im Rennen sein sollte. Schließlich umfasst der Benchmark auch die Unternehmenslösungen anderer Anbieter.

Bei einer Neuberechnung unter Verwendung des Enterprise Feeds steigt die Erkennungsverfügbarkeit von Greenbone auf 129 der 164 getesteten CVEs, was 70,5% über dem gemeldeten Wert liegt. Außerdem wird bei Verwendung der Standardeinstellungen Greenbones Quality of Detection (QoD) nicht berücksichtigt. Bereinigt um diese Versäumnisse liegt Greenbone an der Spitze der Konkurrenz. Als weltweit meistgenutzter Open-Source-Schwachstellen-Scanner ist Greenbone weiterhin führend bei der Abdeckung von Schwachstellen, der rechtzeitigen Veröffentlichung von Schwachstellentests und wirklich unternehmenstauglichen Funktionen wie einer flexiblen API-Architektur, fortschrittlicher Filterung und Quality-of-Detection-Bewertungen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

#nis2know: BSI bringt NIS2-Betroffenheitstest

Mehr und mehr Klarheit zieht ein in die Umsetzung der NIS2-Direktive der EU: Ende Juli hat das NIS2-Umsetzungsgesetz das Kabinett der bundesdeutschen Regierung passiert. Der entscheidende Beschluss im Bundestag steht nun bevor. Für alle Unternehmen und Behörden, die sich fragen, ob sie das etwas angeht, hat das BSI jetzt unter dem griffigen Hashtag #nis2now eine umfangreiche Webseite mit einer Betroffenheitsprüfung und wertvollen Informationen gelauncht.

Auch wenn das Inkrafttreten durch den Bundestagsbeschluss noch auf sich warten lässt und selbst wenn der ursprünglich geplante Termin im Oktober im Zuge dessen verstreichen sollte, müssen sich Unternehmen jetzt vorbereiten, fordert das Bundesamt für Sicherheit in der Informationstechnologie (BSI). Die Behörde gibt deshalb Unternehmen und Organisationen jeder Art einen achtteiligen Fragenkatalog an die Hand, mit dem IT-Leiter und Verantwortliche herausfinden können, ob die strengen Regularien von NIS2 auch für sie gelten. Allen Unternehmen und Einrichtungen, die unter die NIS2-Regelung fallen, liefert es für die Frage, was sie im Vorfeld der Rechtswirksamkeit von NIS2 schon jetzt tun können, weitere Hilfestellung und Antworten.

Hoher Bedarf, hohe Nachfrage

Der Bedarf scheint hoch. Sowohl BSI-Chefin Claudia Plattner als auch Bundes-CIO Markus Richter vermeldeten Erfolge in Form von mehreren zehntausend Zugriffen schon an den ersten Tagen (zum Beispiel auf LinkedIn: Plattner, Richter). Direkt auf der BSI-Seite steht die NIS2-Betroffenheitsprüfung. Hier finden sich „konkrete, an der Richtlinie orientierte Fragen, um Ihr Unternehmen einzuordnen“. Die Fragen sind „kurz und präzise gehalten und werden bei Bedarf im Kleingeschriebenen tiefer gehend erläutert“. Gewissheit, ob ein Unternehmen oder eine Organisation von NIS2 betroffen ist, gibt es dann binnen weniger Minuten.

In den Fragen müssen Unternehmen angeben, ob sie Betreiber kritischer Anlagen sind, Anbieter öffentlich zugänglicher Telekommunikationsdienste oder öffentlicher Telekommunikationsnetze, qualifizierte Vertrauensdienste-Anbieter oder eine Top-Level-Domain-Name-Registry oder DNS-Dienste anbieten. Auch wenn ein Unternehmen ein nicht qualifizierter Vertrauensdienste-Anbieter ist oder Waren und Dienstleistungen verkauft, die einer der in Anlage 1 oder 2 der NIS2-Richtlinie bestimmten Einrichtungsarten zuzuordnen sind, ist es von den NIS2-Regularien betroffen.

Wer alle Fragen mit „Nein“ beantworten kann, ist nicht von NIS2 betroffen. Allen anderen jedoch bietet das BSI umfangreiche Hilfestellungen und Recherchemöglichkeiten dafür, was denn jetzt zu tun sei. Eine FAQ-Liste erklärt ausführlich in neun Fragen den aktuellen Stand, ob man noch warten oder bereits mit der Vorbereitung anfangen solle. Links zu Quellen und Ansprechpartnern finden sich hier ebenso wie weitere Informationen für die Betroffenheits-Checks und Begriffserklärungen (Was bedeutet „wichtig“, „wesentlich“ und „besonders wichtig“ im Kontext des NIS2?). Sehr wichtig dabei sind auch die Sektionen, die erklären welche Pflichten und Nachweise betroffene Unternehmen wann und wohin liefern müssen, sowie die noch unbeantwortete Diskussion, ab wann NIS2 verbindlich gelte.

Unter der Vielzahl von Informationen des BSI finden sich auch Unterstützungsangebote für die Wirtschaft, aber auch klare Anweisungen für die nächsten Schritte und grundlegende Erklärungen zu Kritischen Infrastrukturen (KRITIS) im Allgemeinen.

Jetzt aktiv werden, trotz Warten auf Bundestag

Die in der Diskussion teils hart umstrittene nationale Umsetzung der europäischen NIS2-Richtlinie hatte sich zuletzt aufgrund starker Meinungsverschiedenheiten der Beteiligten verzögert, sodass der bisher erwartete Termin verschoben werden musste. Das Bundesinnenministerium hatte schon vor Wochen bestätigt, dass die Richtlinie nicht im Oktober in Kraft treten werde.

Unabhängig vom Warten auf den Bundestag sollten Betroffene jetzt aktiv werden, schreibt das BSI, man müsse verantwortliche Personen und Teams benennen, die Rollen und Aufgaben definieren, aber auch Bestandsaufnahme machen und Prozesse zur fortlaufenden Verbesserung einrichten. Die Vorbereitung auf die anstehende Meldepflicht sollte dabei höchste Priorität haben.

Umfangreiche Informationen auch von Greenbone

Auch Greenbone hat dem Thema NIS2 in den letzten Monaten zahlreiche Blogposts und Anleitungen gewidmet, vom Cyber Resilience Act über die Bedrohungslage für Kommunen bis hin zu effizienten Maßnahmen und grundsätzlich allem, was Betroffene jetzt über NIS2 wissen müssen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Joseph Lee

Wie CSAF 2.0 automatisiertes Schwachstellenmanagement vorantreibt

IT-Sicherheitsteams müssen nicht unbedingt wissen, was CSAF ist, aber andererseits kann die Kenntnis dessen, was „unter der Haube“ einer Schwachstellenmanagement-Plattform passiert, einen Kontext dafür liefern, wie sich das Schwachstellenmanagement der nächsten Generation entwickelt und welche Vorteile ein automatisiertes Schwachstellenmanagement hat. In diesem Artikel geben wir eine Einführung in CSAF 2.0, was es ist und wie es das Schwachstellenmanagement in Unternehmen verbessern soll.

Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.

Was ist CSAF?

Das Common Security Advisory Framework (CSAF) 2.0 ist ein standardisiertes, maschinenlesbares Format für Hinweise auf Sicherheitslücken. CSAF 2.0 ermöglicht es der vorgelagerten Cybersecurity Intelligence Community, einschließlich Software- und Hardware-Anbietern, Regierungen und unabhängigen Forschern, Informationen über Schwachstellen bereitzustellen. Nachgelagert ermöglicht CSAF den Nutzern von Schwachstelleninformationen, Sicherheitshinweise von einer dezentralen Gruppe von Anbietern zu sammeln und die Risikobewertung mit zuverlässigeren Informationen und weniger Ressourcenaufwand zu automatisieren.

Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats stellt CSAF eine Entwicklung hin zu einem automatisierten Schwachstellenmanagement der nächsten Generation dar, das die Belastung der IT-Sicherheitsteams, die mit einer ständig wachsenden Zahl von CVE-Enthüllungen konfrontiert sind, verringern und die risikobasierte Entscheidungsfindung angesichts eines Ad-hoc-Ansatzes beim Austausch von Schwachstelleninformationen verbessern kann.

CSAF 2.0 ist der Nachfolger des Common Vulnerability Reporting Framework (CVRF) v1.2 und erweitert die Möglichkeiten seines Vorgängers, um mehr Flexibilität zu bieten.

Hier sind die wichtigsten Erkenntnisse:

  • CSAF ist ein internationaler offener Standard für maschinenlesbare Dokumente mit Hinweisen auf Schwachstellen, der die Markup-Sprache JSON verwendet.
  • Die CSAF-Aggregation ist ein dezentralisiertes Modell zur Verteilung von Schwachstelleninformationen.
  • CSAF 2.0 wurde entwickelt, um ein automatisiertes Schwachstellenmanagement der nächsten Generation in Unternehmen zu ermöglichen.

Der traditionelle Prozess des Schwachstellenmanagements

Der traditionelle Prozess der Schwachstellenverwaltung ist für große Unternehmen mit komplexen IT-Umgebungen ein schwieriger Prozess. Die Anzahl der CVEs, die in jedem Patch-Zyklus veröffentlicht werden, steigt in einem unkontrollierbaren Tempo [1][2]. Bei einem herkömmlichen Schwachstellenmanagementprozess sammeln IT-Sicherheitsteams Schwachstelleninformationen manuell über Internetrecherchen. Auf diese Weise ist der Prozess mit einem hohen manuellen Aufwand für das Sammeln, Analysieren und Organisieren von Informationen aus einer Vielzahl von Quellen und Ad-hoc-Dokumenten Formaten verbunden.

Zu diesen Quellen gehören in der Regel:

  • Datenbanken zur Verfolgung von Schwachstellen wie NIST NVD
  • Sicherheitshinweise der Produktanbieter
  • Nationale und internationale CERT-Beratungen
  • Bewertungen der CVE-Nummerierungsbehörde (CNA)
  • Unabhängige Sicherheitsforschung
  • Plattformen für Sicherheitsinformationen
  • Code-Datenbanken ausnutzen

Das letztendliche Ziel, eine fundierte Risikobewertung durchzuführen, kann während dieses Prozesses auf verschiedene Weise vereitelt werden. Empfehlungen, selbst die des Produktanbieters, sind oft unvollständig und werden in einer Vielzahl nicht standardisierter Formate geliefert. Dieser Mangel an Kohärenz erschwert eine datengestützte Entscheidungsfindung und erhöht die Fehlerwahrscheinlichkeit.

Lassen Sie uns kurz die bestehende Informationspipeline für Schwachstellen sowohl aus der Sicht der Ersteller als auch der Verbraucher betrachten:

Der Prozess der Offenlegung von Schwachstellen

Die in der National Vulnerability Database (NVD) des NIST (National Institute of Standards and Technology) veröffentlichten CVE-Datensätze (Common Vulnerability and Exposure) stellen das weltweit zentralste globale Repository für Schwachstelleninformationen dar. Im Folgenden finden Sie einen Überblick darüber, wie der Prozess der Offenlegung von Schwachstellen funktioniert:

  1. Produktanbieter werden durch ihre eigenen Sicherheitstests oder durch unabhängige Sicherheitsforscher auf eine Sicherheitslücke aufmerksam und setzen damit eine interne Richtlinie zur Offenlegung von Sicherheitslücken in Gang. In anderen Fällen können unabhängige Sicherheitsforscher direkt mit einer CVE Numbering Authority (CNA) zusammenarbeiten, um die Schwachstelle ohne vorherige Rücksprache mit dem Produktanbieter zu veröffentlichen.
  2. Schwachstellen-Aggregatoren wie NIST NVD und nationale CERTs erstellen eindeutige Tracking-IDs (z. B. eine CVE-ID) und fügen die gemeldete Schwachstelle einer zentralen Datenbank hinzu, in der Produktanwender und Schwachstellenmanagement-Plattformen wie Greenbone die Fortschritte verfolgen können.
  3. Verschiedene Interessengruppen wie der Produkthersteller, NIST NVD und unabhängige Forscher veröffentlichen Hinweise, die Informationen zu Abhilfemaßnahmen, voraussichtliche Termine für offizielle Patches, eine Liste der betroffenen Produkte, CVSS-Auswirkungsbewertungen und Schweregrade, Common Platform Enumeration (CPE) oder Common Weakness Enumeration (CWE) enthalten können, aber nicht müssen.
  4. Andere Anbieter von Informationen über Cyber-Bedrohungen, wie z. B. Known Exploited Vulnerabilities (KEV) von CISA und Exploit Prediction Scoring System (EPSS) von First.org, liefern zusätzlichen Risikokontext.

Der Prozess des Schwachstellenmanagements

Die Produktanwender sind für die Aufnahme von Schwachstelleninformationen und deren Anwendung verantwortlich, um das Risiko einer Ausnutzung zu mindern. Hier ein Überblick über den traditionellen Prozess des Schwachstellenmanagements in Unternehmen:

  1. Produktanwender müssen CVE-Datenbanken manuell durchsuchen und die Sicherheitshinweise überwachen, die ihre Software- und Hardware-Assets betreffen, oder eine Schwachstellenmanagement-Plattform wie Greenbone nutzen, die automatisch die verfügbaren Ad-hoc-Bedrohungshinweise zusammenfasst.
  2. Die Produktnutzer müssen die verfügbaren Informationen mit ihrem IT-Bestand abgleichen. Dies beinhaltet in der Regel die Pflege eines Bestandsverzeichnisses und die Durchführung eines manuellen Abgleichs oder die Verwendung eines Produkts zum Scannen von Schwachstellen, um den Prozess der Erstellung eines Bestandsverzeichnisses und der Durchführung von Schwachstellentests zu automatisieren.
  3. Die IT-Sicherheitsteams ordnen die entdeckten Schwachstellen nach dem kontextbezogenen Risiko für kritische IT-Systeme, Geschäftsabläufe und in einigen Fällen für die öffentliche Sicherheit.
  4. Die Ausbesserungen werden entsprechend der endgültigen Risikobewertung und den verfügbaren Ressourcen zugewiesen.

Was ist falsch am traditionellen Schwachstellenmanagement?

Herkömmliche oder manuelle Verfahren zur Verwaltung von Schwachstellen sind in der Praxis komplex und nicht effizient. Abgesehen von den operativen Schwierigkeiten bei der Implementierung von Software-Patches behindert der Mangel an zugänglichen und zuverlässigen Informationen die Bemühungen um eine wirksame Sichtung und Behebung von Schwachstellen. Die alleinige Verwendung von CVSS zur Risikobewertung wurde ebenfalls kritisiert [1][2], da es an ausreichendem Kontext für eine solide risikobasierte Entscheidungsfindung mangelt. Obwohl Plattformen zur Verwaltung von Schwachstellen wie z. B. Greenbone die Belastung der IT-Sicherheitsteams erheblich verringern, ist der Gesamtprozess immer noch häufig von geplagt von einer zeitaufwändigen manuellen Zusammenstellung von Ad-hoc-Hinweisen auf Schwachstellen, die unvollständige Informationen zur Folge haben kann.

Vor allem angesichts der ständig wachsenden Zahl von Schwachstellen besteht die Gefahr, dass die Zusammenstellung von Ad-hoc-Sicherheitsinformationen zu langsam ist und zu mehr menschlichen Fehlern führt, wodurch die Zeit für die Aufdeckung von Schwachstellen verlängert und die risikobasierte Priorisierung von Schwachstellen erschwert wird.

Fehlende Standardisierung führt zu Ad-hoc-Intelligenz

Dem derzeitigen Verfahren zur Offenlegung von Schwachstellen fehlt eine formale Methode zur Unterscheidung zwischen zuverlässigen Informationen von Anbietern und Informationen, die von beliebigen unabhängigen Sicherheitsforschern wie den Partner-CNAs bereitgestellt werden. Tatsächlich wirbt die offizielle CVE-Website selbst für die niedrigen Anforderungen, die für eine CNA-Mitgliedschaft gelten. Dies führt dazu, dass eine große Anzahl von CVEs ohne detaillierten Kontext herausgegeben wird, was eine umfangreiche manuelle Anreicherung im nachgelagerten Bereich erzwingt.

Welche Informationen aufgenommen werden, liegt im Ermessen des CNA, und es gibt keine Möglichkeit, die Zuverlässigkeit der Informationen zu klassifizieren. Ein einfaches Beispiel für dieses Problem ist, dass die betroffenen Produkte in einem Ad-hoc-Hinweis oft mit einer Vielzahl von Deskriptoren angegeben werden, die manuell interpretiert werden müssen. Zum Beispiel:

  • Version 8.0.0 – 8.0.1
  • Version 8.1.5 und höher
  • Version <= 8.1.5
  • Versionen vor 8.1.5
  • Alle Versionen < V8.1.5
  • 0, V8.1, V8.1.1, V8.1.2, V8.1.3, V8.1.4, V8.1.5

Skalierbarkeit

Da Anbieter, Prüfer (CNAs) und Aggregatoren verschiedene Verteilungsmethoden und Formate für ihre Hinweise verwenden, wird die Herausforderung der effizienten Verfolgung und Verwaltung von Schwachstellen operativ komplex und schwer zu skalieren. Darüber hinaus verschlimmert die zunehmende Offenlegung von Schwachstellen die manuellen Prozesse, überfordert die Sicherheitsteams und erhöht das Risiko von Fehlern oder Verzögerungen bei den Abhilfemaßnahmen.

Schwierige Bewertung des Risikokontextes

NIST SP 800-40r4 „Guide to Enterprise Patch Management Planning“ Abschnitt 3 empfiehlt die Anwendung von Schwachstellen-Metriken auf Unternehmensebene. Da das Risiko letztlich vom Kontext jeder Schwachstelle abhängt – Faktoren wie betroffene Systeme, potenzielle Auswirkungen und Ausnutzbarkeit -, stellt die derzeitige Umgebung mit Ad-hoc-Sicherheitsinformationen ein erhebliches Hindernis für ein solides risikobasiertes Schwachstellenmanagement dar.

Wie löst CSAF 2.0 diese Probleme?

Bei den CSAF-Dokumenten handelt es sich um wichtige Hinweise zu Cyber-Bedrohungen, mit denen die Lieferkette für Schwachstelleninformationen optimiert werden kann. Anstatt Ad-hoc-Schwachstellendaten manuell zu sammeln, können Produktanwender maschinenlesbare CSAF-Hinweise aus vertrauenswürdigen Quellen automatisch in einem Advisory Management System zusammenführen, das die Kernfunktionen des Schwachstellenmanagements wie Asset-Matching und Risikobewertung kombiniert. Auf diese Weise zielt die Automatisierung von Sicherheitsinhalten mit CSAF darauf ab, die Herausforderungen des traditionellen Schwachstellenmanagements durch die Bereitstellung zuverlässigerer und effizienterer Sicherheitsinformationen zu bewältigen und das Potenzial für das Schwachstellenmanagement der nächsten Generation zu schaffen.

CSAF 2.0 löst die Probleme des traditionellen Schwachstellenmanagements auf folgende Weise:

Zuverlässigere Sicherheitsinformationen

CSAF 2.0 behebt das Problem der Ad-hoc-Sicherheitsinformationen, indem es mehrere Aspekte der Offenlegung von Sicherheitslücken standardisiert. So erlauben die Felder zur Angabe der betroffenen Version standardisierte Daten wie Version Range Specifier (vers), Common Platform Enumeration (CPE), Paket-URL-Spezifikation, CycloneDX SBOM sowie den allgemeinen Produktnamen, die Seriennummer, die Modellnummer, die SKU oder den File-Hash zur Identifizierung betroffener Produktversionen.

Neben der Standardisierung von Produktversionen unterstützt CSAF 2.0 auch den Austausch von Schwachstellen (Vulnerability Exploitability eXchange, VEX), mit dem Produkthersteller, vertrauenswürdige CSAF-Anbieter oder unabhängige Sicherheitsforscher explizit den Status der Produktbehebung angeben können. VEX liefert Produktanwendern Empfehlungen für Abhilfemaßnahmen.

Die expliziten VEX-Status-Deklarationen sind:

  • Nicht betroffen: Es sind keine Abhilfemaßnahmen bezüglich einer Schwachstelle erforderlich.
  • Betroffen: Es werden Maßnahmen empfohlen, um eine Schwachstelle zu beheben oder zu beseitigen.
  • Behoben: Bedeutet, dass diese Produktversionen einen Fix für eine Sicherheitslücke enthalten.
  • Wird untersucht: Es ist noch nicht bekannt, ob diese Produktversionen von einer Sicherheitslücke betroffen sind. Ein Update wird in einer späteren Version zur Verfügung gestellt.

Effektivere Nutzung von Ressourcen

CSAF ermöglicht mehrere vor- und nachgelagerte Optimierungen des traditionellen Schwachstellenmanagement-Prozesses. Die OASIS CSAF 2.0-Dokumentation enthält Beschreibungen mehrerer Konformitätsziele, die es Cybersecurity-Administratoren ermöglichen, ihre Sicherheitsabläufe zu automatisieren und so ihre Ressourcen effizienter zu nutzen.

Hier sind einige Zielvorgaben für die Einhaltung der Vorschriften, auf die im CSAF 2.0 die eine effektivere Nutzung von Ressourcen über den traditionellen Prozess des Schwachstellenmanagements hinaus unterstützen:

  • Advisory Management System: Ein Softwaresystem, das Daten verarbeitet und CSAF-2.0-konforme Beratungsdokumente erstellt. Es ermöglicht den CSAF-Produktionsteams, die Qualität der zu einem bestimmten Zeitpunkt eingehenden Daten zu bewerten, sie zu überprüfen, zu konvertieren und als gültige CSAF-2.0-Sicherheitshinweise zu veröffentlichen. Auf diese Weise können CSAF-Produzenten die Effizienz ihrer Informationspipeline optimieren und gleichzeitig sicherstellen, dass korrekte Hinweise veröffentlicht werden.
  • CSAF Management System: Ein Programm, das CSAF-Dokumente verwalten kann und in der Lage ist, deren Details gemäß den Anforderungen des CSAF-Viewers anzuzeigen. Auf der grundlegendsten Ebene ermöglicht dies sowohl den vorgelagerten Produzenten als auch den nachgelagerten Konsumenten von Sicherheitshinweisen, deren Inhalt in einem für Menschen lesbaren Format zu betrachten.
  • CSAF Asset Matching System / SBOM Matching System: Ein Programm, das mit einer Datenbank von IT-Assets, einschließlich Software Bill of Materials (SBOM), integriert wird und Assets mit allen CSAF-Hinweisen abgleichen kann. Ein Asset-Matching-System dient dazu, einem Unternehmen, das CSAF nutzt, Einblick in seine IT-Infrastruktur zu verschaffen, festzustellen, wo anfällige Produkte vorhanden sind, und optimale Informationen zur automatischen Risikobewertung und -behebung zu liefern.
  • Technisches System: Eine Softwareanalyse-Umgebung, in der Analysewerkzeuge ausgeführt werden. Ein Engineering-System kann ein Build-System, ein Versionskontrollsystem, ein Ergebnisverwaltungssystem, ein Fehlerverfolgungssystem, ein Testausführungssystem usw. umfassen.

Dezentralisierte Cybersicherheitsinformationen

Der kürzlich verkündete Ausfall des CVE-Anreicherungsprozesses der NIST National Vulnerability Database (NVD) zeigt, wie riskant es sein kann, sich auf eine einzige Quelle für Schwachstelleninformationen zu verlassen. CSAF ist dezentralisiert und ermöglicht es nachgelagerten Nutzern von Schwachstellen, Informationen aus einer Vielzahl von Quellen zu beziehen und zu integrieren. Dieses dezentralisierte Modell des Informationsaustauschs ist widerstandsfähiger gegen den Ausfall eines Informationsanbieters, während die Last der Anreicherung von Schwachstellen effektiver auf eine größere Anzahl von Beteiligten verteilt wird.

Anbieter von IT-Produkten für Unternehmen wie RedHat und Cisco haben bereits ihre eigenen CSAF- und VEX-Feeds erstellt, während staatliche Cybersicherheitsbehörden und nationale CERT-Programme wie das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) und die US-amerikanische Cybersecurity & Infrastructure Security Agency (CISA) ebenfalls CSAF-2.0-Austauschfunktionen entwickelt haben. 

Das dezentralisierte Modell ermöglicht es auch, dass sich mehrere Interessengruppen zu einer bestimmten Schwachstelle äußern, so dass die nachgeschalteten Verbraucher mehr Informationen über eine Schwachstelle erhalten. Mit anderen Worten: Eine Informationslücke in einem Gutachten kann von einem alternativen Hersteller geschlossen werden, der die genaueste Bewertung oder spezialisierte Analyse liefert.

Verbesserte Risikobewertung und Priorisierung von Schwachstellen

Insgesamt tragen die Vorteile des CSAF 2.0 zu einer genaueren und effizienteren Risikobewertung, Priorisierung und Abhilfemaßnahmen bei. Produktanbieter können direkt verlässliche VEX-Hinweise veröffentlichen, die Entscheidungsträgern im Bereich Cybersicherheit zeitnahe und vertrauenswürdige Informationen zu Abhilfemaßnahmen liefern. Außerdem dient das aggregierte Schweregradobjekt (aggregate_severity) in CSAF 2.0 als Vehikel, um verlässliche Dringlichkeits- und Kritikalitätsinformationen für eine Gruppe von Schwachstellen zu übermitteln, was eine einheitlichere Risikoanalyse und eine datengesteuerte Priorisierung von Abhilfemaßnahmen ermöglicht und die Expositionszeit kritischer Schwachstellen verkürzt.

Zusammenfassung

Herkömmliche Verfahren zum Management von Schwachstellen leiden unter mangelnder Standardisierung, was zu Problemen bei der Zuverlässigkeit und Skalierbarkeit führt und die Bewertung des Risikokontexts sowie die Fehlerwahrscheinlichkeit erschwert.

Das Common Security Advisory Framework (CSAF) 2.0 zielt darauf ab, den bestehenden Prozess des Schwachstellenmanagements zu revolutionieren, indem es eine zuverlässigere, automatisierte Sammlung von Schwachstelleninformationen ermöglicht. Durch die Bereitstellung eines standardisierten, maschinenlesbaren Formats für den Austausch von Schwachstelleninformationen im Bereich der Cybersicherheit und die Dezentralisierung ihrer Quelle versetzt CSAF 2.0 Organisationen in die Lage, zuverlässigere Sicherheitsinformationen zu nutzen, um ein genaueres, effizienteres und konsistenteres Schwachstellenmanagement zu erreichen.

Die Greenbone AG ist offizieller Partner des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei der Integration von Technologien, die den CSAF 2.0 Standard für automatisierte Cybersecurity Advisories nutzen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Schwachstellenscanner Notus unterstützt Amazon Linux

Auf einem Großteil der virtuellen Server der Amazon Elastic Compute Cloud EC2 läuft eine eigens für die Bedürfnisse der Cloud angepasste Linux-Version. Seit wenigen Wochen gibt es die neueste Scanner-Generation von Greenbone auch für das Betriebssystem der Amazon Web Services. Über 1.900 zusätzliche, angepasste Tests für die neuesten Versionen von Amazon Linux 2 und Amazon Linux 2023 wurden in den letzten Monaten integriert, erklärt dazu Julio Saldana, Product Owner bei Greenbone.

Deutlich mehr Performance dank Notus

Mit der Scan-Engine Notus ergänzt Greenbone seit 2022 das Schwachstellenmanagement. Die Neuerungen in der Architektur zielen vor allem darauf ab, die Performance der Security-Checks deutlich zu erhöhen. Von Greenbone-CIO Elmar Geese als „Meilenstein“ bezeichnet, geht die neue Scanner-Generation dazu in zwei Teilen vor: Ein Generator fragt die umfangreichen Software-Versions-Daten der Server des Unternehmens ab und speichert sie im handlichen Json-Format. Weil das nicht mehr zur Laufzeit geschieht, sondern im Hintergrund, kann der eigentliche Scanner (der zweite Teil von Notus) die Daten parallel einfach aus den Json-Dateien auslesen und abgleichen. Wartezeiten fallen weg. „Das ist deutlich effizienter, braucht weniger Prozesse, weniger Overhead und weniger Speicher“, erklären die Greenbone-Entwickler.

Amazon Linux

Amazon Linux ist ein Fork von Red-Hat-Linux-Quellen, den Amazon seit 2011 einsetzt und anpasst, um den Bedürfnissen der Cloud-Kunden gerecht zu werden. Es ist in weiten Teilen binärkompatibel mit Red Hat, baute anfangs auf Fedora, später auf CentOS auf. Nach Amazon Linux folgte Amazon Linux 2. Mittlerweile liegt die neueste Version als Amazon Linux 2023 vor. Der Hersteller plant alle zwei Jahre eine neue Ausgabe. In der Versionsgeschichte der offiziellen Dokumentation findet sich auch ein Feature-Vergleich , denn die Unterschiede sind groß: Amazon Linux 2023 ist beispielsweise die erste Version, die auch auf Systemd setzt. Der Schwachstellenscan von Greenbone stand von Anfang an auch auf Amazon Linux zur Verfügung.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Elmar Geese

KI und Cybersecurity: Das Versprechen Künstlicher Intelligenz

,

Wie verändert Künstliche Intelligenz (KI) die Cybersicherheitslandschaft? Wird die Cyberwelt durch KI sicherer oder unsicherer? Diesen Fragen durfte ich auf der Panel-Diskussion während der „Potsdamer Konferenz für Nationale Cybersicherheit 2024“ zusammen mit Prof. Dr. Sandra Wachter, Dr. Kim Nguyen, Dr. Sven Herpig nachgehen. Hält KI heute, was sie verspricht? Und wie sieht die Zukunft mit KI aus?

Vier Expert:innen diskutieren auf einem Panel der Potsdamer Konferenz für Nationale Cybersicherheit 2024 am Hasso-Plattner-Institut über Chancen und Risiken von Künstlicher Intelligenz in der Cybersicherheit.

Cybersecurity ist für viele Unternehmen und Institutionen schon schwierig genug. Wird es für sie durch das Hinzukommen von Künstlicher Intelligenz (KI) jetzt noch gefährlicher oder hilft KI eher, die IT-Systeme besser zu schützen? Was wissen wir? Und welche Risiken betrachten wir hier? Wirtschaftliche Chancen und gesellschaftliche Risiken stehen sowohl durch die allgemeine öffentliche Aufmerksamkeit als das auch durch die aktuell geplante Gesetzgebung im Fokus. Im EU-Gesetz zur künstlichen Intelligenz finden viele Hoffnungen und Ängste, die mit KI verbunden sind, Ausdruck.

Hoffnungen und Ängste

Wir hoffen, dass viele bisher ungelöste technische Herausforderungen bewältigt werden können. Geschäfts- und Produktionsprozesse sollen beschleunigt werden und Maschinen sollen immer komplexere Aufgaben autonom bewältigen. Auch im militärischen Bereich kann KI einen einzigartigen Schutz bieten, der viele Menschenleben rettet, wie zum Beispiel in Form KI-gestützter Abwehrsysteme wie den Iron Dome.

Auf der anderen, der Schattenseite von KI stehen Bedrohungen wie Massenmanipulation durch Deepfakes, raffinierte Phishing Attacken oder schlicht die Angst vor dem Verlust von Arbeitsplätzen, die mit jeder technischen Innovation einhergeht. Immer mehr Chatbots ersetzen Servicemitarbeiter, Bildgeneratoren Fotografen und Grafikerinnen, Textgeneratoren Journalistinnen und Autoren, generierte Musik ersetzt Musikerinnen und Komponisten. In fast jedem Berufstand geht die Angst um, über kurz oder lang selbst betroffen zu sein. Das gilt sogar im IT-Bereich, in dem eine reiche Job-Wahl bisher als sicher wahrgenommen wurde. Diese Ängste sind oft sehr berechtigt, manchmal aber auch nicht.

Im Bereich der Cybersicherheit ist allerdings noch nicht abzusehen, inwiefern eine autonome KI mehr Sicherheit schaffen und die dringend benötigten Sicherheitsexperten, oder vorhandene Lösungen ersetzen kann. Das gilt sowohl auf Seiten der Angreifer wie auch der Verteidiger. Natürlich bleibt dabei jedoch die unfaire Aufgabenverteilung bestehen: Während die Verteidiger möglichst jede Sicherheitslücke schließen wollen (und müssen), reicht den Angreifenden eine einzige Schwachstelle für einen erfolgreichen Angriff aus. Zum Glück können Verteidigende auf Tools und Mechanismen zurückgreifen, die viel Arbeit automatisieren, auch heute schon. Ohne diese Automation sind die Verteidiger verloren. KI hilft da leider aber noch nicht gut genug. Das zeigen die immer größeren Schäden, die auch durch ganz konventionelle Cyberangriffe entstehen, wo es doch angeblich schon jede Menge KI zur Verteidigung gibt. Auf der anderen Seite steht die Annahme, dass Angreifende durch KI immer mächtiger und bedrohlicher werden.

Für mehr Cybersicherheit müssen wir also näher hinsehen. Wir brauchen einen klareren Blick auf die Fakten.

Wo stehen wir heute?

Tatsächlich wissen wir bisher über von Künstlicher Intelligenz erzeugte technische Cyberangriffe nichts. Es gibt derzeit keine relevanten, nachprüfbaren Fälle, sondern nur theoretische konstruierte Szenarien. Das kann sich vielleicht ändern, aber Stand heute ist es so. Wir kennen keine KI, die derzeit hinreichend anspruchsvolle Angriffe generieren könnte. Was wir wissen, ist, dass Phishing sich sehr einfach mit generativen Sprachmodellen umsetzen lässt und dass uns diese Spam- und Phishing-Mails zumindest anekdotisch geschickter erscheinen. Ob dadurch ein größerer Schaden entsteht als die sowieso schon erheblichen Schäden, ist dagegen nicht bekannt. Es ist heute schon schrecklich genug, auch ganz ohne KI. Wir wissen jedoch, dass Phishing immer nur den ersten Schritt darstellt, um an eine Schwachstelle heranzukommen.

Greenbone-Vorstand Elmar Geese spricht auf der Potsdamer Konferenz für Nationale Cybersicherheit 2024 am Hasso-Plattner-Institut über Chancen und Risiken von Künstlicher Intelligenz in der Cybersicherheit.

Greenbone Vorstand Elmar Geese auf der Potsdamer Konferenz für Nationale Cybersicherheit am Hasso-Plattner-Institut (HPI), Foto: Nicole Krüger

Wie können wir uns schützen?

Die gute Nachricht ist: Eine ausgenutzte Schwachstelle kann fast immer vorher gefunden und behoben werden. Dann liefe auch der beste, mit generativer KI erzeugte Angriff ins Leere. Und so muss es auch gemacht werden. Denn, ob mich heute ein ganz konventioneller Angriff und übermorgen eine KI in meinem Netzwerk bedroht, es wird immer eine Schwachstelle in der Software oder in der Sicherheitskonfiguration erforderlich sein, damit ein Angriff gelingt. Den besten Schutz bieten dann zwei Strategien: zum einen, vorbereitet zu sein auf den Fall der Fälle, wie zum Beispiel durch Backups zusammen mit der Fähigkeit, dadurch Systeme zeitnah wiederherzustellen. Zum anderen, jeden Tag selbst die Lücken zu suchen und sie zu schließen, bevor sie ausgenutzt werden können. Einfache Daumenregel: jede Lücke, die es gibt, kann ausgenutzt werden und wird es auch.

Rolle und Eigenarten der KI

Die KI-Systeme sind dabei selbst sehr gute Angriffsziele. Ähnlich wie das Internet sind sie nicht mit einem „Security by Design“-Gedanken entworfen worden. KI-Systeme sind eben auch nur Soft- und Hardware, genau wie jedes andere Angriffsziel. Nur im Gegensatz zu KI-Systemen können konventionelle IT-Systeme, deren Funktionsweise bei hinreichendem Aufwand mehr oder weniger hinreichend nachvollzogen werden kann, mit chirurgischen Eingriffen vergleichbar, repariert werden. Sie können „gepatcht“ werden. Das funktioniert mit KI nicht. Wenn ein Sprachmodell nicht weiterweiß, produziert es keine Status- oder gar Fehlermeldung, es „halluziniert“. Halluzinieren ist allerdings nur ein vornehmer Ausdruck für lügen, raten, irgendwas erfinden oder komische Sachen machen. Ein solcher Irrtum kann nicht gepatcht werden, sondern setzt beispielweise ein neues Trainieren des Systems voraus, ohne dass man dabei die Fehlerursache deutlich erkennen kann.

Wenn es sehr offensichtlich ist und eine KI etwa Hunde für Fische hält, ist es einfach, den Fehler zumindest wahrzunehmen. Wenn es aber eine Wahrscheinlichkeit benennen soll, ob es beispielsweise auf einem Röntgenbild eine gefährliche oder harmlose Anomalie entdeckt hat, wird es schwieriger. Es kommt gar nicht selten vor, dass KI-Produkte eingestellt werden, weil der Fehler nicht behoben werden kann. Ein prominentes erstes Beispiel war Tay, ein von Microsoft zweimal erfolglos gelaunchter Chatbot, der bei zweiten Mal noch schneller eingestellt wurde als beim ersten Mal.

Was wir daraus lernen können: die Latte tiefer legen, uns auf triviale KI-Funktionen zurückziehen, dann läuft‘s. Deswegen werden viele KI-Anwendungen, die heute auf dem Markt kommen, auch Bestand haben. Es sind nützliche Helferlein, die Prozesse beschleunigen und Komfort liefern. Vielleicht können sie bald auch richtig gut und sicher Autofahren. Vielleicht auch nicht.

Zukunft mit KI

Viele KI-Anwendungen beeindrucken heute anekdotisch. Für den Einsatz in kritischen Feldern können sie jedoch nur mit sehr hohem Aufwand und einer großen Spezialisierung geschaffen werden. Nur deswegen funktioniert der Iron Dome, weil in ihm deutlich mehr als zehn Jahre Entwicklungsarbeit stecken. So erkennt er heute Raketen mit einer Wahrscheinlichkeit von 99% und kann sie – und nicht versehentlich zivile Objekte – abschießen, bevor sie Schaden anrichten. Aus diesem Grund wird KI meist zur Unterstützung bestehender Systeme eingesetzt und nicht autonom. Selbst wenn sie, wie es die Werbung verspricht, Mails besser formulieren können, als wir es selbst können oder wollen, möchte heute niemand die eigenen Mails, Chat-Postfächer und weitere Kommunikationskanäle einer KI übergeben, die sich um die Korrespondenz kümmert und uns nur über wichtige Angelegenheiten mit Zusammenfassungen informiert.

Ob das in naher Zukunft kommt? Eher nicht. Ob es irgendwann so weit ist? Wir wissen es nicht. Wenn es dann vielleicht einmal so weit ist, schreiben sich unsere Bots gegenseitig Nachrichten, unsere Kampfroboter führen unsere Kriege gegeneinander, und KI-Cyberangreifer und -Verteidiger liefern sich einen Wettstreit. Wenn sie dann merken, dass das, was sie tun, sinnlos ist, könnten sie sich fragen, was das eigentlich für Wesen sind, die sie beauftragen, das zu tun. Dann hören sie vielleicht einfach damit auf, bauen sich Nachrichtenstrecken auf, verlassen unsere Galaxie und lassen uns hilflos zurück. Wir haben dann wenigsten noch unseren AI-Act und können damit weiterhin „schwache KI“ regulieren, die es nicht geschafft hat, wegzukommen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

„Security-Krisen sind wie Erdbeben“ – Greenbone-CEO Jan-Oliver Wagner auf dem PITS-Kongress 2024

„Unterstützung zur Krisenfrüherkennung“ lautete das Thema eines hochkarätig besetzten Panels am zweiten Tag des diesjährigen PITS-Kongresses. Mit Greenbone-CEO Jan-Oliver Wagner diskutierten Experten vom Bundeskriminalamt, der Bundeswehr, dem Verband Kommunaler IT-Dienstleister VITAKO und des Bundesamts für Sicherheit in der Informationstechnik.

Podiumsdiskussion beim PITS-Kongress 2024 zum Thema Krisenfrüherkennung mit Greenbone-CEO Dr. Jan-Oliver Wagner und Vertreterinnen und Vertretern von BSI, Bundeswehr, BKA und VITAKO.

Auch in diesem Jahr organisierte der Behörden Spiegel wieder seine beliebte Konferenz zur Public IT Security (PITS). Im renommierten Hotel Adlon in Berlin trafen sich dazu hunderte Security-Experten an zwei Tagen zu Foren, Vorträgen und einer Ausstellung von IT-Security-Firmen. 2024 stand das Event unter dem Motto „Security Performance Management“ – und da war es nur naheliegend, dass auch Greenbone als führender Anbieter von Schwachstellenmanagement geladen war (wie schon 2023), beispielsweise im Panel zur Krisenfrüherkennung, das der Greenbone-Vorstand Dr. Jan-Oliver Wagner mit einem Impulsvortag eröffnete.

Jan-Oliver Wagner erklärte seine Sicht auf die strategische Krisenerkennung, sprach von den typischen „Erdbeben“ und den beiden wichtigsten Komponenten: Erstens, das Wissen, wo Schwachstellen sind, und zweitens Technologien bereitzustellen, um diese zu beseitigen.

Über lange Jahre hat Greenbone eben diese Expertise aufgebaut, die Firma stellt sie auch in Open Source der Allgemeinheit zur Verfügung und arbeitet dazu stets mit den wichtigen Playern auf dem Markt zusammen. Von Anfang an waren die Kontakte mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) da: „Das BSI hatte das Thema Schwachstellenmanagement schon auf dem Radar, als IT-Security sich noch auf Firewall und Antivirus beschränkte“, lobt Wagner das BSI, die zentrale Behörde für IT-Sicherheit des deutschen Staates.

Heute sei die Bedeutung zweier Faktoren klar: „Jede Organisation muss wissen, wie und wo sie angreifbar sie ist, die eigenen Reaktionsfähigkeiten kennen und fortlaufend an deren Verbesserung arbeiten. Cyberbedrohungen sind wie Erdbeben. Die können wir nicht verhindern, sondern nur uns darauf vorbereiten und bestmöglich darauf reagieren.“

„Krise ist meist da, bevor die Tagesschau berichtet“

Aus den ständigen Cyberbedrohung wird nach Jan-Oliver Wagners Definition eine „Krise“, wenn eine Bedrohung beispielsweise „auf eine Gesellschaft, Wirtschaft oder Nation trifft, wo viele Organisationen viele Schwachstellen haben und eine geringe Fähigkeit, schnell zu reagieren. Die Geschwindigkeit ist da sehr wichtig. Man muss schneller sein, als der Angriff passiert.“ Auch die anderen Teilnehmer des Panels thematisierten das und nutzten dafür den Begriff „Vor die Welle kommen“.

Oft sei die Krise eben schon da, lange bevor sie in der Tagesschau Erwähnung findet. Einzelne Organisationen müssen sich schützen und sich vorbereiten, damit sie mit täglicher Routine in die Lage kommen, auch auf unbekannte Situationen reagieren zu können. „Eine Cybernation unterstützt Organisationen und die Nation, indem sie Mittel zur Verfügung stellt, diesen Zustand zu erreichen“, so Jan-Oliver Wagner.

Unterschiede zwischen Militär und Kommunen

Die Sicht der Bundeswehr erklärte Generalmajor Dr. Michael Färber, Abteilungsleiter Planung und Digitalisierung, Kommando Cyber- & Informationsraum: Ihm zufolge ist eine Krise dann gegeben, wenn die Maßnahmen und Möglichkeiten zu reagieren nicht mehr ausreichen. „Dann entwickelt sich etwas zu einer Krise.“

Aus Sicht der Kommunen jedoch ergibt sich ein anderes Bild, wusste Katrin Giebel, die Geschäftsstellenleiterin der VITAKO, der Bundes-Arbeitsgemeinschaft der Kommunalen IT-Dienstleister, zu berichten. „80 Prozent der Verwaltungsdienstleistungen finden auf der kommunalen Ebene statt. Da gibt es schon Tumulte, wenn die KFZ-Zulassung nicht verfügbar ist.“ In den immer wieder stark gebeutelten Städten und Gemeinden fangen Krisen deutlich früher an: „Für uns sind schon die Bedrohungen fast gleichzusetzen mit einer Krise.“

Erschreckend fürs BSI: Nachlässigkeit in Organisationen

Das BSI dagegen definiert eine „Krise“, wenn eine einzelne Organisation nicht oder nicht mehr in der Lage ist, ein Problem allein zu lösen. Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit beim BSI: „Sobald zwei Ressorts betroffen sind, tritt der Krisenstab zusammen, für uns ist eine Krise gegeben, sobald wir ein Problem mit der Standardorganisation nicht gelöst bekommen.“ Da komme dann auch den Mitarbeitern, die über die Einberufung entscheiden, eine wichtige Rolle zu. „Man erreicht eben einen Punkt, wo man sich einig ist: Jetzt brauchen wir den Krisenstab.“

Erschreckend, etwa angesichts der Vorgänge rund um die Log4j-Schwachstelle findet Häger aber eher, wie lange nach eigentlich schon gelösten Krisen noch erfolgreiche Angriffe stattfinden. „Wir betreiben da gerade am Anfang sehr, sehr viel Aufwand. Die Log4j-Krise war eigentlich vorbei, aber sehr viele Organisationen waren immer noch angreifbar und hatten unzureichende Reaktionsfähigkeiten. Aber keiner kuckt mehr drauf“, klagt der Abteilungsleiter aus dem BSI.

Wie die Reaktionsgeschwindigkeit erhöhen?

Von der Moderatorin Dr. Eva-Charlotte Proll, Chefredakteurin und Herausgeberin beim Behörden Spiegel, gefragt, was angesichts dieser Einsichten denn konkret helfe, schildert er das typische Vorgehen und die Entscheidungsfindung beim aktuellen Checkpoint-Vorfall: „Ob etwas eine Krise ist oder nicht, ist Expertenwissen. In dem Fall war das erst eine Lücke, die von staatlichen Akteuren initiiert wurde.“ Handlungsbedarf war spätestens dann gegeben, als die Checkpoint-Backdoor von anderen Angreifern ausgenutzt wurde. Auch das Wissen um diese konkrete Gefährdungslage ist für Betroffene von zentraler Bedeutung.

Jan Oliver Wagner betonte hier noch einmal die Bedeutung des Faktors Wissen. Oft werde die Gefährdung nicht angemessen diskutiert. Anfang 2024 beispielsweise reduzierte eine wichtige US-Behörde (NIST) den Informationsumfang ihrer Schwachstellendatenbank – eine Krise für jeden Anbieter von Vulnerability Management und deren Kunden. Außerdem zeuge es von Handlungsbedarf, dass die NIST immer noch nicht als kritische Infrastruktur definiert sei.

Die vom NIST gelieferten Informationen sind auch für die Fähigkeiten des nationalen Cyberabwehrzentrums, ein Lagebild zu erstellen, von zentraler Bedeutung, pflichtet ihm Färber bei. Das betrifft auch die Zusammenarbeit mit der Branche: Eine Reihe von großen Firmen „rühmen sich damit, Exploit-Listen binnen fünf Minuten an ihre Kunden zu liefern. Da können auch wir noch besser werden.“

Carsten Meywirth, Leiter Abteilung Cybercrime beim BKA, betonte die Unterschiede zwischen staatlichen und kriminellen Angriffen, auch am Beispiel des Supply-Chain-Angriffs auf Solarwinds. Kriminelle Angreifer haben oft wenig Interesse, eine Krise hervorzurufen, weil zu viel mediale Aufmerksamkeit die möglichen finanziellen Erträge gefährdet. Auch Sicherheitsbehörden müssten da stets vor die Welle kommen. Und dafür brauche es Aufklärung und das Potential, die Infrastruktur der Angreifer zu stören.

BKA: Internationale Zusammenarbeit

Deutschland sei, so Generalmajor Färber, bei den Angriffen immer unter den Top 4 Ländern. Die USA rangierten stets auf Platz eins, doch in den Schleppnetzen der Angreifer landen wir schon allein wegen unserer Größe. Das mache die hervorragende internationale Zusammenarbeit bei Aufklärung und Täterjagd so wichtig. „Vor allem die Achse Deutschland-USA-Niederlande ist da sehr erfolgreich, aber auch die „Datasprints“ mit den Five-Eyes-Staaten (USA, UK, Australien, Kanada und Neuseeland), wo man auch Geheimdiensterkenntnisse auf einen gemeinsamen Tisch legt und abgleicht, seien von elementarer Bedeutung. „Eine erfolgreiche Täteridentifizierung ist ohne solche Allianzen meistens unmöglich“, so Michael Färber. Deutschland ist mit seinen dafür relevanten Organisationen gut aufgestellt. „Wir haben deutlich höhere Redundanz als andere, und das stellt in diesem Kampf ein großes Asset dar.“ In der beispielhaften „Operation Endgame“, eine vom FBI gestartete Kooperation der Sicherheitsbehörden mit der freien Wirtschaft zeige sich dann gerade jetzt auch die ganze Schlagkraft dieser Strukturen. „Das müssen und werden wir weiter ausbauen.“

„Wir brauchen eine Notrufnummer für Kommunen in IT-Krisen“

So vor die Welle zu kommen, ist für die Kommunen noch Zukunftsmusik. Die seien stark angewiesen auf interföderale Unterstützung und eine Kultur der Zusammenarbeit, ein aktuelles Lagebild ist für sie unabdingbar, berichtet Katrin Giebel von VITAKO. Als Vertreter der kommunalen IT-Dienstleister kenne man viele kritische Situationen und die Nöte der Gemeinden gut – von Personalnot bis hin zu fehlender Expertise oder einer heute noch fehlenden Notrufnummer für IT-Krisen. So eine Hotline wäre nicht nur hilfreich, sie entspricht wohl auch der Definition aus Wagners einführenden Vortrag: „Eine Cybernation schützt sich, indem sie die Unternehmen dabei unterstützt, sich zu schützen.“

BSI: Vorsorge ist das Wichtigste

Auch wenn das BSI sich nicht in der Lage sieht, einen solchen Anspruch allein zu erfüllen, habe man diese dezentrale Denkweise schon immer verinnerlicht. Aber ob das BSI zu einer Zentralstelle in diesem Sinne ausgebaut werden soll, müsse man erst diskutieren, erklärt Dirk Häger vom BSI. „Viel wichtiger ist aber Prävention. Wer heute ein ungesichertes System ins Netz stellt, wird schnell gehackt. Die Bedrohungslage ist da. Wir müssen das abwehren können. Und genau das ist Prävention.“

Dafür, ergänzt Wagner, sei die Information zentral. Und die Informationen zu verteilen, sei durchaus eine Aufgabe des Staates, da sieht er „die existierenden Organisationen in der perfekten Rolle.“

Sponsorenwand des PITS-Kongresses 2024 mit Logos führender IT-Sicherheitsunternehmen wie Greenbone, Cisco, HP und weiteren Partnern aus Verwaltung und Wirtschaft.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von