Schlagwortarchiv für: Schwachstellenmanagement

Markus Feilner

Neuer Schwachstellenscanner „Notus“

Die Mitarbeitenden von Greenbone entwickeln derzeit einen komplett neuen Scanner für Versionsvergleiche. Greenbones neuer Schwachstellenscanner „Notus“ soll dabei zukünftig den Abgleich von Softwareversionen, CVEs und Patches deutlich beschleunigen.

Scanner-Architektur des neuen Schwachstellenscanners

Ein großer Teil des modernen Schwachstellenmanagements besteht aus dem Vergleich von Softwareversionen. Wer herausfinden will, ob sein Server gegen eine Sicherheitslücke gefeit ist, muss wissen, welche Version einer bestimmten Software auf dieser Maschine läuft. So mag Version 1 von einer Schwachstelle betroffen sein, die in Version 2 bereits gefixt ist. Ob Schwachstellenscanner wie der neue Schwachstellenscanner „Notus“ eine Warnung ausgeben, hängt unter anderem stark vom Ergebnis dieser Vergleiche ab.

Björn Ricks, Unit Lead Services & Platforms bei Greenbone erklärt: „Derlei Aufgaben machten allein mehr als ein Drittel der Arbeit eines Scanners aus, und der von uns speziell für Versionsvergleiche optimierte Scanner soll das deutlich beschleunigen.“

Performance-Engpässe bei klassischen Scannern

Am Anfang der Arbeit eines klassischen Scanners steht ein Advisory mit einer von Fachleuten gefundenen Lücke. Mitarbeitende von Greenbone suchen dann dazu passende (betroffene) Softwareversionen und solche, die den Fehler bereits behoben haben. Diese Informationen müssen nun dem Scanner zur Verfügung gestellt werden.

„Er klappert dann die relevanten Server ab und erfasst dort laufende Software. Für den eigentlichen Scan bekommt er im Wesentlichen nur die Infos über betroffene und gefixte Pakete“, erklärt Ricks. „Beim OpenVAS-Scanner und seinen Vorläufern mussten wir in der Regel pro Versionscheck einen eigenen Prozess starten, das heißt ein separates manuell erstelltes Skript. Diese Skripte automatisch zu generieren ist aufwendig.“

JSON-Daten helfen, den Scanner zu beschleunigen

Der neue Scanner dagegen lädt nur noch die benötigten Daten aus Dateien im JSON-Format, einem einfach lesbaren Klartext-Standard. „Die Logik für die Tests steckt damit nicht mehr in den Skripten. Das hat viele Vorteile: weniger Prozesse, weniger Overhead, weniger Speicherbedarf“. Ricks hält den Ansatz für „deutlich effizienter“.

Elmar Geese, COO von Greenbone erklärt: „Unser neuer Notus-Scanner wird ein Meilenstein für unsere Nutzenden, er wird die Performance deutlich verbessern. Unsere bekannt hohe Erkennungsqualität wie auch die Performance sind zentrale Ziele unserer Produktstrategie, und der neue Scanner unterstützt das optimal.”

Das „Notus“-Projekt besteht aus zwei Teilen: einem „Notus“-Generator, der die JSON-Dateien mit den Informationen über verwundbare RPM-/Debian-Pakete erzeugt und dem „Notus“-Scanner, der diese JSON-Dateien lädt und die Informationen daraus interpretiert. Den neuen Schwachstellenscanner „Notus“ will Greenbone in den nächsten Monaten fertig stellen.

Über Greenbone und OpenVAS

Als das Entwicklungsteam des Schwachstellenscanners Nessus im Jahr 2005 beschloss, nicht mehr unter Open-Source-Lizenzen zu arbeiten und zu einem proprietären Geschäftsmodell zu wechseln, entstanden mehrere Forks von Nessus. Nur einer davon ist noch aktiv: das Open Vulnerability Assessment System (OpenVAS).

Die Gründung von Greenbone im Jahr 2008 verfolgte das Ziel, die Entwicklung von OpenVAS voranzutreiben und Anwendern professionelle Unterstützung für Schwachstellenscans bereitzustellen. Greenbone begann, die Weiterentwicklung von OpenVAS zu leiten, fügte mehrere Softwarekomponenten hinzu und verwandelte OpenVAS so in eine umfangreiche Schwachstellenmanagement-Lösung, die dennoch die Werte der freien Software in sich trägt. Die ersten Appliances kamen im Frühjahr 2010 auf den Markt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Kristin Schlosser

Vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds

Mithilfe der Greenbone-Produkte können bekannte Schwachstellen in einer IT-Infrastruktur aufgespürt werden, um sie anschließend zu beseitigen. Den Schweregrad einer Schwachstelle zu bewerten, ist ein essenzielles Hilfsmittel, um die nachfolgenden Beseitigungsmaßnahmen zu planen und zu priorisieren. CVSS bietet solch eine Bewertung nach einem Kennzahlensystem. Seit 2021 unterstützen die aktuellen Greenbone-Lösungen auch die CVSS-Versionen 3.0 und 3.1. Zur selben Zeit hat Greenbone begonnen, alle Schwachstellentests, für die eine entsprechende Bewertung verfügbar ist, mit dieser zu versehen. Seit Oktober 2021 ist diese Arbeit nun abgeschlossen und es gibt – soweit möglich – eine vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds.

Hilfreiche Schweregrad-Kennzahlen

Jeder Cyber-Angriff benötigt eine Schwachstelle, um erfolgreich zu sein. Die meisten Schwachstellen, nämlich 999 von 1.000, sind bereits seit über einem Jahr bekannt und können daher proaktiv aufgedeckt und beseitigt werden. Zur Erkennung kommt dabei ein Greenbone-Schwachstellenscanner zum Einsatz, welcher die bekannten Schwachstellen in einer IT-Infrastruktur aufspürt.

Werden Schwachstellen aufgedeckt, können sie anschließend mit den unterschiedlichsten Maßnahmen beseitigt werden. Die am dringendsten zu beseitigenden Schwachstellen sind die, die ein kritisches Risiko für das IT-System darstellen. Für die Auswahl der Maßnahmen und der Reihenfolge, wird eine Priorisierung benötigt.

Zur Priorisierung ist der Schweregrad ein essenzielles Mittel. Wie Schwachstellen aber überhaupt einen Schweregrad erhalten und wie dieser berechnet wird, schauen wir uns hier einmal genauer an.

Wie Bewertungen des Schweregrads entstehen

In der Vergangenheit entdeckten und meldeten unterschiedliche Organisationen und Security-Research-Teams Schwachstellen zur gleichen Zeit und benannten diese mit unterschiedlichen Namen. Dies führte dazu, dass die gleiche Schwachstelle von z. B. mehreren Scannern unter unterschiedlichen Namen gemeldet wurde, was die Kommunikation und den Vergleich der Ergebnisse erschwerte.

Um das zu beheben, gründete MITRE das Projekt „Common Vulnerabilities and Exposures“ (CVE). Jeder Schwachstelle erhielt als zentrale Referenz eine eindeutige Kennzeichnung, die aus dem Veröffentlichungsjahr und einer einfachen Nummer besteht. Die CVE-Datenbank wird genutzt, um Schwachstellen-Datenbanken mit anderen Systemen zu verbinden und den Vergleich von Sicherheitswerkzeugen und -diensten zu ermöglichen.

CVEs enthalten somit keine detaillierten, technischen Informationen oder Informationen bezüglich der Risiken, Auswirkungen oder Beseitigung einer Schwachstelle. In manchen Fällen ist die Version hinterlegt, in der die Schwachstelle beseitigt wurde.

Nähere Informationen zu einer Schwachstelle finden sich in der National Vulnerability Database (NVD). Die NVD – ein Datenspeicher für das Schwachstellenmanagement der US-Regierung – ergänzt die CVEs mit Informationen bezüglich der Beseitigung, den möglichen Auswirkungen, den betroffenen Produkten und auch dem Schweregrad einer Schwachstelle.

Wie berechnet sich der Schweregrad einer Schwachstelle?

Um die Bewertung von Schwachstellen zu ermöglichen, wurde das Common Vulnerability Scoring System (CVSS) entwickelt. Das CVSS ist ein Industriestandard zum Beschreiben der Schweregrade von Sicherheitsrisiken in IT-Systemen. Es wurde von der CVSS Special Interest Group (CVSS-SIG) des Forum of Incident Response and Security Teams (FIRST) entwickelt. Die neueste CVSS-Version ist 3.1.
Der CVSS-Score bewertet Schwachstellen hinsichtlicht verschiedener Kritierien, sogenannter „Metrics“: Base-Score-Metrics, Temporal-Score-Metrics und Environmental-Score-Metrics.

  • Base-Score-Metrics: Die Base-Score-Metrics stellen die grundlegenden Merkmale einer Schwachstelle dar, die unabhängig von der Zeit und der IT-Umgebung sind: Wie gut lässt sich die Schwachstelle ausnutzen und welche Auswirkungen hat dies?
  • Temporal-Score-Metrics: Die Temporal-Score-Metrics stellen Eigenschaften dar, die sich über die Zeit ändern können, aber in unterschiedlichen IT-Umgebungen gleich sind. So würde beispielsweise das Bereitstellen eines Patches durch das bereitstellende Unternehmen den Score senken.
  • Environmental-Score-Metrics: Die Environmental-Score-Metrics stellen die Merkmale dar, die für eine spezifische IT-Umgebung gelten. Relevant sind hierbei, wie gut die betroffene Organisation erfolgreiche Angriffe abfangen können oder welchen Stellenwert ein bestimmtes angreifbares System innerhalb der IT-Infrastruktur hat.

Da im Allgemeinen lediglich die Base-Score-Metrics aussagekräftig sind und dauerhaft bestimmt werden können, werden in der Regel nur diese veröffentlicht und genutzt.

CVSSv3.0/v3.1-Unterstützung seit GOS 21.04

Seit GOS 21.04, welches im April 2021 veröffentlich wurde, werden auch die Versionen 3.0 und 3.1 von CVSS unterstützt. Zwar enthalten einige CVEs – und somit auch die zugehörigen Schwachstellentests – weiterhin CVSS-Daten der Version 2, allerdings betrifft dies hauptsächlich ältere CVEs aus dem Jahr 2015 und früher, für die in der NVD noch keinen CVSS-v3.0/v3.1-Score hinterlegt sind.

Blicken wir auf die größten Änderungen, die die Versionen 3.0 und 3.1 beinhalten.

Im Vergleich zu CVSS Version 2.0 wurden in Version 3.0 zwar die Hauptgruppen der Metrics – Base, Temporal und Environmental – beibehalten, aber neue Kriterien hinzugefügt. Beispielsweise die Metrics „Scope (S)“, was angibt, ob eine Schwachstelle auch andere Bestandteile eines IT-Netzwerks beeinträchtigen kann und „User Interaction (UI)“.

Auch wurden einige bereits vorhandene Kriterien durch neuere ersetzt: so wurde „Authentication (Au)“ zu „Privileges Required (PR)“. Gemessen wird nicht mehr, wie oft sich Angreifende bei einem System authentifizieren müssen, sondern welches Zugriffslevel für einen erfolgreichen Angriff notwendig ist.

Außerdem wurden die Schweregrade feiner unterteilt. In Version 2.0 wurden die Werte von 0 bis 10 auf drei Schweregrade aufgeteilt: „Low“ (0,0 – 3,9), „Medium“ (4,9 – 6,9) und „High“ (7,0 – 10,0). Seit Version 3.0 gibt es fünf Stufen: „None“ (0,0), „Low“ (0,1 – 3,9), „Medium“ (4,0 – 6,9), „High“ (7,0 – 8,9) und „Critical“ (9,0 – 10,0).

CVSS-Version 3.1 brachte keine Änderungen an den Metrics oder den Berechnungsformeln mit sich. Stattdessen lag der Fokus darauf, herauszustellen, dass CVSS den Schweregrad einer Schwachstelle misst und nicht das Risiko, welches sie darstellt. Ein weit verbreiteter Fehler war es, den CVSS-Score als alleiniges Merkmal für das Risiko einer Schwachstelle zu sehen und keine vollumfängliche Risikobewertung vorzunehmen.

In diesem Zuge wurden die Definitionen der Metrics eindeutiger formuliert und das Glossar erweitert.

Vollständige CVSSv3.0/v3.1-Abdeckung im Feed

Mit der Unterstützung von CVSS-v3.0/v3.1 im April 2021 begann Greenbone damit, alle Schwachstellentests, denen ein CVSSv3.0/v3.1-Score in der NVD zugewiesen wurde, zu aktualisieren und mit einem CVSSv3.0/v3.1-Score zu versehen.

Dies erfolgte in täglichen Etappen von 500 – 600 Schwachstellentests. Die Aktualisierung und Umstellung wurde dabei gründlich reviewt und geprüft. Seit Oktober 2021 ist diese Arbeit nun abgeschlossen. Somit gibt es – soweit es möglich ist – eine vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Kristin Schlosser

Greenbone Security Feed beinhaltet mehr als 100.000 Schwachstellentests

Ziel des Schwachstellenmanagements ist es, alle Sicherheitslücken in einem IT-Netzwerk aufzuspüren, bevor eine angreifende Person dies tut. Der Greenbone Security Feed (GSF) liefert die Schwachstellentests (engl. Vulnerability Tests, VTs), die der Scanner der Greenbone-Lösungen zu diesem Zweck durchführt. Als Komponente des Greenbone Security Managers (GSM) und der Greenbone Cloud Services (GCS) wird er täglich aktualisiert und bietet Schutz vor den großen und bekannten Schwachstellen wie SUPERNOVA, BlueKeep und PrintNightmare.
Wir freuen uns, dass die Erfolgsgeschichte stetig wächst und wir bekannt geben können, dass unser Greenbone Security Feed seit diesem Monat mehr als 100.000 Schwachstellentests enthält!

Lassen Sie uns einen Blick auf die Geschichte des Feeds werfen.

Im Jahr 2005 beschloss die Entwicklung des Schwachstellen-Scanners Nessus, die Arbeit unter Open-Source-Lizenzen einzustellen und auf ein proprietäres Geschäftsmodell umzustellen. Zu diesem Zeitpunkt trugen Mitglieder von Intevation und DN-Systems – die beiden Unternehmen, die später Greenbone gründen sollten – bereits Entwicklungen zu Nessus bei. Im Jahr 2006 wurden als Reaktion auf die Einstellung der Open-Source-Lösung mehrere Forks von Nessus erstellt. Von diesen Forks ist nur einer weiterhin aktiv: OpenVAS, das Open Vulnerability Assessment System.

Ende 2008 wurde Greenbone gegründet, um OpenVAS voranzutreiben. Im gleichen Jahr wurden zwei weitere Unternehmen aktiv: Secpod aus Indien und Security Space aus Kanada. Beide konzentrierten sich auf die Bereitstellung von Schwachstellentests und taten sich mit Greenbone zusammen, um einen zuverlässigen und aktuellen Feed von Schwachstellentests zu erstellen.

Dies begann mit der Entfernung von Quellcode und Schwachstellentests, bei denen die Lizenz unklar oder nicht kompatibel war. Mehrere Tausend Schwachstellentests wurden eliminiert, um eine saubere Ausgangsbasis mit damals knapp 3000 Schwachstellentests zu erhalten.

Kurze Zeit später wuchs der Inhalt des Feeds schnell und stetig auf über 10.000 Schwachstellentets. 50.000 Tests enthielt der Feed dann nach etwa 8 Jahren Entwicklung im Jahr 2016. Die nächsten 50.000 folgten nun nach nur 5 weiteren Jahren und stellen den aktuellen Stand mit mehr als 100.000 Schwachstellentests dar.

Anzahl der VTs über die Zeit

Anzahl der VTs über die Zeit

Wie setzt sich der Feed überhaupt zusammen?

Interessant ist auch, wie sich diese 100.000 Schwachstellentests im Feed zusammensetzen. In unserem SecInfo-Portal können Sie ganz einfach selbst einen Blick auf alle enthaltenen Tests werfen.

Etwa die Hälfte der Tests erkennen Schwachstellen mit einer hohen Schweregradklasse – also mit einem Schweregrad zwischen 7,0 und 10,0. Weitere 40.000 Tests solche mit der Schweregradklasse „Mittel“ (Schweregrad 4,0 bis 6,9).

Verteilung der mehr als 100.000 Schwachstellentests auf die Schweregradklassen

Verteilung der VTs nach Schweregradklasse

Schwachstellen für ein und denselben Bereich werden in Familien zusammengefasst. Unter den größten Familien von Schwachstellentests finden sich vor allem solche für lokale Sicherheitskontrollen, also für authentifizierte Scans. Bei diesen wird das Ziel sowohl von außen über das Netzwerk als auch von innen mithilfe eines gültigen Nutzungslogins gescannt. Somit lassen sich mehr Details über Schwachstellen auf dem gescannten System finden. Die Schwachstellentests für solche authentifizierten Scans machen bereits über 60.000 Tests aus. So machen die VT-Familien „Fedora Local Security Checks” und “SuSE Local Security Checks” zusammen bereits fast 30.000 Schwachstellentests aus.

Anzahl der VTs der top 10 VT-Familien

Anzahl der VTs der top 10 VT-Familien

Auch weltweit bekannte Schwachstellen sind abgedeckt

Von vielen Schwachstellen bekommt die breite Masse der Bevölkerung nichts mit. Doch immer wieder schaffen es besonders bedeutsame und spektakuläre Cyber-Angriffe in die Medien – vor allem dann, wenn viele große Unternehmen oder Regierungen betroffen sind.

Greenbone reagiert sofort, wenn solche Vorfälle bekannt werden und beginnt mit der Entwicklung eines entsprechenden Schwachstellentests. Zu solchen erwähnenswerten Schwachstellen der letzten Jahre zählen dabei die Schwachstellen Heartbleed (2014), POODLE (2014), DROWN (2016), Meltdown (2018), Spectre (2018), BlueKeep (2019) und PrintNightmare (2021). Besonders in Erinnerung geblieben ist den meisten wohl auch noch der Solarwinds-Angriff in den Jahren 2019 bis 2020. Die Angreifenden hatten eine bis dahin unbekannte Schwachstelle ausgenutzt, um die bösartige Webshell „SUPERNOVA“ einzuschleusen.
Alle diese Schwachstellen können über Tests im Greenbone Security Feed aufgedeckt werden.

Auch in Zukunft arbeiten wir stetig daran, den Umfang unseres Feeds zu erweitern, um Nutzenden die Möglichkeit zu bieten, Schwachstellen frühzeitig zu erkennen und Angriffen keine Chance zu geben. Mit unseren Lösungen, die ständig aktualisiert werden, um auch die neuesten und kritischsten Schwachstellen abzudecken, können Sie also ganz beruhigt sein. Die nächsten 100.000 Schwachstellentests werden folgen – bleiben Sie gespannt!

Ziel des Schwachstellenmanagements ist es, alle Sicherheitslücken in einem IT-Netzwerk aufzuspüren, bevor eine angreifende Person dies tut. Der Greenbone Security Feed (GSF) liefert die Schwachstellentests (engl. Vulnerability Tests, VTs), die der Scanner der Greenbone-Lösungen zu diesem Zweck durchführt. Als Komponente des Greenbone Security Managers (GSM) und der Greenbone Cloud Services (GCS) wird er täglich aktualisiert und bietet Schutz vor den großen und bekannten Schwachstellen wie SUPERNOVA, BlueKeep und PrintNightmare.
Wir freuen uns, dass die Erfolgsgeschichte stetig wächst und wir bekannt geben können, dass unser Greenbone Security Feed seit diesem Monat mehr als 100.000 Schwachstellentests enthält!

Lassen Sie uns einen Blick auf die Geschichte des Feeds werfen.

Im Jahr 2005 beschloss die Entwicklung des Schwachstellen-Scanners Nessus, die Arbeit unter Open-Source-Lizenzen einzustellen und auf ein proprietäres Geschäftsmodell umzustellen. Zu diesem Zeitpunkt trugen Mitglieder von Intevation und DN-Systems – die beiden Unternehmen, die später Greenbone gründen sollten – bereits Entwicklungen zu Nessus bei. Im Jahr 2006 wurden als Reaktion auf die Einstellung der Open-Source-Lösung mehrere Forks von Nessus erstellt. Von diesen Forks ist nur einer weiterhin aktiv: OpenVAS, das Open Vulnerability Assessment System.

Ende 2008 wurde Greenbone gegründet, um OpenVAS voranzutreiben. Im gleichen Jahr wurden zwei weitere Unternehmen aktiv: Secpod aus Indien und Security Space aus Kanada. Beide konzentrierten sich auf die Bereitstellung von Schwachstellentests und taten sich mit Greenbone zusammen, um einen zuverlässigen und aktuellen Feed von Schwachstellentests zu erstellen.

Dies begann mit der Entfernung von Quellcode und Schwachstellentests, bei denen die Lizenz unklar oder nicht kompatibel war. Mehrere Tausend Schwachstellentests wurden eliminiert, um eine saubere Ausgangsbasis mit damals knapp 3000 Schwachstellentests zu erhalten.

Kurze Zeit später wuchs der Inhalt des Feeds schnell und stetig auf über 10.000 Schwachstellentets. 50.000 Tests enthielt der Feed dann nach etwa 8 Jahren Entwicklung im Jahr 2016. Die nächsten 50.000 folgten nun nach nur 5 weiteren Jahren und stellen den aktuellen Stand mit mehr als 100.000 Schwachstellentests dar.

Anzahl der VTs über die Zeit

Anzahl der VTs über die Zeit

Wie setzt sich der Feed überhaupt zusammen?

Interessant ist auch, wie sich diese 100.000 Schwachstellentests im Feed zusammensetzen. In unserem SecInfo-Portal können Sie ganz einfach selbst einen Blick auf alle enthaltenen Tests werfen.

Etwa die Hälfte der Tests erkennen Schwachstellen mit einer hohen Schweregradklasse – also mit einem Schweregrad zwischen 7,0 und 10,0. Weitere 40.000 Tests solche mit der Schweregradklasse „Mittel“ (Schweregrad 4,0 bis 6,9).

Verteilung der mehr als 100.000 Schwachstellentests auf die Schweregradklassen

Verteilung der VTs nach Schweregradklasse

Schwachstellen für ein und denselben Bereich werden in Familien zusammengefasst. Unter den größten Familien von Schwachstellentests finden sich vor allem solche für lokale Sicherheitskontrollen, also für authentifizierte Scans. Bei diesen wird das Ziel sowohl von außen über das Netzwerk als auch von innen mithilfe eines gültigen Nutzungslogins gescannt. Somit lassen sich mehr Details über Schwachstellen auf dem gescannten System finden. Die Schwachstellentests für solche authentifizierten Scans machen bereits über 60.000 Tests aus. So machen die VT-Familien „Fedora Local Security Checks” und “SuSE Local Security Checks” zusammen bereits fast 30.000 Schwachstellentests aus.

Anzahl der VTs der top 10 VT-Familien

Anzahl der VTs der top 10 VT-Familien

Auch weltweit bekannte Schwachstellen sind abgedeckt

Von vielen Schwachstellen bekommt die breite Masse der Bevölkerung nichts mit. Doch immer wieder schaffen es besonders bedeutsame und spektakuläre Cyber-Angriffe in die Medien – vor allem dann, wenn viele große Unternehmen oder Regierungen betroffen sind.

Greenbone reagiert sofort, wenn solche Vorfälle bekannt werden und beginnt mit der Entwicklung eines entsprechenden Schwachstellentests. Zu solchen erwähnenswerten Schwachstellen der letzten Jahre zählen dabei die Schwachstellen Heartbleed (2014), POODLE (2014), DROWN (2016), Meltdown (2018), Spectre (2018), BlueKeep (2019) und PrintNightmare (2021). Besonders in Erinnerung geblieben ist den meisten wohl auch noch der Solarwinds-Angriff in den Jahren 2019 bis 2020. Die Angreifenden hatten eine bis dahin unbekannte Schwachstelle ausgenutzt, um die bösartige Webshell „SUPERNOVA“ einzuschleusen.
Alle diese Schwachstellen können über Tests im Greenbone Security Feed aufgedeckt werden.

Auch in Zukunft arbeiten wir stetig daran, den Umfang unseres Feeds zu erweitern, um Nutzenden die Möglichkeit zu bieten, Schwachstellen frühzeitig zu erkennen und Angriffen keine Chance zu geben. Mit unseren Lösungen, die ständig aktualisiert werden, um auch die neuesten und kritischsten Schwachstellen abzudecken, können Sie also ganz beruhigt sein. Die nächsten 100.000 Schwachstellentests werden folgen – bleiben Sie gespannt!

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Kristin Schlosser

Greenbone OS 21.04 – Alle Neuerungen im Überblick

Ab dem 30.04.2021 ist die neueste GOS-Version – Version 21.04 – verfügbar und sie bringt wie immer viele neue Features und Verbesserungen mit sich! Was genau? Verschaffen Sie sich hier einen Überblick über alle wichtigen Neuerungen mit GOS 21.04!

Neue Hardware für unsere Midrange-Klasse

Für die Hardware-Appliances der Midrange-Klasse, welche für mittelgroße Unternehmen oder auch für Zweigstellen großer, verteilter Unternehmen genutzt werden, wurde eine neue Hardware-Generation eingeführt.

Die neue Hardware verwendet nun Festplatten vom Typ SSD statt HDD, welche 10-mal schneller, leiser und leichter sind. Außerdem steht auch mehr Festplattenspeicher zur Verfügung. Auch der Arbeitsspeicher wurde verbessert. Dieser ist nun vom Typ DDR4 statt DDR3, was ihn durch eine höhere Taktrate (3200 MHz) deutlich schneller macht. Des Weiteren steht doppelt bis viermal so viel Arbeitsspeicher zur Verfügung als vorher. Zusätzlich wurde eine neue, schnellere CPU der neuesten Generation verbaut. Auch die Ports der Appliances ändern sich: statt 6 Ports GbE-Base-TX und 2 Ports 1 GbE SFP sind nun 8 Ports GbE-Base-TX und 2 Ports 10 GbE SFP+ vorhanden.

Die Modellnamen bleiben unverändert.

Boreas-Erreichbarkeitsscanner jetzt als Standard

Der Boreas-Erreichbarkeitsscanner ist ein Host-Erreichbarkeitsscanner, der die aktiven Hosts in einem Zielnetzwerk identifiziert. Er wurde mit GOS 20.08 eingeführt, war bisher aber noch optional. Mit GOS 21.04 wurde der Boreas-Erreichbarkeitsscanner zum Standard.

Im Vergleich zum zuvor standardmäßig verwendeten Portscanner Nmap ist der Boreas-Erreichbarkeitsscanner hinsichtlich der maximalen Anzahl gleichzeitig durchgeführter Erreichbarkeitsscans nicht limitiert und damit schneller.

Der Boreas-Erreichbarkeitsscanner reduziert die Scanzeit für große Netzwerke mit einem geringen Anteil an erreichbaren Hosts deutlich. Dadurch ist es auch möglich, die ersten Scan-Ergebnisse schneller zu erhalten, unabhängig davon, wie hoch der Anteil erreichbarer Hosts im Netzwerk ist.

Übersichtlichere Ergebnisse durch neue Berichtformate

Für den Export von Berichten sind nun zwei weitere Berichtformate vorhanden, die die bisherigen Standardberichtformate ersetzen: Vulnerability Report PDF und Vulnerability Report HTML. Die Berichtformate sind klar strukturiert und übersichtlich. Spezielle zielgruppenrelevante Informationen können schnell erkannt und verstanden werden.

Die Berichtformate bieten eine Basis für benutzerdefinierte Berichte, welche für zukünftige GOS-Versionen geplant sind.

 

Neues Netzwerk-Backend für eine stabilere Verbindung

Mit GOS 21.04 wurde das Backend für die Netzwerkkonfiguration in GOS verbessert, indem der Netzwerkmodus gnm eingeführt wurde. Dies verhindert Verbindungsverluste in bestimmten Netzwerkkonfigurationen sowie Verbindungsprobleme mit SSH-Sitzungen. Außerdem muss der GSM nicht mehr neu gestartet werden, nachdem bestimmte Netzwerkeinstellungen geändert wurden.

Neue Hypervisoren für unsere virtuellen Appliances
Die offiziell unterstützten Hypervisoren für die virtuellen Appliances wurden mit GOS 21.04 geändert. Der GSM EXA/PETA/TERA/DECA und 25V kann mit Microsoft Hyper-V, VMware vSphere Hypervisor (ESXi) und Huawei FusionCompute verwendet werden, der GSM CENO mit Microsoft Hyper-V und VMware vSphere Hypervisor (ESXi) und der GSM ONE mit Oracle VirtualBox, VMware Workstation Pro und VMware Workstation Player. Zusätzlich unterstützt GOS 21.04 den ARM-Befehlssatz auf Huawei FusionCompute.

Verbesserung des Webservers, der Ciphers und der Web-Zertifikate

Mit GOS 21.04 wird zusätzlich zum Greenbone Security Assistant Daemon (gsad) der Webserver nginx verwendet. Dieser nutzt OpenSSL anstelle von GnuTLS zur Definition der verfügbaren Ciphers und Protokolle des Servers. Für die Konfiguration der TLS-Version gibt es nun im GOS-Administrationsmenü ein neues Menü. Außerdem wurde das Menü zum Konfigurieren der Ciphers angepasst.

Eine weitere Änderung findet sich bei der Generierung von HTTPS-Zertifikaten. Hier ist es nun möglich, einen oder mehrere Subject Alternative Name(s) (SAN) zu definieren. Diese dienen dazu, mehrere Domainnamen und IP-Adressen durch ein Zertifikat abzudecken.

Unterstützung von CVSS v3.0/v3.1 zur Schweregradberechnung

Für die Berechnung der Schweregrade von CVEs (Common Vulnerability Enumeration) wird nun auch Version 3.0 und 3.1 von CVSS unterstützt.

NVTs und CVEs können CVSS-Daten der Version 2 und/oder der Version 3.0/3.1 enthalten. Wenn ein/e NVT/CVE sowohl CVSS-v2-Daten als auch CVSS-v3.0/v3.1-Daten enthält, werden immer die CVSS-v3.0/v3.1-Daten verwendet und angezeigt.

Die Seite CVSS-Rechner enthält nun sowohl einen Rechner für CVSS v2 als auch einen Rechner für CVSS v3.0/v3.1.

Open Scanner Protocol macht alle Sensor-GSMs leichtgewichtig

Bereits mit GOS 20.08 war es optional für alle Sensoren möglich, diese über das Open Scanner Protocol (OSP) steuern zu lassen. Dies führt dazu, dass die Sensoren leichtgewichtig werden und vermeidet, dass zusätzliche Anmeldedaten auf dem Sensor benötigt werden.

Mit GOS 21.04 wird nun nur noch OSP als Protokoll genutzt, um einen Sensor-GSM über einen Master-GSM zu steuern. Das Greenbone Management Protocol (GMP) wird nicht mehr verwendet.

Vereinfachte und intuitivere Funktionen auf der Web-Oberfläche

Mit GOS 21.04 wurden zudem einige kleinere Änderungen an GOS und an der Web-Oberfläche vorgenommen, um die Bedienung des GSM und das Scannen übersichtlicher und intuitiver zu machen.

So wurden die Auto-FP-Funktion und die alternativen Schweregradklassen-Schemata – BSI Schwachstellenampel und PCI-DSS – entfernt.

Einige Geräte – insbesondere IoT-Geräte – können abstürzen, wenn sie über mehrere IP-Adressen gleichzeitig gescannt werden. Dies kann zum Beispiel passieren, wenn das Gerät über IPv4 und IPv6 verbunden ist. Mit GOS 21.04 ist es möglich, das Scannen über mehrere IP-Adressen gleichzeitig zu vermeiden, indem beim Anlegen eines Ziels die neue Einstellung Erlaube das gleichzeitige Scannen über verschiedene IPs verwendet wird.

Sehen Sie selbst!

Überzeugen Sie sich selbst von unseren neuen Features und Änderungen! Ab sofort sind neue Appliances mit GOS 21.04 erhältlich und auch bestehende Appliances können auf die neueste Version aktualisiert werden. Auch unsere kostenlose Testversion ist mit GOS 21.04 verwendbar.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Elmar Geese

Neue BSI-Empfehlungen zu Windows 10 im Greenbone Security Feed

SiSyPHuS Win10 ist ein Projekt des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Auf Basis einer Analyse der sicherheitskritischen Funktionen im Betriebssystem Microsoft Windows 10, wurden Handlungsempfehlungen zu dessen Härtung entwickelt. Diese Empfehlungen sind jetzt auch in Form einer Compliance-Richtlinie Bestandteil des Greenbone Security Feeds und können für Greenbone-Kunden komfortabel direkt mit den Greenbone-Appliances geprüft werden.

Die Maßnahmen beinhalten unter Anderem Konfigurationsempfehlungen, Kennwortrichtlinien, Verschlüsselungsvorgaben und natürlich Aktualisierungen. Sie helfen dabei, Windows-10-Systeme deutlich sicherer zu machen. Durch die Integration der Compliance-Richtlinie in den Greenbone Security Feed, sind die Maßnahmen einfach in die Prüfroutinen des Greenbone-Schwachstellenmanagements integrierbar.

Weitere Informationen finden Sie hier.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Elmar Geese

Greenbone OS 21.04 – Noch schneller, zuverlässiger und übersichtlicher

Wir freuen uns Ihnen mitteilen zu dürfen, dass ab dem 30.04.2021 die neueste Version unseres Betriebssystems Greenbone OS verfügbar ist! Dabei haben wir viele Ihrer Wünsche berücksichtigt: Im Fokus der Verbesserung stand das Scannen großer Netzwerke mit vielen Scanergebnissen und umfangreichen Berichten. GOS 21.04 bietet unter anderem eine neue Hardware, eine Verbesserung der Hosterkennung und übersichtlichere Berichte.

Unseren Kunden das beste Schwachstellenmanagement zu liefern – dieses Ziel steht schon immer bei unseren Produkten im Mittelpunkt. Mit dem neuen Release unseres Betriebssystems Greenbone OS bleiben wir diesem Anspruch treu und machen unsere Produkte nach leistungsfähiger: besonders für große Netzwerke mit vielen verteilten Zweigstellen wird das Scannen mit GOS 21.04 schneller und die Scanergebnisse noch übersichtlicher.

Leistungsstärkere und schnellere Hardware für die Midrange-Klasse

In großen Netzwerken kommen meist mehrere verteilte mittelgroße bis große Appliances zum Einsatz, die über ein Master-Sensor-Konzept miteinander verknüpft sind. Aus diesem Grund wurden die Hardware-Appliances der Midrange-Klasse gestärkt, indem ihre Hardware verbessert wurde.

Unsere neue Hardware verwendet nun Festplatten vom Typ SSD statt HDD, welche 10-mal schneller, leiser und leichter sind. Außerdem steht mehr Speicherplatz zur Verfügung. Auch der Arbeitsspeicher wurde verbessert: statt vom Typ DDR3 ist dieser nun vom Typ DDR4, welcher durch eine höhere Taktrate (3200 MHz) deutlich schneller ist. Des Weiteren steht doppelt bis viermal so viel Arbeitsspeicher zur Verfügung als zuvor. Zusätzlich erhielt die Hardware neue, schnellere CPU der neuesten Generation und auch die Ports der Appliances wurden aktualisiert: statt 6 Ports GbE-Base-TX und 2 Ports 1 GbE SFP sind nun 8 Ports GbE-Base-TX und 2 Ports 10 GbE SFP+ vorhanden.

Boreas-Erreichbarkeitsscanner für schnellere Verfügbarkeit der Ergebnisse nun als Standard

Auch das Scannen wird schneller – was insbesondere in großen Netzwerken hilfreich ist. Bereits mit GOS 20.08 wurde der Boreas-Erreichbarkeitsscanner eingeführt, ein Host-Erreichbarkeitsscanner, der die aktiven Hosts in einem Zielnetzwerk identifiziert. Mit GOS 21.04 wird der Boreas-Erreichbarkeitsscanner zum Standard, was die manuelle Aktivierung erspart.

Der Boreas-Erreichbarkeitsscanner ist hinsichtlich der maximalen Anzahl gleichzeitig durchgeführter Erreichbarkeitsscans nicht limitiert und damit schneller als sein Vorgänger Nmap. Dadurch reduziert sich die Scanzeit für große Netzwerke deutlich. Die ersten Scan-Ergebnisse sind schneller verfügbar, unabhängig davon, wie hoch der Anteil erreichbarer Hosts im Netzwerk ist.

Übersichtlichere Berichte durch neue Berichtformate

Auch die Auswertung der Scans wird übersichtlicher – durch neue Berichtformate. Mit dem Format Vulnerability Report als PDF und als HTML sind die Berichte klar strukturiert und übersichtlich. Spezielle zielgruppenrelevante Informationen können schnell erkannt und verstanden werden.

Überzeugen Sie sich selbst

Scannen mit GOS 21.04 ist noch schneller, zuverlässiger und übersichtlicher. Überzeugen Sie sich selbst von unseren neuen Features und Änderungen! Ab sofort sind neue Appliances mit GOS 21.04 zu erhalten. Für bestehende Appliances wird das Upgrade auf die neueste Version in der nächsten Woche verfügbar sein. Auch unsere kostenlose Testversion wird dann mit GOS 21.04 verwendbar sein.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Kristin Schlosser

CIS-zertifizierte Compliance-Richtlinien im Greenbone Security Feed

Compliance-Richtlinien werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Produkte, Anwendungen, Betriebssysteme und andere Komponenten bestimmte Vorgaben erfüllen. Das Center for Internet Security (CIS) stellt dafür sogenannte CIS Benchmarks bereit. Auch die Greenbone-Lösungen bieten seit März 2021 die Möglichkeit, die Erfüllung von CIS Benchmarks zu prüfen – mithilfe von neuen Compliance-Richtlinien.

Was versteht man aber überhaupt unter einer Compliance-Richtlinie?

Zusätzlich zu gesetzlichen Vorgaben unterliegen Unternehmen, Organisationen und Behörden oft auch anderen Anforderungen, die für die sichere Konfiguration eines Systems erfüllt werden müssen. Solche Anforderungen können beispielsweise von einem Software- oder Anwendungshersteller für die eigenen Produkte formuliert werden, aber auch von IT-Sicherheits-Organisationen.

Ziel dabei ist es, für die Informations- und Datensicherheit eines Unternehmens oder einer Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, aber auch Empfehlungen, die dafür zu erfüllen sind, werden in einer Richtlinie in schriftlicher Form gebündelt.

Diese Richtlinien bilden die Grundlage für von Greenbone entwickelte Compliance-Richtlinien, also für die Zusammenstellung an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Dabei wird für jede einzelne Anforderung oder Empfehlung ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone zu Scan-Konfigurationen zusammengefasst und zum Greenbone Security Feed hinzugefügt.

Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.

Beispiel: Ein Unternehmen bringt eine Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen zum Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.

CIS Benchmarks als maßgebende Security-Richtlinien

Auch das Center for Internet Security (CIS) veröffentlich solche Security-Richtlinien: die sogenannten CIS Benchmarks. CIS ist eine im Jahr 2000 gegründete Non-Profit-Organisation, die Best Practices für die IT-Sicherheit bereitstellen, die von Regierungen, der Industrie und der Wissenschaft genutzt werden.

Mit eines der größten Tätigkeitsfelder der Organisation sind die sogenannten CIS Benchmarks. Dabei handelt es sich um Handlungs- und Konfigurationsempfehlungen für zahlreiche Produkte aus den unterschiedlichsten Produktfamilien. So gibt es beispielweise CIS Benchmarks für Webbrowser wie Mozilla Firefox oder Google Chrome, für Betriebssysteme wie Microsoft Windows oder unterschiedliche Linux-Distributionen, aber auch für die Microsoft-Office-Produkte.

Im Gegensatz zu vielen anderen Security-Standards, die nur grundsätzliche Vorgaben bezüglich der IT-Sicherheit machen – beispielsweise, dass es ein Schwachstellenmanagement geben muss – sind die CIS Benchmarks sehr detailliert. Sie stellen Anforderungen bereit, die erfüllt werden müssen, um ein System zu härten, sprich sicherer zu machen und vor Angriffen zu schützen. Dazu können unter anderem Kriterien für Passwörter, aber auch Vorgaben für bestimmte installierte Software-Versionen gehören.

Die CIS Benchmarks werden von CIS kostenlos als PDF zur Verfügung gestellt und ständig erweitert. Für CIS SecureSuite Member – so wie Greenbone es seit 2021 ist – sind die CIS Benchmarks aber auch über die CIS Workbench in anderen Formaten, zum Beispiel für Microsoft Word oder Excel, verfügbar.

CIS-zertifizierte Compliance-Richtlinien bei Greenbone

Wie auch bei den Security-Richtlinien anderer Unternehmen, Organisationen oder Behörden hat Greenbone nun basierend auf den CIS Benchmarks eigene Compliance-Richtlinien entwickelt. Diese ermöglichen es Nutzern einer Greenbone-Lösung, ihre Netzwerke, Systeme und Anwendungen auf die Anforderungen aus den CIS Benchmarks zu überprüfen. Seit März 2021 sind mehrere Compliance-Richtlinien, die CIS Benchmarks abbilden, im Greenbone Security Feed enthalten.

Und das Besondere daran: Die von Greenbone entwickelten Compliance-Richtlinien sind von CIS zertifiziert! Das bedeutet, dass Nutzer sicher gehen können, dass ihr System gemäß den Härtungsempfehlungen von CIS geprüft wird.

Nutzer können nun also ihre Systeme daraufhin prüfen, ob die Vorgaben von CIS erfüllt werden. Das vereinfacht auch die Vorbereitung von Audits. Wichtige Kriterien können bereits vorab mit einem Scan durch eine Greenbone-Lösung geprüft und gegebenenfalls gefundene Schwachstellen behoben werden.

Doch bei diesen CIS-zertifizierten Compliance-Richtlinien wird es nicht bleiben. Viele weitere Compliance-Richtlinien, die CIS Benchmarks abbilden, sind bei Greenbone in der Planung oder sogar bereits in der Entwicklung.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Kristin Schlosser

Sichere Digitalisierung im Gesundheitswesen mit SecureHealth

Die Studie D21-Digital-Index ist das jährliche Lagebild zur Digitalen Gesellschaft. Sie zeigt auf, wie die deutsche Gesellschaft den digitalen Wandel für sich nutzen kann. Doch Digitalisierung bringt auch immer die Frage nach IT-Sicherheit mit sich. Greenbone hat mit SecureHealth eine 100%ig förderfähige Lösung entwickelt, die für sichere Digitalisierung im Gesundheitswesen sorgt.

Was macht die Digitalisierung erfolgreich?

„Der Erfolg digitaler Anwendungen hängt von drei Faktoren ab: Vertrauen, Nutzen und Nutzerfreundlichkeit. Beide – ÄrztInnen und PatientInnen – müssen auf die Sicherheit der digitalen Anwendungen vertrauen können (…)“, so Erik Bodendieck, Vorstandsmitglied der Bundesärztekammer (BÄK) und Co-Vorsitzender des Digitalisierungsausschusses der BÄK. Dieses Vertrauen kann nur entstehen, wenn wir durch die erforderlichen sicherheitstechnischen Maßnahmen die Daten und System der Gesundheitsfürsorge schützen.

Da passt es ganz gut, dass Krankenhäuser durch den aktuellen Krankenhauszukunftsfonds bis zu 4,3 Milliarden Euro bei 100 % Förderung in ihre Digitalisierung investieren dürfen. Immerhin 15 % davon sind für Verbesserungen in der IT-Sicherheit geplant.

Greenbone‘ Unterstützung für die Digitalisierung im Gesundheitswesen

Wir bei Greenbone haben mit SecureHealth eine Lösung geschaffen, die genau hier den Krankenhäusern hilft. Mit SecureHealth können mögliche Schwachstellen gefunden werden, bevor sie ausgenutzt werden können, denn: Die allermeisten Schwachstellen, die zu Schäden auch an Systemen im Gesundheitsbereich führen, sind nicht etwa neu, sondern schon seit über einem Jahr bekannt. Was oft fehlt sind Lösungen die aktive Sicherheit bieten, indem sie solche Schwachstellen vor ihrer Ausnutzung durch Angreifer erkennen, sie priorisieren und Vorschläge für ihre Behebung machen. Genau das macht Greenbone seit über 10 Jahren sehr erfolgreich.

SecureHealth enthält eine Schwachstellenmanagement-Lösung von Greenbone – direkt angepasst auf die Bettenanzahl von Krankenhäusern –, in Form einer Hardware-Lösung, einer virtuellen Lösung oder einer Cloud-Lösung als Managed Service. Außerdem beinhaltet das Paket einen Rundum-Service für Krankenhäuser, von der Unterstützung bei der Antragsstellung zur Förderung über die Implementierung bis hin zur Datenanalyse und Behebung der Schwachstellen. Mehr zur sicheren Digitalisierung im Gesundheitswesen mit SecureHealth erfahren Sie hier.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Kristin Schlosser

Schwachstellenmanagement im Wassersektor

Der Wassersektor zählt zu den kritischen Infrastrukturen (KRITIS). Ein erfolgreicher Angriff auf den Sektor kann zu erheblichen hygienischen und gesundheitlichen Problemen führen und schlimmsten Fall Menschenleben bedrohen. Bei der 6. VDI-Konferenz zum Thema „Optimierung industrieller Kläranlagen“ informiert Greenbone über Schwachstellenmanagement im Wassersektor und wie durch frühzeitiges Erkennen und Beseitigen von Schwachstellen die Angriffsfläche von IT-Infrastrukturen verkleinert werden kann.

Ansicht eines industrielle Kontrollsystem (ICS)

Alles gut durch Digitalisierung?

Digitalisierung gilt als Heilsbringer der Stunde. Auch wenn man das manchmal kritisch bewerten mag, ist diese Entwicklung nicht aufzuhalten. Es gibt einfach zu viele Gründe, die für Digitalisierung sprechen. Es gibt aber auch viele Gründe, mit denen wir uns kritisch auseinandersetzen müssen, auch und gerade dort, wo es um unsere Sicherheit geht. Je mehr Informationstechnologie wir aufstellen, desto mehr digitalisierte Angriffsfläche bieten wir.
Böswillige Nutzende dieser Angriffsflächen können weltweit agieren und ebenfalls digitalisierte Währungen wie Bitcoin ermöglichen es ihnen, auch weltweit Profit aus Schwachstellen zu schlagen.

Im Gegensatz zu einem Bankeinbruch ist der Angriff auf eine industrielle Abwasseranlage eher ein Mittel zum Zweck. Angreifende wollen nicht den Inhalt eines Safes, sondern zielt dabei auf die Verwundbarkeit als solche ab, um sich dadurch Vorteile zu verschaffen, meist durch Erpressung. Angegriffen werden nicht nur technische Anlagen selbst, sondern oft auch das technische und organisatorische Umfeld von Netzen bis zur Verwaltung. Diese Angreifenden sind keine Hacker mit Hoodies und Matrix-Bildschirmschoner, die mal eben Notstand auf dem Konto haben, sondern kriminelle Organisationen, die industriell und professional organisiert sind. Dem gegenüber müssen wir uns mit widerstandsfähigen Organisationen, Prozessen und Lösungen wappnen. Das rückt das Thema Cyber-Resilienz immer mehr in unsere Aufmerksamkeit.

Unter Cyber-Resilienz versteht man die Fähigkeit eines Unternehmens oder einer Organisation, ihre Geschäftsprozesse trotz widriger Cyber-Umstände aufrechtzuerhalten. Das können Cyber-Angriffe sein, aber auch unbeabsichtigte Hindernisse wie ein fehlgeschlagenes Software-Update oder menschliches Versagen. Cyber-Resilienz ist ein umfassendes Konzept, das über die IT-Sicherheit hinausgeht. Es vereint die Bereiche Informationssicherheit, Business-Kontinuität und organisatorische Resilienz. Um einen Zustand der Cyber-Resilienz zu erreichen, ist es wichtig, Schwachstellen frühzeitig zu erkennen, sie wirtschaftlich zu priorisieren und zu beseitigen.

Warum Cyber-Resilienz für kritische Infrastrukturen besonders wichtig ist

Nachhaltige Cyber-Resilienz ist für Unternehmen aller Branchen wichtig. Unverzichtbar ist sie aber im Bereich der kritischen Infrastrukturen (KRITIS). Darunter fallen laut Definition der Bundesregierung „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

KRITIS-Organisationen müssen sich daher besonders gut gegen Cyber-Angriffe schützen – das schreibt der Gesetzgeber vor. Die EU begann bereits 2006 mit dem European Programme for Critical Infrastructure Protection (EPCIP) und erweiterte und ergänzte dieses in den folgenden Jahren. Mitgliedsstaaten setzen die EU-NIS Direktive in nationales Recht um, Deutschland beispielsweise mit dem IT-Sicherheitsgesetz (IT-SIG). Große Wirtschaftsnationen haben bereits Regulierungsinstanzen entwickelt. In den USA ist dies zum Beispiel das National Institute of Standards and Technology (NIST) und in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In Deutschland sind die kritischen Infrastrukturen in 9 Sektoren eingeteilt. Einer davon ist der Wassersektor mit den Sparten öffentliche Wasserversorgung und Abwasserbeseitigung. Er umfasst zum Beispiel Wasserwerke, Pumpanlagen, Wasserleitungen und -netze, Kläranlagen, die Kanalisation sowie Stau- und Hochwasserschutzanlagen. Sie alle spielen eine entscheidende Rolle für unsere Gesellschaft.

Angriffe auf die Wasserversorgung könnten eine Gesellschaft daher bis ins Mark treffen und im schlimmsten Fall Menschenleben bedrohen. Ebenso gefährlich sind Attacken auf die Abwasserentsorgung. Funktioniert sie nicht mehr, würde das zu erheblichen hygienischen und gesundheitlichen Problemen führen. Da in der Wasserinfrastruktur heute eine Vielzahl von IT-Systemen und elektronischen Steuerungssystemen (ICS) zum Einsatz kommt, wird sie zum
attraktiven Ziel für Hacker.

Vorfälle zeigen die Verwundbarkeit des Wassersektors

In den vergangenen Jahren gab es weltweit zahlreiche Angriffe auf Wasser-Infrastrukturen. Gravierende Folgen blieben dabei bisher zum Glück aus. Die Attacken zeigen jedoch, dass Hacker ausloten, wie sie die Kontrolle über Steuerungssysteme übernehmen und weitere Angriffe vorbereiten können. So versuchten 2013 iranische Hacker in die Systeme des Bowman Avenue Damms in der Nähe des Ortes Rye Brooke bei New York einzudringen. Der Damm dient dazu, den Wasserfluss nach starken Regenfällen zu kontrollieren und eine Überflutung des Orts zu vermeiden. Den Hackern gelang es, Kontrolle über die Steuerung der Fluttore zu erlangen. Da diese aber gerade wegen einer Wartung nicht am Netz waren, konnten die Cyber-Kriminellen glücklicherweise keinen Schaden anrichten.

Im März 2016 berichtete der Sicherheitsspezialist Verizon in seinem monatlichen Security Breach Report von einem Cyber-Angriff auf einen amerikanischen Wasserversorger, der unter dem Pseudonym Kemuri Water Company genannt wird. Hacker waren in die SCADA-Plattform eingedrungen. Dadurch konnten sie programmierbare Logik-Controller manipulieren. Sie änderten Einstellungen am Wasserfluss und an der Menge der Chemikalien, die für die Wasseraufbereitung zugesetzt wurden. Glücklicherweise entdeckte der Wasserversorger den Vorfall schnell und konnte die Einstellungen wieder korrigieren, ohne dass größerer Schaden entstand. Für ihren Angriff nutzten die Hacker eine ungepatchte Schwachstelle im Kunden-Zahlungsportal aus.

Zwischen November 2016 und Januar 2017 hackten Cyber-Kriminelle mehrere Mobilfunk-Router einer US-Wasserbehörde. Die Router dienten dazu, sicheren kabellosen Zugang für das Monitoring der Pumpstationen zur Verfügung zu stellen. Zum Glück waren die Angreifenden jedoch nicht auf Sabotage aus, sondern hatten es auf die Internetressourcen der Behörde abgesehen. Deren Rechnung stieg von durchschnittlich 300 US-Dollar pro Monat auf satte 45.000 Dollar im Dezember und 53.000 Dollar im Januar an. Für ihre Attacke nutzen die Hacker eine Schwachstelle in den Routern des Herstellers Sixnet aus. Dieser hatte nach eigenen Angaben bereits im Mai einen Patch zur Verfügung gestellt, den die Behörde jedoch nicht installiert hatte.

Im vergangenen Jahr wurde Israel gleich mehrfach Opfer von Cyber-Angriffen auf Wasserversorgungs- und -aufbereitungsanlagen. Im April unternahmen Hacker einen großen Cyber-Angriff auf Steuerungs- und Kontrollsysteme von Kläranlagen, Pumpstationen und Abwasserkanäle, wie das Israeli National Cyber Directorate (INCD) in einer Erklärung mitteilte. Das INCD forderte daraufhin Unternehmen im Wassersektor dazu auf, Passwörter für alle mit
dem Internet verbundenen Systeme zu ändern und sicherzustellen, dass die Software der Kontrollsysteme auf dem neuesten Stand ist. Laut Financial Times versuchten die Hacker, den Chlorgehalt des Wassers in einer Wasseraufbereitsungsanlage zu verändern. Der Angriff war nicht erfolgreich. Wäre er es gewesen, hätte eine leichte Vergiftung der Bevölkerung, die von der Aufbereitsungsanlage versorgt wird, die Folge sein können. Bereits im Juni gab es zwei weitere Angriffe auf Israels Wasseranlagen. Dieses Mal waren landwirtschaftliche Wasserpumpen betroffen.

In Deutschland gab es zwar noch keinen vergleichbaren Vorfall, allerdings berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland über die Umsetzung der erforderlichen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen. Im Wassersektor treten dabei Mängel in den Bereichen Netztrennung, Notfallmanagement und physischer Sicherheit auf. Im Berichtszeitraum von Juni 2019 bis Mai 2020 gab es im Wassersektor in Deutschland mehrere Vorfälle, die auf Störungen in Steuerungskomponenten zurückzuführen waren. Die Behebung der Störungen war sehr langwierig und aufwendig. Schäden konnten dadurch vermieden werden, dass die Betreiber umsichtig handelten und Redundanzen vorhanden waren.

Angriffspunkte im Wassersektor

IT- und OT-Systeme unterstützen den Wasserkreislauf. In der Wassererzeugung (1) werden Systeme zur Qualitätskontrolle und digitale Pumpensteuerung
genutzt, um den Wasserzufluss aus verschiedenen Quellen hin zur Wasserverteilung (2) zu steuern. Digitale Mess- und Steuerungsverfahren kontrollieren Wasserdruck und -qualität im Wassernetz und sind somit Teil der gesamten IT-Angriffsfläche. In der Entwässerung (3) werden Abwasserpumpen und Vorreinigungen durch Siebe, die an zentralen Stellen überwacht werden, eingesetzt. Die Wasseraufbereitung (4) ist gerade durch die notwendige digitalisierte Steuerung von physikalischen, chemischen und biologischen Prozessen eine kritische Komponente.

Teile des Wassersektors: Wassererzeugung, Wasserverteilung, Wasseraufbereitung, Wasserentsorgung

In der Trinkwasserversorgung und Abwasserentsorgung kommen daher eine Vielzahl von vernetzten IT-Systemen und industriellen Steuerungssystemen zum Einsatz, die weitgehend automatisierte Prozesse ermöglichen. Beispiele dafür sind Sensoren für die Temperatur, die Durchflussgeschwindigkeit oder den Chlorgehalt, fernauslesbare Zähler, aber auch Webportale und mobile Apps für Kunden.

Hürden für die IT-Sicherheit im Wassersektor

Um ihre Angriffsfläche für Cyber-Kriminelle zu verkleinern, müssen Unternehmen aus dem Wassersektor das gesamte Spektrum der vernetzten Systeme, Geräte und Applikationen berücksichtigen.

Doch das ist nicht immer ganz einfach. Ein Problem dabei ist, dass die ICS, die in der Wasserinfrastruktur im Einsatz sind, aus unterschiedlichen Generationen stammen. Viele der älteren Steuerungssysteme wurden in einer Zeit entwickelt, in der Cyber Security noch kaum oder gar nicht berücksichtigt wurde. Das führt zu einer heterogenen, verwundbaren IT-Landschaft. Die hochgradige Automatisierung und Abhängigkeit von Industriesteuerungen macht die Wasserinfrastruktur zusätzlich besonders angreifbar. Außerdem werden die eingesetzten IT-Systeme immer komplexer. Dadurch haben es Unternehmen schwer, ein ausreichendes Schutzniveau zu erreichen. Die zunehmende Vernetzung von Komponenten innerhalb der Feld-
und Steuerungsebene sowie der Steuerungs- und Prozessleittechnik erhöht die Komplexität noch weiter. Gleichzeitig vergrößert sich damit die Angriffsfläche für Hacker. Sie haben immer mehr Möglichkeiten, in Netzwerke einzudringen, Daten zu stehlen oder Industrie-Steuerungen zu manipulieren.

Auch bislang nicht ausgenutzte Schwachstellen dürfen nicht unterschätzt werden

Eine kürzlich durchgeführte Studie von Kenna Security hat ergeben, dass die Anzahl der insgesamt entdeckten Schwachstellen pro Jahr von 4.100 im Jahr 2011 auf 17.500 im Jahr 2021 gestiegen ist. Andererseits ist der Anteil der Schwachstellen, die von Hackern ausgenutzt wurden, nicht gleichermaßen stark gewachsen. Was ist der Grund hierfür?

Cyberkriminalität folgt den gleichen ökonomischen Regeln wie jedes andere Geschäftsmodell: geringste Investition für maximales Ergebnis. Aber die Cyberkriminalität leidet auch unter demselben Problem wie die IT-Branche im Allgemeinen: Experten sind eine begrenzte Ressource. Unternehmen können diese Ausgangslage nicht ändern, aber sie können dafür sorgen, dass ihre Angriffsfläche reduziert wird. Eine große Angriffsfläche zu tolerieren, auch wenn die Schwachstellen noch nicht waffenfähig sind, bedeutet, Kontrolle durch Glücksspiel zu ersetzen. Sobald es für Cyberkriminelle billiger erscheint oder das Ergebnis vielversprechend ist, wird sich die Internetkriminalität auf noch nicht waffenfähige Schwachstellen konzentrieren und die Umwandlung der Schwachstellen in Waffen wird schnell erfolgen.

Noch schlimmer ist die Motivation von Cyber-Terroristen, die bisher aufgrund mangelnder Fachkenntnisse glücklicherweise erfolglos waren. Es ist unklar, ob sie die notwendigen Fähigkeiten erlangen werden und falls ja, wann. Aber sie folgen nicht den Regeln der Ökonomie, was sie bei der Auswahl von Zielen und geeigneten waffenfähigen Schwachstellen weniger berechenbar macht.

Im Wesentlichen gibt es zwei gute allgemeine Gründe, warum Organisationen einen Prozess zur Verwaltung und Minimierung ihrer gesamten Angriffsoberfläche einrichten sollten und sich nicht nur auf die aktuellen (oder wahrscheinlichen) waffenfähigen Schwachstellen konzentrieren
sollten:

  • Pandemierisiko: Während es für eine einzelne kriminelle Organisation vielleicht nicht attraktiv ist, in die Umwandlung einer teureren Schwachstelle in eine Waffe zu investieren, wird es umso interessanter, je mehr Unternehmen sich dazu entscheiden, nichts gegen diese Schwachstelle zu unternehmen. Je weniger geimpft werden, desto besser breitet sich die Pandemie aus.
  • Automatisierungsrisiko: Die Automatisierung von Exploits ist nicht nur ein attraktiver, kostengünstiger Weg. Sie reduziert das Zeitfenster, um mit Gegenmaßnahmen zu reagieren, erheblich.

Geringe Angriffsfläche durch Schwachstellenmanagement

Unabhängig davon, wie viele Schwachstellen vorhanden sind, wird die Bewältigung von Schäden und aktiven Gegenmaßnahmen gegen laufende Angriffe für Unternehmen exponentiell teuer, wenn sie nicht von einem kontinuierlichen Prozess begleitet werden, der die Angriffsfläche identifiziert, verwaltet und reduziert.

Cyber-Resilienz ist ein kontinuierlicher Prozess. Er verstärkt die Fähigkeiten eines Unternehmens, einer Attacke zu widerstehen, und versetzt es in die Lage, auch während eines Angriffes zu funktionieren. Um dies zu erreichen, ist es wichtig, die Angriffsfläche zu reduzieren und so die Basis zu stabilisieren. Das bedeutet, Schwachstellen zu identifizieren, die von Angreifenden ausgenutzt werden könnten und somit den Angreifenden einen Schritt voraus zu sein.
999 von 1.000 Schwachstellen sind bereits über ein Jahr bekannt. Mit Schwachstellenmanagement können diese Schwachstellen also erkannt und beseitigt werden, bevor sie von Angreifenden ausgenutzt werden. Dies reduziert die Angriffsfläche der IT-Infrastruktur stark.

Schwachstellenmanagement-Lösungen arbeiten voll automatisiert und bieten durch Features wie Zeitpläne und benutzerdefinierte Scan-Konfigurationen den Nutzern die Möglichkeit, vollständige Schwachstellenmanagement-Prozesse zu erstellen, die ständig nach Schwachstellen suchen. Im Endergebnis sorgt Schwachstellenmanagement für nachhaltig widerstandsfähigere Systeme.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von