Schlagwortarchiv für: Vulnerability Scanning

Markus Feilner

“Schwachstellenmanagement wird immer wichtiger” – Greenbone-CEO Dr. Jan-Oliver Wagner auf PITS-Kongress

Jedes Jahr treffen sich IT- und Cybersicherheitsexperten aus Behörden, Bund, Ländern und Kommunen sowie in Streitkräften, Polizei und Nachrichtendiensten zum Cybersicherheitskongress „Public IT Security“ (PITS). Auch 2023 stand dabei das Thema Schwachstellen ganz oben.

Als Experte geladen war dieses Jahr Greenbone-CEO Jan-Oliver Wagner, um an der Podiumsdiskussion „Den Finger in die Wunde legen – Schwachstellen managen oder schließen?“ teilzunehmen. Moderiert von Katharina Sook Hee Koch vom Bundesamt fur Sicherheit in der Informationstechnik (BSI) trafen sich auf dem Panel Vertreter der Gesellschaft für Informatik (Nikolas Becker, Leiter Politik & Wissenschaft), des Bundestagsausschuss für Digitales (MdB Catarina dos Santos-Wintz, CDU/CSU), das BSI selbst (Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit) zum Austausch. Für die Exekutive dabei war Dirk Kunze vom Landeskriminalamt Nordrhein-Westfalen (Dezernatsleiter Ermittlungen Cybercrime/Cyber im Recherche- und Fahndungszentrum).

v.l.n.r. Catarina dos Santos-Wintz, Dirk Kunze, Katharina Sook Hee Koch, Dr. Dirk Häger, Dr. Jan Oliver Wagner, Nikolas Becker
(Foto: Greenbone)

Soll man Schwachstellen schließen? Auf jeden Fall!

Im Zentrum der Debatte stand schnell die Frage, ob und wie (schnell) Schwachstellen in Software zu schließen seien und/oder ob damit die Arbeit von Ermittlungsbehörden beeinträchtigt würde. Große Einigkeit unter den Anwesenden bestand dabei in der Ansicht, dass die Sicherheit der Bürger höchste Priorität habe. Schwachstellen gar aus politischen Gründen offen zu halten, kommt dabei kaum in Frage, sowohl aus Kostengründen (Exploits sind teuer) als auch bei der Risikobewertung.

Im Gegenteil, es gelte auch Open-Source-Software zu stärken und mehr Belohnungen (Bug Bounties) auszusetzen für Experten, die aktiv nach Schwachstellen suchen. Auch das BSI ist fest überzeugt: „Grundsätzlich gilt es, Schwachstellen sind zu schließen.“ (Häger). In der kriminellen Praxis spielt das Thema scheinbar eine untergeordnete Rolle: Die Polizei, so kommt es aus dem LKA in Nordrhein-Westfalen, kennt nur wenige Fälle, wo es helfen hätte können, Schwachstellen offen zu halten. Offene Schwachstellen werden aber trotzdem als mögliches Element für Ermittlungen gesehen. Aber man werde sich selbstverständlich nach der Entscheidung der Politik richten.

Dr. Jan-Oliver Wagner: „Schwachstellenmanagement wird immer wichtiger!“

Greenbone-CEO Wagner warnt, die Anzahl der offenen Schwachstellen werde in den nächsten Jahren eher größer als kleiner. Und das obwohl gute Fortschritte bzgl. Sicherheit in der Software-Entwicklung gemacht werden. Es verschärfen sich aber auch die Regulierungen und und damit der Druck auf Unternehmen durch den Gesetzgeber – nicht unbedingt eine schlechte Sache, aber es erzeugt eben Handlungsbedarf: „Das kommende Common Security Advisory Framework (CSAF 2.0) und der Cyber Resilience Act der EU (CRA) werden die Anzahl der bekannten Schwachstellen deutlich erhöhen.“

Das CSAF mache das Melden von Schwachstellen für Hersteller einfacher, der Cyber Resilience Act bringe die Verantwortung auch zum Staubsaugerhersteller, also in alle Teile der Wirtschaft. Wer da nicht den Überblick verlieren wolle, brauche Schwachstellen-Management wie das von Greenbone, erklärt Wagner. „Kommende Regulierungen bringen das Thema Schwachstellen in alle Bereiche der Wirtschaft, da nun jeder Hersteller für die Sicherheit der Geräte und deren Software verantwortlich ist, auch beispielsweise Hersteller für Staubsaugerroboter oder andere intelligente Haushaltsgeräte – Für die gesamte Lebensdauer des Produktes!“

Schwachstellenmanagement ist Risikomanagement

Schwachstellen Management ist heute für den professionellen Anwender ein reines Risikomanagement, wie es heute schon bei Versicherungen praktiziert wird – man trifft Entscheidungen darüber, welche Schwachstellen es zu schließen gilt und welche noch warten können oder müssen (Triage).

Genau da setzen unsere Schwachstellenmanagement-Produkte an – als Hardware- oder virtuelle Appliance oder im Greenbone Cloud Service. Greenbone entwickelt ein Open Source Vulnerability Management und erlaubt es Anwendern, Schwachstellen in der eigenen Netzwerkinfrastruktur innerhalb von wenigen Schritten aufzuspüren. Unsere Produkte generieren Berichte mit konkreten Handlungsanweisungen, die Sie sofort umsetzen können.

Wir arbeiten streng nach deutschem/europäischem Recht und bieten eine Open-Source-Lösung. Das bedeutet beste Datenschutzkonformität und ist so garantiert frei von Hintertüren.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Jan-Oliver Wagner

Erdbeben und Cyberangriffe haben viel gemeinsam

Erstens: Die Kräfte liegen außerhalb unserer Kontrolle, und wir können nicht verhindern, dass sie geschehen.

Zweitens: Wir sind nicht hilflos ausgeliefert. Wir können eine Frühwarnung einrichten, die zerstörerische Wirkung minimieren und uns schnell erholen. Aber nur, wenn wir handeln, BEVOR es passiert. Sicher, bei Erdbeben geht es um Menschenleben, bei Cyberangriffen bisher meist nicht.

Dennoch halte ich diesen Vergleich für wichtig, um die Bedeutung von Cyberangriffen und die Handlungsoptionen besser zu verstehen. Natürlich gibt es auch Unterschiede, und der auffälligste ist für mich die durchschnittliche Häufigkeit des Auftretens.

Dieser anschauliche Direktvergleich zeigt die Parallelen:

Wir haben keine Technologie,um sie zu verhindern, aber…
Erdbeben
Cyber-Attacke
Wir haben Prognosemodelle, die voraussagen können, wo sie am wahrscheinlichsten auftreten Tektonische Modelle Vulnerability Intelligence
Wir haben Sensoren, die kurz vor dem Eintreten des Ereignisses Frühwarnungen ausgeben
(manchmal versagen sie jedoch mit falsch positiven und falsch negativen Ergebnissen)		 Seismographen Schwachstellen-Scans und Bedrohungsanalysen
Wir haben eine Skala zum Vergleich von Ereignissen über mögliche Schäden

Richter-Magnitudenskala: Bereich von 1,0 bis 9,9

  • manchmal ist der Effekt nur ein Schütteln von Gegenständen in Innenräumen und
  • manchmal ist es ein Einsturz von Gebäuden

Schweregrad: Bereiche von 0,1 bis 10,0

  • manchmal gibt es eine zusätzliche Netzlast und
  • manchmal eine administrative Fernnutzung
… Sie können etwas tun, um die negativen Auswirkungen zu minimieren:
    
Stabilisierung Ihrer Infrastruktur gegen diese Art von Kraft

Obligatorische Architekturentwürfe

  • Überblick und Kontrolle der Einhaltung

Obligatorische Sicherheitsmaßnahme

  • Erkennung und Begrenzung der Angriffsfläche
  • Schwachstellenprüfung und -beseitigung,
  • Schwachstellenmanagement und Compliance
Sie können geschulte Teams bereithalten, um im Falle eines Falles schnell zu helfen
  • zentrale Kommandozentrale und verteilte medizinische und Reparaturteams vor Ort
  • Prozesse und regelmäßige Schulungen dazu
  • Security Operation Center und verteilte Systemadministratoren
  • Dev-Ops oder Lieferanten für operative Unterstützung
  • Prozesse und regelmäßige Schulungen dazu
Sie können Ihre Umgebung sensibilisieren, wie sie sich am besten verhalten, wenn es passiert
  • verständliche Schulungsunterlagen und
  • regelmäßige Sensibilisierungsschulungen
  • verständliche Schulungsunterlagen und
  • regelmäßige Sensibilisierungsschulungen

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Jan-Oliver Wagner

Der Schlüssel zur Qualitätssicherung Ihres Sicherheitsstatus (Schwachstellenstatus)

Die Aufgabe, sich vor Cyberangriffen zu schützen, indem Sie Ihre Angriffsfläche minimieren, erfordert drei wesentliche Säulen:

Vulnerability Intelligence
Erfahren Sie sofort alles über Schwachstellen und Risiken

Asset-Intelligenz
Scannen Sie alle TCP/IP-Protokolle, tauchen Sie tief in Anlagen ein und nutzen Sie andere Quellen für Anlagendetails.

Schwachstellen-Scanning
Schwachstellentests schnell und nach Priorität erstellen, bereitstellen und ausführen

Vulnerability Intelligence

Vulnerability Intelligence hilft bei zwei Aufgaben: Zunächst müssen Sie eine Prioritätsentscheidung darüber treffen, welche Angriffsvektoren Sie angehen sollten und welche Sie akzeptieren. Diese Entscheidung ist nicht einfach und kann weitreichende Auswirkungen haben. Schlimmer noch, sie muss unter Zeitdruck und mit begrenzten Ressourcen getroffen werden. Mit anderen Worten: Diese Entscheidung ist (manchmal) eine Triage. Je besser die Informationen über die Schwachstelle sind, desto besser wird die Entscheidung ausfallen. Und je mehr Beweise Sie erhalten, desto weniger persönliche Vermutungen müssen Sie hinzufügen. Sobald Sie entschieden haben, welche Angriffsvektoren Sie in Angriff nehmen wollen, helfen Ihnen die technischen Details über die Schwachstelle als Leitfaden für eine effiziente Behebung. Zu wissen, wie einfach oder kompliziert eine Abhilfemaßnahme ist, unterstützt Sie bereits bei der Prioritätsentscheidung.

Asset Intelligence

Bei Asset Intelligence geht es darum, so viel wie möglich über die Vermögenswerte zu wissen, die Sie zum Schutz vor Cyberangriffen besitzen. Es mag seltsam klingen, aber der erste Teil dieser Aufgabe besteht darin, zu wissen, welche Anlagen Sie haben. Netzwerke können sehr dynamisch sein, weil Ihre Mitarbeiter Dienste und Geräte sehr dynamisch erweitern und verbinden. Das Scannen nach vorhandenen Ressourcen und das Scannen in die Ressourcen ist gleichermaßen wichtig. Beides dient dem Aufbau eines Inventars, das Sie später mit den eingehenden Schwachstelleninformationen über neue Angriffsvektoren vergleichen können. Es gibt erwartete Details wie Produktversionen und unerwartete Details, die erst bei der Veröffentlichung eines Sicherheitshinweises festgestellt werden. Für den ersten Fall bauen Sie eine Datenbank auf, die schnelle Offline-Scans bei neuen Hinweisen ermöglicht. Für den zweiten Fall benötigen Sie die Möglichkeit, beliebige TCP/IP-Protokolle zu verwenden, um die Informationen zu sammeln, die für die Feststellung einer Sicherheitslücke erforderlich sind. Ein Sonderfall sind fiktive Assets, die durch Inventare oder eine Software Bill of Materials repräsentiert werden und beispielsweise Geräte darstellen, die dem EU Cyber Resilience Act unterliegen.

Vulnerability Scanning

Die Kunst des Vulnerability Scanning beginnt mit der Erstellung von Tests, die in der Regel von Vulnerability Intelligence abgeleitet und gründlich überprüft werden. Angesichts der wachsenden Zahl von Sicherheitshinweisen ist es auch eine Frage der Prioritäten, welche Hinweise zuerst behandelt werden sollen. Die Kenntnis der Asset-Inventare unserer Kunden hilft uns, diese Aufgabe noch besser für sie zu erledigen. Nach dem schnellen Einsatz der Tests endet die Kunst des Schwachstellen-Scannens mit einem schnellen, leistungsstarken und einfach einzusetzenden Satz von Scannern. In einfachen Worten: Diese Scanner vergleichen die Schwachstelleninformationen mit den Informationen über die Anlagen, um die aktuelle Angriffsfläche aufzulisten. Das Scannen kann so einfach sein wie der Vergleich einer Versionsnummer oder so komplex wie ein mehrstufiger Exploit über TCP/IP.

Das Ergebnis ist ein Schwachstellenstatus mit hoher Relevanz und hoher Erkennungsqualität, und damit auch Ihre Schwachstellenbehebung und Schwachstellenberichte.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

BSI warnt vor Schwachstelle in VMware ESXi

Eine neue Welle von Ransomware-Attacken bedroht zahlreiche Server in Europa. Im Fokus liegen der Angriffe die Hypervisoren in VMwares Virtualisierungsserver ESXi. Patches stehen bereit, Greenbones Produkte können schützen und helfen, die Schwachstelle zu finden.

Das BSI warnt ausdrücklich vor der Schwachstelle und spricht in seinen aktuellen Informationen zur Sicherheitslage von tausenden Servern und einer weltweiten Bedrohung mit Fokus auf Europa, den USA und Kanada, wobei eine Schwachstelle genutzt wird, die der Hersteller bereits vor fast zwei Jahren gefixt hat: (CVE-2021-21974).

Nicht nur VMWare-Server selbst gefährdet

Laut dem IT-Security-Portal Hackernews hat der französische Provider OVHcloud die Open-Source-Implementierung des IETF Service Location Protocol (OpenSLP) als Einfallstor bestätigt.

Die Bedrohungslage für IT-Systeme wird dabei als geschäftskritisch eingestuft – der erfolgreiche Angriff mit Ransomware kann also auch in diesem Fall massive Beeinträchtigungen des Regelbetriebs verursachen. Besonders gravierend bei Angriffen dieser Art ist, dass unter Umständen nicht nur Institutionen betroffen sind, die VMware ESXi selbst einsetzen, sondern auch Dritte – beispielsweise über die in der VMware-Virtualisierung gehosteten Serversysteme.

Frankfreich, Italien, Finnland, Kanada und die USA

Der Verdacht, dass bei der jüngsten Angriffswelle vor allem europäische Organisationen und Institutionen im Fokus der Angreifer stehen, bestätigte sich auch wenige Tage später, als die Nationale Italienische Cybersecurity Agentur ACN vor den Schwachstellen und einer „groß angelegten Angriffswelle“ warnte. Eine Reuters-Meldung spricht auch von Angriffen in Finnland und den USA.

Anwender können sich jedoch schützen: Der Hersteller VMware rät zum Upgrade auf die neueste Version seiner Software – und zur Installation des Patches. Generell helfen Systeme wie das Greenbone Schwachstellenmanagement, derlei Einbrüche zu verhindern, indem Sie die ungepatchten Lücken finden und Administratoren proaktiv in Reports warnen.

Überprüfen mit der Greenbone Cloud

Die Installation des Vmware-Patches ist kostenlos, ebenso eine Prüfung Ihrer Systeme mit dem Greenbone Cloud Service Trial. Generell sollten Administratoren immer sicherstellen, dass alle Backups gegen Ransomware gesichert sind und Log-Dateien auf verdächtige Systemzugriffe untersuchen – das BSI nennt auf der Checkliste in seiner Warnung sechs Fragen, die sich jeder Administrator jetzt stellen sollte.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

ViPNet, Protelion: Greenbone ermöglicht es den Status zu überprüfen

ViPNet Client in Greenbone Schwachstellenmanagement integriert

Nach einem Bericht des ZDF Magazin Royale am vergangenen Freitag mehren sich die Befürchtungen dafür, dass die VPN-Software „ViPNeT“, der Firma Protelion, ein Tochterunternehmen der russischen Cybersecurity-Firma O.A.O.Infotecs, Sicherheitslücken aufweisen könnte.

Dabei wird befürchtet, die Software, die Protelion vertreibt, könnte dem russischen Geheimdienst FSB (KGB) Zugang zu vertraulichen Informationen ermöglichen. Auch wenn diese Behauptung Gegenstand kontroverser Debatten zwischen Security-Experten und Politikern ist, sind Kunden an uns mit der Bitte herangetreten, einen Test bereitzustellen, mit dem ViPNeT insbesonders auf Windows Rechner detektiert werden kann.

Anwender des Greenbone Enterprise und des Community Feeds können durch einen authentifizierten Test die Registrierung von InfoTeCS / Protelion ViPNet auf Windows Rechnern überprüfen.

Unsere Kunden können ihr Greenbone Produkt einfach weiter nutzen, der Test ist bereits im Feed implementiert. Diejenigen, die noch kein Greenbone Produkt besitzen, nutzen bitte diesen Link zur Testversion (hier testen).

Nachhaltige Sicherung von Ihren IT-Netzwerken

Wenn Sie wissen wollen, welche Systeme in ihrem Netzwerk (noch) anfällig für Schwachstellen –sind, hilft Ihnen unser Schwachstellenmanagement. Es findet Anwendung in Systemen, die auf jeden Fall gepatcht oder anderweitig geschützt werden müssen. Je nach Art der Systeme und Schwachstelle können diese besser oder schlechter gefunden werden. Auch die Erkennung verbessert sich ständig und wird fortlaufend aktualisiert. Neue Lücken werden gefunden. Es können daher immer noch weitere Systeme mit Schwachstellen im Netz vorhanden sein. Daher lohnt sich eine regelmäßige Aktualisierung und das Scannen aller Systeme. Hierfür bietet das Greenbone-Schwachstellenmanagement entsprechende Automatisierungsfunktionen.

Unser Schwachstellenmanagement bietet besten Schutz

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine 100%ige Sicherheit bietet jedoch keine einzelne Maßnahme, auch kein Schwachstellenmanagement. Um ein System sicher zu machen, werden viele Systeme eingesetzt, die in ihrer Gesamtheit die bestmögliche Sicherheit bieten sollen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Notus ist da! Neuer Schwachstellenscanner von Greenbone

Greenbone hat als weltweit führender Hersteller von Open-Source-Software für das Schwachstellenmanagement seinen neuesten Scanner Notus veröffentlicht.

„Mit Notus ist in den letzten Jahren ein Meilenstein für die Performance von umfangreichen Vergleichen von Softwareversionen entstanden“, erklärt CIO Elmar Geese.

Mit Notus antwortet Greenbone auch auf den Wunsch von Kunden nach mehr Performance beim Versionscheck. Ob eine Sicherheitslücke gefährlich fürs Unternehmen ist, hängt überwiegend von den installierten Softwareversionen und deren Patchlevel ab. In sehr vielen Fällen muss ein Schwachstellenscanner also sehr viele Softwareversionen abgleichen und Kombinationen aus diesen erfassen. Mit zunehmender Komplexität der Setups wird dieser Test immer umfangreicher. Weil aber das Gesamtergebnis der Prüfung stark auch von dieser Datenerfassung abhängt, ermöglicht Notus derlei Scans deutlich schneller als alle seine Vorgänger.

Schneller dank Json

„Der Scanner identifiziert die relevanten Server und erfasst dort laufende Software. Für den eigentlichen Scan bekommt er im Wesentlichen nur die Infos über betroffene und gefixte Pakete“, erklärt Björn Ricks, Senior Software Developer bei Greenbone. „Beim bislang genutzten Scanner und seinen Vorläufern mussten wir in der Regel pro Versionscheck einen eigenen Prozess starten, das heißt ein separates manuell erstelltes Skript. Diese Skripte automatisch zu generieren ist aufwendig.“ Notus dagegen lädt nur noch die benötigten Daten aus JSON-Dateien. Ricks fasst das zusammen: „Notus ist deutlich effizienter, braucht weniger Prozesse, weniger Overhead, weniger Speicher, …“

CIO Geese erklärt den Notus-Scanner dann auch zu einem „Meilenstein für unsere Nutzenden, er wird die Performance deutlich verbessern. Unsere bekannt hohe Erkennungsqualität wie auch die Performance, zentrale Ziele unserer Produktstrategie, werden vom neuen Scanner optimal unterstützt.“

Notus, Greenbone und OpenVAS

Das Notus-Projekt besteht aus zwei Teilen: einem Notus-Generator, der die JSON-Dateien mit den Informationen über verwundbare RPM-/Debian-Pakete erzeugt und dem Notus-Scanner, der diese JSON-Dateien lädt und die Informationen daraus interpretiert.

OpenVAS, das Open Vulnerability Assessment System, entstand 2005, als das Entwicklungsteam des Schwachstellenscanners Nessus beschloss, nicht mehr unter Open-Source-Lizenzen zu arbeiten und zu einem proprietären Geschäftsmodell zu wechseln.

Seit 2008 bietet Greenbone professionelle Unterstützung für Schwachstellenscans. Greenbone übernahm dafür die Weiterentwicklung von OpenVAS, fügte mehrere Softwarekomponenten hinzu und verwandelte OpenVAS so in eine umfangreiche Schwachstellenmanagement-Lösung, die dennoch die Werte der freien Software in sich trägt. Die ersten Appliances kamen im Frühjahr 2010 auf den Markt.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Elmar Geese

TISAX-Zertifizierung für Greenbone

Greenbone ist nun ein TISAX-Mitglied und sein Information Security Management System (ISMS) und seine Datenschutzprozesse sind im Rahmen des TISAX-Programms der deutschen Automobilindustrie zertifiziert. „Wir haben diesen Schritt unternommen, um unserer Kundschaft den bestmöglichen Schutz sensibler und vertraulicher Informationen zu bieten, als nächsten logischen Schritt nach der erfolgreichen Zertifizierung nach weltweit anerkannten internationalen Industriestandards wie ISO 27001 und ISO 9001.“ – Dr. Jan-Oliver Wagner, CEO von Greenbone. Die Ergebnisse sind auf dem ENX-Portal unter der Scope-ID S3LW9L und der Assessment-ID A1P7V9 verfügbar. TISAX und die TISAX-Ergebnisse sind nicht für die Allgemeinheit bestimmt.

TISAX-Logo

TISAX, der „Trusted Information Security Assessment Exchange“, ist ein Mechanismus zur Überprüfung und zum Austausch von Testergebnissen nach branchenspezifischen Standards. Ursprünglich als System für den Austausch von standardisierten Testergebnissen in der Automobilindustrie geschaffen, ist es für die Risikobewertung von Zulieferern optimiert. Deshalb wird TISAX von der ENX Association entwickelt und verwaltet und vom Verband der Automobilindustrie (VDA) herausgegeben. Der Fokus liegt auf der sicheren Informationsverarbeitung zwischen Geschäftspartnern, dem Schutz von Prototypen und dem Datenschutz gemäß der EU-Datenschutzgrundverordnung (DSGVO) bei möglichen Geschäften zwischen Automobilherstellern und ihren Dienstleistern oder Lieferanten.

Als wesentlicher Bestandteil einer sicheren Lieferkette ist TISAX ein Standard für Information Security Management Systems (ISMS), der im Jahr 2017 ursprünglich von der Norm ISO/IEC 27001 abgeleitet wurde, sich aber inzwischen weiterentwickelt hat. Für die Automobilindustrie bringt TISAX Standardisierung, Qualitätssicherung und garantiert, dass Informationssicherheitsmaßnahmen von Auditanbietern nach den VDA-Standards bewertet werden. Audits nach TISAX, insbesondere bei Dienstleistern und Zulieferern, werden von sogenannten „TISAX-Prüfdienstleister“ durchgeführt und umfassen drei Reifegrade, über die Sie sich im TISAX-Teilnehmerhandbuch und auf den Websites von Zertifizierungsanbietern wie Adacor einen Überblick verschaffen können.

Greenbones Zertifizierungen erhöhen den Wert unserer Produkte für unsere Kundschaft, nicht nur durch Zeit- und Kostenersparnis, sondern auch durch den Nachweis eines hervorragenden Sicherheitsniveaus und hoher Standards. Elmar Geese, CIO bei Greenbone: „Mit TISAX haben wir unseren unabhängig geprüften Sicherheitsstatus dokumentiert. Unsere Kundschaft muss keine individuellen Bewertungen vornehmen, nicht mit langwierigen Fragebögen arbeiten oder all die anderen Dinge tun, die für ein Bottom-up-Audit erforderlich sind. Wir garantieren, dass wir ihre Sicherheitsanforderungen erfüllen.“

Deshalb folgt Greenbone dem Fragenkatalog zur Informationssicherheit des Verbandes der Automobilindustrie (VDA ISA). Die Bewertung wurde von einem Auditanbieter durchgeführt. Das Ergebnis ist ausschließlich über das ENX-Portal abrufbar (Scope-ID: S3LW9L, Assessment-ID: A1P7V9).


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Jan-Oliver Wagner

Aktive und passive Schwachstellenscans – den Cyber-Kriminellen einen Schritt voraus

In der vernetzten Produktion wachsen IT und OT immer stärker zusammen. Wo früher eine Sicherheitslücke „nur“ ein Datenleck verursacht hat, kann heute die gesamte Produktion zusammenbrechen. Wer regelmäßige aktive und passive Schwachstellenscans durchführt, kann sich schützen.

Was bei der physischen Infrastruktur etwas befremdlich wirkt – wer stellt schon einen Einbruch nach, um seine Alarmanlage zu testen – ist in der IT ein probates Verfahren, um Schwachstellen zu identifizieren. Dieses sogenannte aktive Scanning kann täglich und automatisch durchgeführt werden. Passives Scanning hingegen erkennt einen laufenden Einbruch, denn auch jeder Cyber-Einbruch hinterlässt Spuren, wenn auch oft verdeckt.

Den Verkehr kontrollieren

Firewalls und Antivirus-Programme nutzen beispielsweise passive Scans und überprüfen so den Traffic, der ein System erreicht. Diese Daten werden dann mit einer Datenbank abgeglichen. Dort sind Informationen zu Schadsoftware, unsicheren Anfragen und anderen Anomalien hinterlegt. Wenn die Firewall etwa eine Anfrage von einem unsicheren Sender bekommt, der Profildaten von Nutzenden auslesen will, lehnt sie die Anfrage ab. Das System selbst bekommt davon nichts mit, denn der passive Scan greift nicht auf das System zu, sondern nur auf den Datenverkehr.

Der Vorteil dabei: Das System muss keine zusätzliche Rechenleistung aufwenden. Trotz der Überprüfung kann die volle Bandbreite genutzt werden. Das ist vor allem bei kritischen Komponenten sinnvoll. Sie sollen eine möglichst hohe Verfügbarkeit aufweisen. Je weniger Zusatztätigkeiten sie ausführen, desto besser.

Der Nachteil des passiven Scannings: Nur Systeme, die selbst aktiv kommunizieren, kann man auch sehen. Nicht dazu gehört beispielsweise Büro-Software oder PDF-Reader. Aber auch Dienste, die kommunizieren, tun das vor allem mit ihren Hauptfunktionen. Funktionen mit Schwachstellen, die selten oder gar nicht im Regiebetrieb genutzt werden, sind nicht sichtbar oder eben erst dann, wenn der Angriff bereits läuft.

Die Infrastruktur überprüfen

Aktive Scans arbeiten anders und simulieren Angriffe. Sie stellen Anfragen an das System und versuchen dadurch, unterschiedliche Reaktionen auszulösen. Der aktive Scanner schickt zum Beispiel eine Anfrage zur Datenübermittlung an verschiedene Programme im System. Reagiert eines der Programme und leitet die Daten an die simuliert unbefugte Stelle weiter, hat der Scanner eine Sicherheitslücke gefunden.

Unterschiede zwischen aktiven und passiven Schwachstellenscans

Links: Beim aktiven Scan werden Anfragen an das System gesendet und dadurch versucht, unterschiedliche Reaktionen auszulösen. Rechts: Passive Scans überprüfen den Traffic, der ein System erreicht und gleichen diese Daten mit einer Datenbank ab.

Der Vorteil: Die Datenqualität, die beim aktiven Scannen erreicht werden kann, ist höher als beim passiven Scannen. Da die Interaktion direkt mit der Software und den Schnittstellen stattfindet, können Probleme in Programmen erkannt werden, die normalerweise nicht direkt mit dem Netz kommunizieren. Auf diese Weise werden auch Schwachstellen in Programmen wie Office-Anwendungen entdeckt.

Bei der direkten Interaktion müssen Systeme allerdings Extraanfragen bearbeiten, die dann unter Umständen die Grundfunktionen eines Programms beeinträchtigen. Betriebstechnik wie Maschinensteuerungen sind zum Beispiel nicht unbedingt dafür ausgelegt, Nebentätigkeiten auszuführen. Hier empfiehlt sich zum Beispiel Scannen unter Aufsicht und als Ergänzung kontinuierliches passives Scannen.

Aktiv scannen, aber minimalinvasiv

Trotzdem sind aktive Scans für die betriebliche Cyber-Sicherheit essenziell. Denn das Risiko, welches von der kurzfristigen Überbeanspruchung einer Systemkomponente ausgeht, ist klein im Vergleich zu einem Produktionsausfall oder einem Datenleck. Zudem decken aktive Scans nicht nur Schwachstellen auf, sie können auch passive Scans verbessern. So lassen sich die Schwachstellen, die erkannt werden, etwa in die Datenbanken von Firewalls aufnehmen. Das hilft auch anderen Unternehmen, die ähnliche Systeme nutzen.

Aktives und passives Scannen arbeiten Hand in Hand

Da der passive Scanner dem aktiven Scanner auch hilfreiche Informationen wie beispielsweise zu Mobiltelefonen oder Eigenschaften zu Netzwerk-Diensten geben kann, kann man von einer komplementären Ergänzung dieser beiden Sicherheitstools sprechen. Beiden ist gemein, dass sie aus der gegebenen Situation im Netzwerk automatisch immer das Beste herausholen. Für die Techniken des passiven und aktiven Scannens ist es egal, aus welchen oder wie vielen Komponenten und Programmen das Netzwerk besteht. Beide Sicherheitstechnologien erkennen dies von selbst und stellen sich darauf ein. Erst mit einem höheren Sicherheitsgrad beginnt die optimierte Abstimmung von Netzwerk und Scannern.

Es ist also keine Frage, ob man das eine oder das andere anwenden sollte. Beide Verfahren sind notwendig, um eine sichere Netzwerkumgebung zu gewährleisten. Ein rein passiver Ansatz wird in vielen Fällen nicht helfen. Ein proaktives Schwachstellenmanagement benötigt aktive Scans und Tools, um diese zu verwalten. Das ist es, was Greenbones Schwachstellenmanagement-Produkte bieten.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von
Markus Feilner

Greenbone erweitert Compliance-Richtlinien für CIS Benchmarks

Apache, IIS, NGINX, MongoDB, Oracle, PostgreSQL, Windows, Linux: Ein Jahr nach Einführung bringt Greenbone zahlreiche neue Compliance-Richtlinien für CIS Benchmarks in seinen Produkten. CIS Benchmarks werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Softwareprodukte, Anwendungen, Betriebssysteme und andere Komponenten sichere Vorgaben erfüllen. Ähnlich dem IT-Grundschutz-Kompendium des Bundesamts für Sicherheit in der Informationstechnik (BSI) stellt das Center for Internet Security (CIS), eine im Jahr 2000 gegründete Non-Profit-Organisation, umfangreiche Best Practices für die IT-Sicherheit von Regierungen, Industrie und Wissenschaft bereit. Schon 2021 entwickelte Greenbone erste Compliance-Richtlinien für CIS Benchmarks. Nun kommen 18 weitere Compliance-Richtlinien hinzu.

Compliance-Richtlinien für CIS Benchmarks

Benchmarks für die Unternehmenssicherheit

Die CIS Benchmarks bilden Richtlinien von Unternehmen und Behörden ab, die als Messlatte (Benchmark) für das Einhalten von Anforderungen dienen. Ausführlich beschreiben die Benchmarks Konfigurationen, Bedingungen, Audits und Tests für diverse Setups und Systeme. Nach erfolgreichem Scan erhalten IT-Admins einen umfangreichen Bericht mit einer Prozentzahl, die Aufschluss über die Compliance der Systeme, aber auch gleich Empfehlungen für weitere Härtungsmaßnamen liefert.

Im Vergleich zu den Vorgaben des IT-Grundschutz erweisen sich CIS Benchmarks häufig als deutlich detaillierter, damit aber auch als umfangreicher. Anders als die vielen Tests im Greenbone Enterprise Feed, die Sicherheitslücken und Schwachstellen suchen, um bei der Abwehr von Angriffen zu helfen, dienen die CIS Benchmarks dem Nachweis, dass ein Unternehmen oder eine Behörde die geltenden Compliance-Vorschriften zu jedem Zeitpunkt einhält und stets eingehalten hat.

CIS Benchmarks bei Greenbone

Bereits seit 2021 integriert Greenbone zahlreiche Compliance-Richtlinien für CIS Benchmarks. Bei diesen Richtlinien handelt es sich um Zusammenstellungen an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Vereinfacht gesagt wird dabei für jede einzelne Anforderung oder Empfehlung aus einer CIS Benchmark ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone zu Scan-Konfigurationen zusammengefasst und zum Greenbone Enterprise Feed hinzugefügt. Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.

2022 baut Greenbone den Satz an CIS-Compliance-Richtlinien, der im Greenbone Enterprise Feed enthalten ist, deutlich aus. 18 weitere Compliance-Richtlinien für CIS Benchmarks für diverse Produktfamilien wurden hinzugefügt. Neben einer Compliance-Richtlinie für Docker-Container stehen jetzt auch Tests für Windows 10 Enterprise, Windows 2019 Server, Centos und distributionsunabhängige Linux-Benchmarks zur Verfügung. Außerdem können jetzt auch Webmaster mit Servern wie Apache (2.2 und 2.4), NGINX, Tomcat und Microsoft IIS 10 sowie Datenbankadministrationen (MongoDB 3.2 und 3.6, Oracle Community Server 5.6 und 5.7 sowie PostgreSQL 9.6, 10, 11 und 12) auf Compliance-Richtlinien für CIS Benchmarks zurückgreifen.

CIS Benchmarks: Level 1, 2 und STIG

Die CIS Benchmarks gliedern sich in mehrere Level (Level 1, 2 und STIG) und umfassen meist mehrere zu testende Konfigurationsprofile. Level 1 gibt grundlegende Empfehlungen zur Verringerung der Angriffsfläche eines Unternehmens, Level 2 adressiert Nutzende mit besonderen Sicherheitsbedürfnissen. STIG – das ehemalige Level 3 – kommt dagegen vor allem im militärischen oder behördlichen Umfeld zum Einsatz. STIG steht für Security Technical Implementation Guide. Das US-amerikanische Verteidigungsministerium pflegt hierzu eine Webseite mit allen Details. Die dort beschriebenen DISA STIGs (Defense Information Systems Agency Security Technical Implementation Guides) sind eine Anforderung des US-Verteidigungsministeriums.

Zertifiziert von CIS

Greenbone ist Mitglied des CIS-Konsortiums und erweitert seine CIS-Benchmark-Scan-Konfigurationen fortlaufend. Wie alle von Greenbone auf Basis von CIS Benchmarks entwickelten Compliance-Richtlinien sind auch die neuesten von CIS zertifiziert – das bedeutet maximale Sicherheit, wenn es darum geht, ein System gemäß den Härtungsempfehlungen von CIS zu prüfen. Das vereinfacht nicht nur die Vorbereitung von Audits, wichtige Kriterien lassen sich schon vorab mit einem Scan durch eine Greenbone-Lösung prüfen und gegebenenfalls gefundene Schwachstellen beheben, bevor Probleme auftauchen.

Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht
/von
Markus Feilner

Ransomware as a Service: Die Rolle von Bitcoin und Darknet

Ein zweifelhafter Ruf haftet sowohl der Kryptowährung Bitcoin wie auch dem Darknet an. Medien schildern beide gerne als undurchsichtige, kriminelle Parallelwelten. Für Ransomware as a Service sind Bitcoin und Darknet willkommene Werkzeuge. Das organisierte Verbrechen hat sie sich längst zu Nutze gemacht, um seine Geschäfte zu verschleiern, auch wenn die Kriminellen damit keineswegs anonym und sicher vor Strafverfolgung sind.

Ransomware wurde 2021 zur weltweit größten Bedrohung von IT-Systemen. Wer sich erfolgreich davor schützen will, muss auch verstehen, wie die Beteiligten vorgehen. Im ersten Teil dieser Artikelserie ging es um das Geschäftsmodell von Ransomware as a Service. Teil zwei zeigte, warum diese „Professionalisierung“ auch zu einem veränderten Mindset bei den Angreifenden führt. Der dritte Teil erklärt nun, warum die IT-Werkzeuge, die die organisierte Kriminalität zur Bestellung und zur Geldübergabe nutzt, keineswegs sicher sind.

Ransomware as a Service: abstraktes Bild des Bitcoin-Logos

Anonym und sicher?

Bitcoin als Zahlungsmittel und das Darknet erweisen sich als praktisch, hilfreich und attraktiv für Angreifende. Unter dem Deckmantel der vermeintlichen Anonymität wähnen sie sich geschützt vor Strafverfolgung und abgeschirmt von Konsequenzen. Doch das ist ein verbreitetes Missverständnis: Weder Bitcoin noch Darknet sind in der Praxis anonym.

Während die Kryptowährung nie auf Anonymität ausgelegt war, sondern explizit auf Nachvollziehbarkeit von Transaktionen auch ohne zuverlässige zentrale Autorität, erweist sich das Darknet als nicht mal ansatzweise so anonym wie seine Macher es sich gewünscht hätten. Das zeigen auch Berichte wie die jüngsten über die „Deanonymisierungsangriffe“ von KAX17 auf das Tor-Netzwerk. Fast immer reicht der Strafverfolgung klassische Ermittlungsmethoden, um auch Ransomware-Agierende wie die REvil-Gruppe ausfindig zu machen. Die hatte laut Heise in mehr als 5.000 Infektionen eine halbe Million Euro an Lösegeldern eingetrieben.

Nie eine gute Idee: mit Kriminellen kooperieren

Egal, ob online oder offline, wer sich mit Erpressenden einlässt, ist verlassen. Als guter Rat gilt wie im richtigen Leben: niemals Lösegeld bezahlen. Ganz egal wie professionell die Hotline am anderen Ende auch scheint, Vertrauen ist nicht angebracht. Die Betreibenden von REvils Ransomware as a Service beispielsweise stahlen ihren Auftraggebenden sogar die erpressten Lösegelder über eine Backdoor in der Malware.

Dabei hatte alles so freundlich und idealistisch angefangen. Roger Dingledine und Nick Mathewson legten die Grundsteine für das Tor-Netzwerk Anfang der 2000er Jahre. Basierend auf der Idee der Zwiebelringe sollten zahlreiche kryptographisch gesicherte Schichten übereinander für zuverlässige Anonymität im Web sorgen – ihrer Meinung nach ein Grundrecht, analog zur Privacy-Definition von Eric Hughes „Cypherpunk’s Manifesto“. 2009 erblickte dann Bitcoin das Licht der Welt, erstmals beschrieben durch die fast schon mystische Figur des Satoshi Nakamoto.

Darknet und Bitcoin sind nicht „kriminell“

Weder Darknet noch Bitcoin wurden entworfen, um dunkle Machenschaften zu verschleiern oder zu ermöglichen. Ziel war das Schaffen freier, unabhängiger, vermeintlich unkontrollierbarer und weitgehend sicherer Strukturen für Informationsaustausch und Bezahlung. Wie ein Messer lassen sich die Dienste jedoch sowohl für Gutes als auch für Böses instrumentalisieren – und natürlich weiß die organisierte Kriminalität das für sich zu nutzen. Nicht immer liegt dabei der Schwerpunkt darauf, keine Spuren zu hinterlassen. Meist steht die Einfachheit und Verfügbarkeit der Mittel im Vordergrund. Bitcoin und das Darknet sind schlicht die Tools der Wahl, weil sie da sind.

Aber wie in der realen Welt schnappt man die Erpressenden am einfachsten bei der Geldübergabe: Eine Blockchain wie Bitcoin dokumentiert alle jemals getätigten Transaktionen inklusive der Wallet-Informationen (also den Bitcoin-Besitzenden) und macht sie jederzeit einsehbar. Gleiches gilt für das Darknet: Selbst, wenn technisch Anonymität möglich ist, scheitern Menschen regelmäßig an den einfachsten Anforderungen. Da finden sich dann GPS-Meta-Daten in Fotos oder UPS-Codes im illegalen Shop. Der legendäre Drogenshop Silkroad flog auf, weil Mitarbeitende Fehler machten und geständig waren.

Digitalisierte, organisierte Kriminalität

Das Darknet und die Kryptowährungen sind hilfreiche Werkzeuge für die organisierte Kriminalität und damit Brandbeschleuniger für die schnell wachsende Anzahl an gravierenden Ransomware-Attacken. Aber sie sind keineswegs essenziell, noch trifft sie eine Schuld. Derartige Cyber-Kriminalität ist nur die moderne IT-Variante dessen, was wir auch auf den Straßen beliebiger Großstädte erleben können. Ransomware ist sozusagen die moderne Schutzgelderpressung, Bitcoin der Abfalleimer für die Übergabe, das Darknet die dunkle Kneipe, in der Deals vereinbart werden.

Das Perfide steckt nicht in den Werkzeugen, sondern in den Methoden und der langen Erfahrung im „Business“. Trend Micro beschreibt beispielsweise den Ansatz der „Double Extortion Ransomware“. Dabei machen sich Angreifende erst ein Bild über die Daten und drohen, diese bei Nicht-Bezahlen (also bei Nicht-Entschlüsselung) zu veröffentlichen. Organisierte Kriminalität betreibt das Geschäft mit der Erpressung nicht erst seit es Bitcoin oder das Darknet gibt. Auch wenn die beiden Technologien es Cyber-Kriminellen heute ermöglichen, zunächst unerkannt große Geldsummen zu erpressen, reichen herkömmliche Methoden fast immer zur Aufklärung. Wichtigste Voraussetzung dabei ist, dass genug Personal für die Strafverfolgung zur Verfügung steht, nicht in erster Linie dessen technische Ausstattung.

Vorsorge treffen

Doch zu diesem Zeitpunkt ist das Kind im Unternehmen bereits in den Brunnen gefallen. Wer vor seinen verschlüsselten Daten steht und sich einer Lösegeldforderung gegenübersieht, dem sind das Darknet, Bitcoin und die Aufklärungsquote vermutlich erst mal zweitrangig. Viel wichtiger ist die Frage, wie man aus der misslichen Lage wieder herauskommt. Und das gelingt nur, wenn man vorbereitet war. Dazu gehören Backups, Restore-Tests und das sofortige Abtrennen aller betroffenen Maschinen (Network Split) – also proaktives Risikomanagement, Desaster Recovery Tests und stetige Pflege der eigenen Systeme. Ein weiterer wichtiger Baustein ist die Multi-Faktor-Authentifizierung, die verhindert, dass sich Angreifende allein durch erworbene Passwörter von einem System zum nächsten hangeln.

Am wichtigsten ist es jedoch, gar nicht erst in kritische Situationen zu gelangen und Schwachstellen in den eigenen Systemen zu erkennen und schnell zu schließen. Modernes Schwachstellenmanagement wie das von Greenbone leistet genau das: Es legt Angreifenden Steine in den Weg und macht das Firmennetzwerk unattraktiv, aufwändig und somit abschreckend für die professionellen Cyber-Kriminellen, nicht nur aus der Ransomware-as-a-Service-Welt.

Die Produkte von Greenbone überwachen das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen, indem sie es fortlaufend und vollautomatisch untersuchen und garantieren als Greenbone Enterprise Appliances oder dem Greenbone Cloud Service (in deutschen Rechenzentren gehostete Software as a Service) Sicherheit durch stets aktuelle Scans und Tests.

Wie das funktioniert, beschreibt Elmar Geese, CIO/CMO bei Greenbone, ebenfalls hier im Blog anhand eines Posts rund um die log4j-Schwachstelle. Außerdem erklärt Geese, wie schnell und sicher die Administration und das Management auch bei den neuesten Schwachstellen informiert wird und wie genau der Scan nach Schwachstellen wie Log4Shell abläuft.


Kontakt Kostenlos testen Hier kaufen Zurück zur Übersicht

/von