Compliance-Richtlinien werden von Unternehmen, Organisationen oder Behörden genutzt, um zu prüfen, ob alle verwendeten Produkte, Anwendungen, Betriebssysteme und andere Komponenten bestimmte Vorgaben erfüllen. Das Center for Internet Security (CIS) stellt dafür sogenannte CIS Benchmarks bereit. Auch die Greenbone-Lösungen bieten seit März 2021 die Möglichkeit, die Erfüllung von CIS Benchmarks zu prüfen – mithilfe von neuen Compliance-Richtlinien.

Was versteht man aber überhaupt unter einer Compliance-Richtlinie?

Zusätzlich zu gesetzlichen Vorgaben unterliegen Unternehmen, Organisationen und Behörden oft auch anderen Anforderungen, die für die sichere Konfiguration eines Systems erfüllt werden müssen. Solche Anforderungen können beispielsweise von einem Software- oder Anwendungshersteller für die eigenen Produkte formuliert werden, aber auch von IT-Sicherheits-Organisationen.

Ziel dabei ist es, für die Informations- und Datensicherheit eines Unternehmens oder einer Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, aber auch Empfehlungen, die dafür zu erfüllen sind, werden in einer Richtlinie in schriftlicher Form gebündelt.

Diese Richtlinien bilden die Grundlage für von Greenbone Networks entwickelte Compliance-Richtlinien, also für die Zusammenstellung an Tests, die eine Greenbone-Lösung auf einem Zielsystem ausführt. Dabei wird für jede einzelne Anforderung oder Empfehlung ein Schwachstellentest entwickelt, der die Erfüllung jener Anforderung oder Empfehlung prüft. Alle Tests werden von Greenbone Networks zu Scan-Konfigurationen zusammengefasst und zum Greenbone Security Feed hinzugefügt.

Da die Scan-Konfigurationen in diesem Fall Richtlinien von Unternehmen oder Behörden abbilden, werden sie als „Compliance-Richtlinien“ bezeichnet.


Beispiel: Ein Unternehmen bringt eine Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance-Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen zum Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.


CIS Benchmarks als maßgebende Security-Richtlinien

Auch das Center for Internet Security (CIS) veröffentlich solche Security-Richtlinien: die sogenannten CIS Benchmarks. CIS ist eine im Jahr 2000 gegründete Non-Profit-Organisation, die Best Practices für die IT-Sicherheit bereitstellen, die von Regierungen, der Industrie und der Wissenschaft genutzt werden.

Mit eines der größten Tätigkeitsfelder der Organisation sind die sogenannten CIS Benchmarks. Dabei handelt es sich um Handlungs- und Konfigurationsempfehlungen für zahlreiche Produkte aus den unterschiedlichsten Produktfamilien. So gibt es beispielweise CIS Benchmarks für Webbrowser wie Mozilla Firefox oder Google Chrome, für Betriebssysteme wie Microsoft Windows oder unterschiedliche Linux-Distributionen, aber auch für die Microsoft-Office-Produkte.

Im Gegensatz zu vielen anderen Security-Standards, die nur grundsätzliche Vorgaben bezüglich der IT-Sicherheit machen – beispielsweise, dass es ein Schwachstellenmanagement geben muss – sind die CIS Benchmarks sehr detailliert. Sie stellen Anforderungen bereit, die erfüllt werden müssen, um ein System zu härten, sprich sicherer zu machen und vor Angriffen zu schützen. Dazu können unter anderem Kriterien für Passwörter, aber auch Vorgaben für bestimmte installierte Software-Versionen gehören.

Die CIS Benchmarks werden von CIS kostenlos als PDF zur Verfügung gestellt und ständig erweitert. Für CIS SecureSuite Member – so wie Greenbone Networks es seit 2021 ist – sind die CIS Benchmarks aber auch über die CIS Workbench in anderen Formaten, zum Beispiel für Microsoft Word oder Excel, verfügbar.

CIS-zertifizierte Compliance-Richtlinien bei Greenbone Networks

Wie auch bei den Security-Richtlinien anderer Unternehmen, Organisationen oder Behörden hat Greenbone Networks nun basierend auf den CIS Benchmarks eigene Compliance-Richtlinien entwickelt. Diese ermöglichen es Nutzern einer Greenbone-Lösung, ihre Netzwerke, Systeme und Anwendungen auf die Anforderungen aus den CIS Benchmarks zu überprüfen. Seit März 2021 sind mehrere Compliance-Richtlinien, die CIS Benchmarks abbilden, im Greenbone Security Feed enthalten.

Und das Besondere daran: Die von Greenbone Networks entwickelten Compliance-Richtlinien sind von CIS zertifiziert! Das bedeutet, dass Nutzer sicher gehen können, dass ihr System gemäß den Härtungsempfehlungen von CIS geprüft wird.

Nutzer können nun also ihre Systeme daraufhin prüfen, ob die Vorgaben von CIS erfüllt werden. Das vereinfacht auch die Vorbereitung von Audits. Wichtige Kriterien können bereits vorab mit einem Scan durch eine Greenbone-Lösung geprüft und gegebenenfalls gefundene Schwachstellen behoben werden.

Doch bei diesen CIS-zertifizierten Compliance-Richtlinien wird es nicht bleiben. Viele weitere Compliance-Richtlinien, die CIS Benchmarks abbilden, sind bei Greenbone Networks in der Planung oder sogar bereits in der Entwicklung.

Die Studie D21-Digital-Index ist das jährliche Lagebild zur Digitalen Gesellschaft. Sie zeigt auf, wie die deutsche Gesellschaft den digitalen Wandel für sich nutzen kann. Doch Digitalisierung bringt auch immer die Frage nach IT-Sicherheit mit sich. Greenbone Networks hat mit SecureHealth eine 100%ig förderfähige Lösung entwickelt, die für sichere Digitalisierung im Gesundheitswesen sorgt.

Was macht die Digitalisierung erfolgreich?

„Der Erfolg digitaler Anwendungen hängt von drei Faktoren ab: Vertrauen, Nutzen und Nutzerfreundlichkeit. Beide – ÄrztInnen und PatientInnen – müssen auf die Sicherheit der digitalen Anwendungen vertrauen können (…)“, so Erik Bodendieck, Vorstandsmitglied der Bundesärztekammer (BÄK) und Co-Vorsitzender des Digitalisierungsausschusses der BÄK. Dieses Vertrauen kann nur entstehen, wenn wir durch die erforderlichen sicherheitstechnischen Maßnahmen die Daten und Systeme der Gesundheitsfürsorge schützen.

Da passt es ganz gut, dass Krankenhäuser durch den aktuellen Krankenhauszukunftsfonds bis zu 4,3 Milliarden Euro bei 100 % Förderung in ihre Digitalisierung investieren dürfen. Immerhin 15 % davon sind für Verbesserungen in der IT-Sicherheit geplant.

Greenbone Networks‘ Unterstützung für die Digitalisierung im Gesundheitswesen

Wir bei Greenbone Networks haben mit SecureHealth eine Lösung geschaffen, die genau hier den Krankenhäusern hilft. Mit SecureHealth können mögliche Schwachstellen gefunden werden, bevor sie ausgenutzt werden können, denn: Die allermeisten Schwachstellen, die zu Schäden auch an Systemen im Gesundheitsbereich führen, sind nicht etwa neu, sondern schon seit über einem Jahr bekannt. Was oft fehlt, sind Lösungen, die aktive Sicherheit bieten, indem sie solche Schwachstellen vor ihrer Ausnutzung durch Angreifer erkennen, sie priorisieren und Vorschläge für ihre Behebung machen. Genau das macht Greenbone Networks seit über 10 Jahren sehr erfolgreich.

SecureHealth enthält eine Schwachstellenmanagement-Lösung von Greenbone Networks – direkt angepasst auf die Bettenanzahl von Krankenhäusern –, in Form einer Hardware-Lösung, einer virtuellen Lösung oder einer Cloud-Lösung als Managed Service. Außerdem beinhaltet das Paket einen Rundum-Service für Krankenhäuser, von der Unterstützung bei der Antragsstellung zur Förderung über die Implementierung bis hin zur Datenanalyse und Behebung der Schwachstellen. Mehr zur sicheren Digitalisierung im Gesundheitswesen mit SecureHealth erfahren Sie hier.

Der Wassersektor zählt zu den kritischen Infrastrukturen (KRITIS). Ein erfolgreicher Angriff auf den Sektor kann zu erheblichen hygienischen und gesundheitlichen Problemen führen und schlimmsten Fall Menschenleben bedrohen. Bei der 6. VDI-Konferenz zum Thema „Optimierung industrieller Kläranlagen“ informiert Greenbone Networks über Cyber-Resilienz im Wassersektor und wie diese durch frühzeitiges Erkennen und Beseitigen von Schwachstellen erreicht werden kann.

Ansicht eines industrielle Kontrollsystem (ICS)

Alles gut durch Digitalisierung?

Digitalisierung gilt als Heilsbringer der Stunde. Auch wenn man das manchmal kritisch bewerten mag, ist diese Entwicklung nicht aufzuhalten. Es gibt einfach zu viele Gründe, die für Digitalisierung sprechen. Es gibt aber auch viele Gründe, mit denen wir uns kritisch auseinandersetzen müssen, auch und gerade dort wo es um unsere Sicherheit geht. Je mehr Informationstechnologie wir aufstellen, desto mehr digitalisierte Angriffsfläche bieten wir.
Böswillige Nutzer dieser Angriffsflächen können weltweit agieren und ebenfalls digitalisierte Währungen wie Bitcoin ermöglichen es ihnen, auch weltweit Profit aus Schwachstellen zu schlagen.

Im Gegensatz zu einem Bankeinbruch ist der Angriff auf eine industrielle Abwasseranlage eher ein Mittel zum Zweck. Der Angreifer will nicht den Inhalt eines Safes, sondern zielt dabei auf die Verwundbarkeit als solche ab, um sich dadurch Vorteile zu verschaffen, meist durch Erpressung. Angegriffen werde nicht nur technische Anlagen selbst, sondern oft auch das technische und organisatorische Umfeld von Netzen bis zur Verwaltung. Diese Angreifer sind keine Hacker mit Hoodies und Matrix-Bildschirmschoner, die mal eben Notstand auf dem Konto haben, sondern kriminelle Organisationen, die industriell und professional organisiert sind. Dem gegenüber müssen wir uns mit widerstandsfähigen Organisationen, Prozessen und Lösungen wappnen. Das rückt das Thema Cyber-Resilienz immer mehr in unsere Aufmerksamkeit.

Unter Cyber-Resilienz versteht man die Fähigkeit eines Unternehmens oder einer Organisation, ihre Geschäftsprozesse trotz widriger Cyber-Umstände aufrechtzuerhalten. Das können Cyber-Angriffe sein, aber auch unbeabsichtigte Hindernisse wie ein fehlgeschlagenes Software-Update oder menschliches Versagen. Cyber-Resilienz ist ein umfassendes Konzept, das über die IT-Sicherheit hinausgeht. Es vereint die Bereiche Informationssicherheit, Business-Kontinuität und organisatorische Resilienz. Um einen Zustand der Cyber-Resilienz zu erreichen, ist es wichtig, Schwachstellen frühzeitig zu erkennen, sie wirtschaftlich zu priorisieren und zu beseitigen.

Warum Cyber-Resilienz für kritische Infrastrukturen besonders wichtig ist

Nachhaltige Cyber-Resilienz ist für Unternehmen aller Branchen wichtig. Unverzichtbar ist sie aber im Bereich der kritischen Infrastrukturen (KRITIS). Darunter fallen laut Definition der Bundesregierung „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

KRITIS-Organisationen müssen sich daher besonders gut gegen Cyber-Angriffe schützen – das schreibt der Gesetzgeber vor. Die EU begann bereits 2006 mit dem European Programme for Critical Infrastructure Protection (EPCIP) und erweiterte und ergänzte dieses in den folgenden Jahren. Mitgliedsstaaten setzen die EU-NIS Direktive in nationales Recht um, Deutschland beispielsweise mit dem IT-Sicherheitsgesetz (IT-SIG). Große Wirtschaftsnationen haben bereits Regulierungsinstanzen entwickelt. In den USA ist dies zum Beispiel das National Institute of Standards and Technology (NIST) und in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In Deutschland sind die kritischen Infrastrukturen in 9 Sektoren eingeteilt. Einer davon ist der Wassersektor mit den Sparten öffentliche Wasserversorgung und Abwasserbeseitigung. Er umfasst zum Beispiel Wasserwerke, Pumpanlagen, Wasserleitungen und -netze, Kläranlagen, die Kanalisation sowie Stau- und Hochwasserschutzanlagen. Sie alle spielen eine entscheidende Rolle für unsere Gesellschaft.

Angriffe auf die Wasserversorgung könnten eine Gesellschaft daher bis ins Mark treffen und im schlimmsten Fall Menschenleben bedrohen. Ebenso gefährlich sind Attacken auf die Abwasserentsorgung. Funktioniert sie nicht mehr, würde das zu erheblichen hygienischen und gesundheitlichen Problemen führen. Da in der Wasserinfrastruktur heute eine Vielzahl von IT-Systemen und elektronischen Steuerungssystemen (ICS) zum Einsatz kommt, wird sie zum
attraktiven Ziel für Hacker.

Vorfälle zeigen die Verwundbarkeit des Wassersektors

In den vergangenen Jahren gab es weltweit zahlreiche Angriffe auf Wasser-Infrastrukturen. Gravierende Folgen blieben dabei bisher zum Glück aus. Die Attacken zeigen jedoch, dass Hacker ausloten, wie sie die Kontrolle über Steuerungssysteme übernehmen und weitere Angriffe vorbereiten können. So versuchten 2013 iranische Hacker in die Systeme des Bowman Avenue Damms in der Nähe des Ortes Rye Brooke bei New York einzudringen. Der Damm dient dazu, den Wasserfluss nach starken Regenfällen zu kontrollieren und eine Überflutung des Orts zu vermeiden. Den Hackern gelang es, Kontrolle über die Steuerung der Fluttore zu erlangen. Da diese aber gerade wegen einer Wartung nicht am Netz waren, konnten die Cyber-Kriminellen glücklicherweise keinen Schaden anrichten.

Im März 2016 berichtete der Sicherheitsspezialist Verizon in seinem monatlichen Security Breach Report von einem Cyber-Angriff auf einen amerikanischen Wasserversorger, der unter dem Pseudonym Kemuri Water Company genannt wird. Hacker waren in die SCADA-Plattform eingedrungen. Dadurch konnten sie programmierbare Logik-Controller manipulieren. Sie änderten Einstellungen am Wasserfluss und an der Menge der Chemikalien, die für die Wasseraufbereitung zugesetzt wurden. Glücklicherweise entdeckte der Wasserversorger den Vorfall schnell und konnte die Einstellungen wieder korrigieren, ohne dass größerer Schaden entstand. Für ihren Angriff nutzten die Hacker eine ungepatchte Schwachstelle im Kunden-Zahlungsportal aus.

Zwischen November 2016 und Januar 2017 hackten Cyber-Kriminelle mehrere Mobilfunk-Router einer US-Wasserbehörde. Die Router dienten dazu, sicheren kabellosen Zugang für das Monitoring der Pumpstationen zur Verfügung zu stellen. Zum Glück waren die Angreifer jedoch nicht auf Sabotage aus, sondern hatten es auf die Internetressourcen der Behörde abgesehen. Deren Rechnung stieg von durchschnittlich 300 US-Dollar pro Monat auf satte 45.000 Dollar im Dezember und 53.000 Dollar im Januar an. Für ihre Attacke nutzen die Hacker eine Schwachstelle in den Routern des Herstellers Sixnet aus. Dieser hatte nach eigenen Angaben bereits im Mai einen Patch zur Verfügung gestellt, den die Behörde jedoch nicht installiert hatte.

Im vergangenen Jahr wurde Israel gleich mehrfach Opfer von Cyber-Angriffen auf Wasserversorgungs- und -aufbereitungsanlagen. Im April unternahmen Hacker einen großen Cyber-Angriff auf Steuerungs- und Kontrollsysteme von Kläranlagen, Pumpstationen und Abwasserkanäle, wie das Israeli National Cyber Directorate (INCD) in einer Erklärung mitteilte. Das INCD forderte daraufhin Unternehmen im Wassersektor dazu auf, Passwörter für alle mit
dem Internet verbundenen Systeme zu ändern und sicherzustellen, dass die Software der Kontrollsysteme auf dem neuesten Stand ist. Laut Financial Times versuchten die Hacker, den Chlorgehalt des Wassers in einer Wasseraufbereitsungsanlage zu verändern. Der Angriff war nicht erfolgreich. Wäre er es gewesen, hätte eine leichte Vergiftung der Bevölkerung, die von der Aufbereitsungsanlage versorgt wird, die Folge sein können. Bereits im Juni gab es zwei weitere Angriffe auf Israels Wasseranlagen. Dieses Mal waren landwirtschaftliche Wasserpumpen betroffen.

In Deutschland gab es zwar noch keinen vergleichbaren Vorfall, allerdings berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland über die Umsetzung der erforderlichen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen. Im Wassersektor treten dabei Mängel in den Bereichen Netztrennung, Notfallmanagement und physischer Sicherheit auf. Im Berichtszeitraum von Juni 2019 bis Mai 2020 gab es im Wassersektor in Deutschland mehrere Vorfälle, die auf Störungen in Steuerungskomponenten zurückzuführen waren. Die Behebung der Störungen war sehr langwierig und aufwendig. Schäden konnten dadurch vermieden werden, dass die Betreiber umsichtig handelten und Redundanzen vorhanden waren.

Angriffspunkte im Wassersektor

IT- und OT-Systeme unterstützen den Wasserkreislauf. In der Wassererzeugung (1) werden Systeme zur Qualitätskontrolle und digitale Pumpensteuerung
genutzt, um den Wasserzufluss aus verschiedenen Quellen hin zur Wasserverteilung (2) zu steuern. Digitale Mess- und Steuerungsverfahren kontrollieren Wasserdruck und -qualität im Wassernetz und sind somit Teil der gesamten IT-Angriffsfläche. In der Entwässerung (3) werden Abwasserpumpen und Vorreinigungen durch Siebe, die an zentralen Stellen überwacht werden, eingesetzt. Die Wasseraufbereitung (4) ist gerade durch die notwendige digitalisierte Steuerung von physikalischen, chemischen und biologischen Prozessen eine kritische Komponente.

Teile des Wassersektors: Wassererzeugung, Wasserverteilung, Wasseraufbereitung, Wasserentsorgung

In der Trinkwasserversorgung und Abwasserentsorgung kommen daher eine Vielzahl von vernetzten IT-Systemen und industriellen Steuerungssystemen zum Einsatz, die weitgehend automatisierte Prozesse ermöglichen. Beispiele dafür sind Sensoren für die Temperatur, die Durchflussgeschwindigkeit oder den Chlorgehalt, fernauslesbare Zähler, aber auch Webportale und mobile Apps für Kunden.

Hürden für die Cyber-Resilienz im Wassersektor

Um einen Zustand der nachhaltigen Cyber-Resilienz zu erreichen, müssen Unternehmen aus dem Wassersektor das gesamte Spektrum der vernetzten Systeme, Geräte und Applikationen berücksichtigen.

Doch das ist nicht immer ganz einfach. Ein Problem dabei ist, dass die ICS, die in der Wasserinfrastruktur im Einsatz sind, aus unterschiedlichen Generationen stammen. Viele der älteren Steuerungssysteme wurden in einer Zeit entwickelt, in der Cyber Security noch kaum oder gar nicht berücksichtigt wurde. Das führt zu einer heterogenen, verwundbaren IT-Landschaft. Die hochgradige Automatisierung und Abhängigkeit von Industriesteuerungen macht die Wasserinfrastruktur zusätzlich besonders angreifbar. Außerdem werden die eingesetzten IT-Systeme immer komplexer. Dadurch haben es Unternehmen schwer, ein ausreichendes Schutzniveau zu erreichen. Die zunehmende Vernetzung von Komponenten innerhalb der Feld-
und Steuerungsebene sowie der Steuerungs- und Prozessleittechnik erhöht die Komplexität noch weiter. Gleichzeitig vergrößert sich damit die Angriffsfläche für Hacker. Sie haben immer mehr Möglichkeiten, in Netzwerke einzudringen, Daten zu stehlen oder Industrie-Steuerungen zu manipulieren.

Auch bislang nicht ausgenutzte Schwachstellen dürfen nicht unterschätzt werden

Eine kürzlich durchgeführte Studie von Kenna Security hat ergeben, dass die Anzahl der insgesamt entdeckten Schwachstellen pro Jahr von 4.100 im Jahr 2011 auf 17.500 im Jahr 2021 gestiegen ist. Andererseits ist der Anteil der Schwachstellen, die von Hackern ausgenutzt wurden, nicht gleichermaßen stark gewachsen. Was ist der Grund hierfür?

Cyberkriminalität folgt den gleichen ökonomischen Regeln wie jedes andere Geschäftsmodell: geringste Investition für maximales Ergebnis. Aber die Cyberkriminalität leidet auch unter demselben Problem wie die IT-Branche im Allgemeinen: Experten sind eine begrenzte Ressource. Unternehmen können diese Ausgangslage nicht ändern, aber sie können dafür sorgen, dass ihre Angriffsfläche reduziert wird. Eine große Angriffsfläche zu tolerieren, auch wenn die Schwachstellen noch nicht waffenfähig sind, bedeutet, Kontrolle durch Glücksspiel zu ersetzen. Sobald es für Cyberkriminelle billiger erscheint oder das Ergebnis vielversprechend ist, wird sich die Internetkriminalität auf noch nicht waffenfähige Schwachstellen konzentrieren und die Umwandlung der Schwachstellen in Waffen wird schnell erfolgen.

Noch schlimmer ist die Motivation von Cyber-Terroristen, die bisher aufgrund mangelnder Fachkenntnisse glücklicherweise erfolglos waren. Es ist unklar, ob sie die notwendigen Fähigkeiten erlangen werden und falls ja, wann. Aber sie folgen nicht den Regeln der Ökonomie, was sie bei der Auswahl von Zielen und geeigneten waffenfähigen Schwachstellen weniger berechenbar macht.

Im Wesentlichen gibt es zwei gute allgemeine Gründe, warum Organisationen einen Prozess zur Verwaltung und Minimierung ihrer gesamten Angriffsoberfläche einrichten sollten und sich nicht nur auf die aktuellen (oder wahrscheinlichen) waffenfähigen Schwachstellen konzentrieren
sollten:

  • Pandemierisiko: Während es für eine einzelne kriminelle Organisation vielleicht nicht attraktiv ist, in die Umwandlung einer teureren Schwachstelle in eine Waffe zu investieren, wird es umso interessanter, je mehr Unternehmen sich dazu entscheiden, nichts gegen diese Schwachstelle zu unternehmen. Je weniger geimpft werden, desto besser breitet sich die Pandemie aus.
  • Automatisierungsrisiko: Die Automatisierung von Exploits ist nicht nur ein attraktiver, kostengünstiger Weg. Sie reduziert das Zeitfenster, um mit Gegenmaßnahmen zu reagieren, erheblich.

Geringe Angriffsfläche durch Schwachstellenmanagement

Unabhängig davon, wie viele Schwachstellen vorhanden sind, wird die Bewältigung von Schäden und aktiven Gegenmaßnahmen gegen laufende Angriffe für Unternehmen exponentiell teuer, wenn sie nicht von einem kontinuierlichen Prozess begleitet werden, der die Angriffsfläche identifiziert, verwaltet und reduziert.

Cyber-Resilienz ist ein kontinuierlicher Prozess. Er verstärkt die Fähigkeiten eines Unternehmens, einer Attacke zu widerstehen, und versetzt es in die Lage, auch während eines Angriffes zu funktionieren. Um dies zu erreichen, ist es wichtig, die Angriffsfläche zu reduzieren und so die Basis zu stabilisieren. Das bedeutet, Schwachstellen zu identifizieren, die von einem Angreifer ausgenutzt werden könnten und somit dem Angreifer einen Schritt voraus zu sein.
999 von 1.000 Schwachstellen sind bereits über ein Jahr bekannt. Mit Schwachstellenmanagement können diese Schwachstellen also erkannt und beseitigt werden, bevor sie von einem Angreifer ausgenutzt werden. Dies reduziert die Angriffsfläche der IT-Infrastruktur stark.

Schwachstellenmanagement-Lösungen arbeiten voll automatisiert und bieten durch Features wie Zeitpläne und benutzerdefinierte Scan-Konfigurationen den Nutzern die Möglichkeit, vollständige Schwachstellenmanagement-Prozesse zu erstellen, die ständig nach Schwachstellen suchen. Im Endergebnis sorgt Schwachstellenmanagement für nachhaltig widerstandsfähigere Systeme.

Durch die Integration von macmon NAC mit dem Greenbone Security Manager entsteht ein schnell agierendes, vollautomatisches Sicherheitskonzept. Neue oder über längere Zeit abwesende Endgeräte im Netzwerk werden automatisch von macmon NAC erkannt und anschließend vom Greenbone Security Manager auf Schwachstellen gecheckt. Hier erfahren Sie mehr über die Partnerschaft von Greenbone Networks und macmon secure.

Die als physische und virtuelle Appliance verfügbare Greenbone Professional Edition, basierend auf dem Greenbone Security Manager (GSM), identifiziert Sicherheitslücken in der Unternehmens-IT und bewertet deren Risikopotenzial. Zudem empfiehlt der GSM Maßnahmen zur Behebung gefundener Schwachstellen.

Ziel ist es, Angriffspunkte zu erkennen, bevor Cyberkriminellen es tun und somit Angriffe zu verhindern. Denn die Praxis zeigt: 999 von 1.000 ausgenutzten Schwachstellen waren bereits über 12 Monate bekannt und hätten somit geschlossen werden können. Zur Lösung gehört ein tägliches Security-Update der Schwachstellentests, die zum Aufspüren der Schwachstellen ausgeführt werden. Aktuell sind über 87.000 Schwachstellentests verfügbar. Der GSM findet mittlerweile in über 50.000 professionellen Installationen und Integrationen quer durch alle Branchen und Unternehmensgrößen Anwendung. Die schlüsselfertige Appliance basiert auf Open-Source-Software und lässt sich innerhalb kürzester Zeit in Betrieb nehmen.

Seit 2018 ist Greenbone Networks Technologiepartner der macmon secure GmbH.

Wie funktioniert die technische Partnerschaft von Macmon und Greenbone Networks?

macmon secure lässt neue Endgeräte beim Betreten des Unternehmensnetzwerks vom GSM nach Schadsoftware scannen und wertet regelmäßig den Compliance-Status aus, um das Unternehmensnetzwerk zu schützen. Dazu Christian Bücker, Geschäftsführer macmon secure GmbH: „Es ist für die IT-Sicherheit wichtig, das Unternehmensnetzwerk regelmäßig zu scannen. Das Ergebnis dieses Scans wird von GSM bereitgestellt und in regelmäßigen Abständen von macmon NAC ausgewertet. Wenn das Gerät im Einklang mit den Unternehmensrichtlinien steht, wird der Netzwerkzugang weiterhin gewährt. Ist dies nicht der Fall, kann macmon NAC mit einer konfigurierten Reaktion das Endgerät isolieren oder vom Netzwerk trennen und den Administrator benachrichtigen. Somit wird eine regelkonforme Netzwerkzugangskontrolle gewährleistet.“

macmon NAC erkennt neue und wiederkehrende Endgeräte und initiiert Scans

In einem Unternehmensnetzwerk gibt es ständig neue Geräte. Für gewöhnlich stellt ein Administrator sicher, dass ein solches Endgerät nicht mit Schadcode infiziert ist und keine Gefahr für die Datenintegrität und die Netzwerksicherheit darstellt. macmon NAC erkennt ein neues Endgerät, wenn es mit dem Netzwerk verbunden wird und beauftragt den GSM mit einem Scan. Entsprechend des Ergebnisses wird der Zugang gewährt oder verweigert.

Außerdem erkennt macmon NAC ein wiederkehrendes Endgerät und lässt es vom GSM scannen, wenn der Zeitraum der Abwesenheit zu groß ist. Einige Endgeräte können nicht regelmäßig gescannt werden, weil sie nicht dauerhaft ans Unternehmensnetzwerk angeschlossen sind.

So kann beispielsweise eine Mitarbeiterin im Außendienst für Tage oder Wochen außer Haus sein. Bei der Rückkehr verbindet sich das Endgerät erneut mit dem Unternehmensnetzwerk, wo es von macmon NAC erkannt wird. macmon NAC gibt dem GSM dann den Befehl, einen Scan durchzuführen. Das Ergebnis dieses Scans wird vom GSM bereitgestellt. Wenn das Gerät mit den Unternehmensrichtlinien konform ist, wird der Netzwerkzugang weiterhin gewährt. Ist dies nicht der Fall, kann macmon NAC, wie bei einem neuen Endgerät auch, mit einer konfigurierten Reaktion das Endgerät isolieren und wiederum den Administrator benachrichtigen.

macmon NAC überprüft somit regelmäßig, je nach zeitlichen Vorgaben des Anwenders, die Integrität neuer und temporär abwesend gewesener Endgeräte.

Die Geschäftsführer von macmon secure und Greenbone Networks bestätigen die Vorteile der Partnerschaft für die Sicherheit Ihrer Kunden

Dr. Jan-Oliver Wagner, CEO und Mitbegründer von Greenbone Networks: „Sowohl macmon als auch Greenbone achten auf eine schnelle, vollautomatische Reaktion, um die Einhaltung von Sicherheits-Richtlinien zu gewährleisten. Auch Angreifer nutzen Automatisierung. Ihnen setzen wir ein individuelles, nach Kunden-Vorgaben handelndes System-Team entgegen. Potenzielle Angriffsflächen werden schnell und gezielt isoliert, geprüft und freigegeben. Auch nachts um 2 Uhr. Die Stärken beider Unternehmen ergänzen sich perfekt, um größtmögliche Sicherheit für die Kunden zu gewährleisten.“

Dazu Christian Bücker, Geschäftsführer von macmon secure: „Der große Vorteil dieser Integration ist, dass sobald macmon NAC die Anwesenheit eines Endgerätes erkennt, sofort und vollautomatisch ein Scan durchlaufen wird. Wird ein unerwünschter Zustand erkannt, wird macmon NAC direkt informiert und reagiert sofort und automatisch mit der Aussperrung oder Quarantäne-Schaltung. Es geht also um schnelle, automatische Reaktionen ohne Administratoreingriff. Und natürlich wird das Sicherheitskonzept gestärkt, da beide Lösungen ihre Expertisen zusammenlegen. macmon NAC kann sehr schnell erkennen, dass ein Gerät frisch ins Netzwerk gekommen ist und das Enforcement für Greenbone übernehmen, welches nicht selbst Sicherheitsregeln vollstrecken kann. Greenbone kann sehr gut Schwachstellen aufzeigen, was wiederum nicht macmons Hauptdisziplin ist.“

Die Integration des Greenbone Security Manager mit macmon NAC wird einfach über die Web-Oberfläche von macmon NAC vorgenommen.

Es war einer der spektakulärsten Cyberangriffe aller Zeiten: Im Herbst 2019 griffen Hacker SolarWinds an und schleusten im Frühjahr 2020 eine Malware in ein Update der Orion-Plattform von SolarWinds ein. Kunden, die die kompromittierte Version der Netzwerkmanagement-Software installierten, bekamen die Backdoor „SUNBURST“ gleich frei Haus – darunter zahlreiche US-Regierungsbehörden und große Unternehmen. Gut getarnt konnten die Hacker so lange Zeit unbemerkt Daten ausspionieren. Hier erfahren Sie, wie Sie sich mit Greenbone Networks‘ Lösungen vor dem SolarWinds-Angriff schützen können.

Den Cyberkriminellen ist damit ein nahezu perfekter Coup gelungen. Das Perfide daran: Kunden von SolarWinds nutzen die Orion-Plattform eigentlich, um ihre IT-Umgebung zu überwachen. Ausgerechnet eine Software, die schützen soll, bringt also die Gangster ins Haus. Dabei gingen die Angreifer ganz gezielt und äußerst raffiniert vor. Sie attackierten SolarWinds zunächst mit der speziell entwickelten „SUNSPOT“-Malware. Diese infiltrierte eine bösartige Hintertür mit dem Namen „SUNBURST“, manchmal auch „Solorigate“ genannt, in den Produktionsprozess der Produktlinie „SolarWinds Orion-Plattform“. Die Malware wurde direkt in den Code eingebettet und mit einer gültigen Software-Signatur versehen. Dadurch war sie perfekt getarnt. Mit dem kompromittierten Update konnte die Backdoor dann unbemerkt an die Kunden verteilt werden.

Lange Zeit unentdeckt

Am 12. Dezember 2020 wurde SolarWinds über den Vorfall informiert und hat Untersuchungen eingeleitet. Das Sicherheitsunternehmen FireEye, das zu den betroffenen Opfern gehört, veröffentlichte zusätzliche Informationen über den Einbruch in sein Netzwerk. Demzufolge hatten die Cyberkriminellen verschiedene Angriffswerkzeuge von FireEye gestohlen, die das Unternehmen für Tests seiner eigenen Kunden verwendet. Auch andere SolarWinds-Kunden meldeten Sicherheitsverletzungen. Doch damit noch nicht genug: Während der Untersuchung des Vorfalls fanden Sicherheitsforscher eine weitere Backdoor, die offensichtlich von einer zweiten, unabhängigen Hackergruppe stammt. Die Angreifer hatten die bis dahin unbekannte Schwachstelle CVE-2020-10148 in der Orion-Plattform ausgenutzt, um eine bösartige Webshell mit dem Namen „SUPERNOVA“ auf Zielen zu installieren, auf denen die Orion-Plattform läuft. In jüngster Zeit wurden außerdem mehrere neue Schwachstellen entdeckt, die eine vollständige Remote-Codeausführung ermöglichen können, wenn sie nicht gepatcht werden.

Im Greenbone Security Manager (GSM) sind die passenden Schwachstellentests bereits integriert

Rund 18.000 Kunden haben das kompromittierte Update von SolarWinds erhalten und sind damit potenziell vom Hack betroffen. Nicht bei allen sind die Cyberkriminellen aber auch durch die Hintertür eingedrungen und haben Daten abgegriffen. Bisher haben sie sich wohl auf besonders attraktive Ziele konzentriert. Sind Ihre Netzwerke auch gefährdet? Als Kunde von Greenbone Networks können Sie das schnell herausfinden. Denn wir haben sofort reagiert, als der Vorfall bekannt wurde und entsprechende Schwachstellentests in den Greenbone Security Manager integriert. Das Vulnerability Scanning zeigt an, ob Ihre IT-Umgebung über „SUNBURST“/„Solorigate“ oder CVE-2020-10148 verwundbar ist und Sie damit zu den potenziellen Angriffszielen zählen. Außerdem kann der GSM prüfen, ob Sie bereits Opfer von „SUPERNOVA“ oder den zusätzlich von den Hackern genutzten Malware-Tools „TEARDROP“ oder „Raindrop“ geworden sind.

Die Lage ist ernst, aber es gibt gute Lösungen

Wer von den genannten Schwachstellen betroffen ist, sollte sie schließen. SolarWinds hat mittlerweile Hotfixes dafür veröffentlicht. Allzu sicher fühlen dürfen wir uns trotzdem nicht. Denn die unbekannte Hackergruppe ist weiterhin aktiv. Erst vor Kurzem hat das Sicherheitssoftware-Unternehmen Malwarebytes mitgeteilt, dass es Opfer eines Cyberangriffs geworden ist. Offensichtlich stecken dieselben Akteure dahinter wie beim SolarWinds-Hack, obwohl Malwarebytes selbst gar keine SolarWinds-Software einsetzt. Als Angriffsvektor haben die Cyberkriminellen Anwendungen mit privilegiertem Zugriff auf Office 365- und Azure-Umgebungen missbraucht. Der Schaden war nach eigenen Angaben glücklicherweise gering und Malwarebytes-Software wurde nicht kompromittiert.

Die Vorfälle zeigen allerdings, dass wir eine neue Dimension der Cyberkriminalität erreicht haben. Die Akteure führen perfekt geplante, komplexe und mehrstufige Attacken durch, bei denen sie zunächst eine vertrauensvolle Software hijacken und dann als blinder Passagier zu vielen anderen lukrativen Opfern vordringen. Um solchen Angriffen so wenig Chancen wie möglich einzuräumen, ist es wichtig, Schwachstellen frühzeitig zu erkennen und zu schließen.

 

Gibt es eigentlich unabhängige Testberichte über die Lösungen von Greenbone Networks?

Natürlich – wir sind stolz, Ihnen den aktuellen Bericht eines führenden Branchenmagazins vorstellen zu können: „IT-Administrator hat das System [Lösung von Greenbone Networks] ausprobiert und war von dessen Funktionsumfang begeistert.“ (IT-Administrator 01/2021)

Im September 2020 bat das Magazin IT-Administrator – eine deutsche Fachzeitschrift für professionelle System- und Netzwerkadministration – Greenbone Networks darum, einen Testbericht über eine Greenbone-Appliance schreiben zu dürfen.

Der Bericht ist aktuell in der Januarausgabe des Magazins erschienen. Hier können Sie den ausführlichen Bericht lesen.

Im Test nahm IT-Administrator den Greenbone Security Manager 150 genauer in Augenschein. Der GSM 150 ist eine physische Appliance für das Schwachstellenmanagement in kleinen bis mittelgroßen Unternehmen oder Organisationen mit mittelgroßen Zweigstellen. Er scannt innerhalb von 24 Stunden bis zu 500 IP-Adressen und kann darüber hinaus auch als Sensor für größere Appliances genutzt werden.

Getestet wurde alles, was auch bei einem standardmäßigen Einsatz eines Greenbone Security Managers zu tun ist: angefangen beim ersten Setup über die Konsole, über das Konfigurieren von Scans auf der Web-Oberfläche bis hin zum Auswerten eines Scanberichts.
Für das Testen der Schwachstellenscans hatte IT-Administrator verschiedene Zielsysteme mit unterschiedlichem Sicherheitsstatus vorbereitet, um die Unterschiede in den Ergebnissen unter die Lupe zu nehmen. Auch authentifizierte Scans waren Teil des Tests.

Lesen Sie den ganzen Artikel hier.

Mithilfe von Compliance Richtlinien kann ein Unternehmen prüfen, ob alle im System integrierten Komponenten die erforderlichen Vorgaben erfüllen. Durch die steigende Digitalisierung und die damit einhergehende Zunahme neuer Technologien entstehen Chancen, aber auch Risiken. Aus diesem Grund nehmen auch die Anforderungen an die Compliance zu. Mit GOS 20.08 wurden alle Compliance Richtlinien über den Greenbone Security Feed verfügbar gemacht und vier neue Compliance Richtlinien hinzugefügt: TLS-Map, BSI TR-03116: Part 4, Huawei Datacom Product Security Configuration Audit Guide und Windows 10 Security Hardening.

Compliance Richtlinien für unterschiedliche Branchen

Was ist überhaupt eine Compliance Richtlinie?

Neben den gesetzlichen Vorgaben haben Unternehmen und Behörden oft auch ihre eigenen Richtlinien, die für die sichere Konfiguration eines Systems zu erfüllen sind. Ziel dabei ist es, für die Informationssicherheit des Unternehmens oder der Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, die dafür nötig sind, werden in einem Dokument zu einer Richtlinie zusammengefasst.

Auf Basis der einzelnen Kriterien der Richtlinien entwickelt Greenbone Networks Schwachstellentests – grob gesagt: ein Kriterium ergibt einen Schwachstellentest. Diese Tests fasst Greenbone Networks zu Scan-Konfigurationen zusammen.

Solche Scan-Konfigurationen, die Richtlinien von Unternehmen oder Behörden abbilden, werden als Compliance Richtlinien bezeichnet.


Beispiel: Ein Unternehmen bringt eine Security Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen beim Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.


Neu: Verteilung der Compliance Richtlinien über den Greenbone Security Feed

Ab GOS 20.08 werden alle standardmäßigen Scan-Konfigurationen, Berichtsformate, Portlisten und Compliance Richtlinien von Greenbone Networks über den Greenbone Security Feed verteilt.

Dies ermöglicht unter anderem die Veröffentlichung und Verteilung von Scan-Konfigurationen für aktuelle, heiße Schwachstellen-Tests. Früher wurden diese als XML-Dateien für den manuellen Download auf der Greenbone-Download-Website veröffentlicht und mussten vom Nutzer selbst importiert werden – was sehr mühsam war und Raum für Fehler ließ, weshalb eine schnelle Anwendung kaum möglich war.

Doch dies ist nicht der einzige Vorteil. Auch die Fehlerbehebung für den Kunden ist somit viel einfacher und schneller: die Objekte können mit einem einzigen Feed-Update für alle Setups aktualisiert und, falls nötig, gefixt werden.

Zusätzlich zu dieser Neuerung wurde der Greenbone Security Feed um ein paar wichtige Compliance Richtlinien erweitert.

Mehr Compliance Richtlinien im Greenbone Security Feed

Dem Greenbone Security Feed wurden im 4. Quartal 2020 vier neue Compliance Richtlinien hinzugefügt:

  • TLS-Map
  • BSI TR-03116: Part 4
  • Huawei Datacom Product Security Configuration Audit Guide
  • Windows 10 Security Hardening

Über die spezielle Scan-Konfiguration TLS-Map

Hinweis: Bei TLS-Map handelt es sich um eine Scan-Konfiguration für spezielle Scans, die sich von Schwachstellenscans unterscheiden. Aus Gründen der Übersichtlichkeit wird diese spezielle Scan-Konfiguration in diesem Beitrag mit den Compliance Richtlinien zusammen aufgeführt.

Die spezielle Scan-Konfiguration TLS-Map ist überall dort hilfreich, wo eine gesicherte Kommunikation über das Internet stattfindet. TLS – kurz für Transport Layer Security – ist ein Protokoll für die sichere Übertragung von Daten im Internet. Es ist der Nachfolger von SSL – Secure Sockets Layer –, weshalb beide Protokolle auch heute oft noch synonym verwendet werden. Alle SSL-Versionen und TLS-Versionen vor Version 1.2 sind allerdings seit spätestens 2020 veraltet und somit unsicher.

Das größte Einsatzgebiet von TLS ist die Datenübertragung im World Wide Web (WWW), beispielsweise zwischen einem Webbrowser als Client und einem Server wie www.greenbone.net. Andere Anwendungsgebiete finden sich im E-Mail-Verkehr und bei der Übertragung von Dateien über File Transport Protocol (FTP).

Die spezielle Scan-Konfiguration TLS-Map prüft, ob die erforderliche TLS-Version auf dem Zielsystem vorhanden ist und ob die benötigten Verschlüsselungsalgorithmen – sogenannte Ciphers – angeboten werden.

Über die Compliance Richtlinie BSI TR-03116: Part 4

Die Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt für Projekte der Bundesregierung zum Einsatz. Das bedeutet, soll ein Bundesprojekt umgesetzt werden, muss die Richtlinie erfüllt werden. Sie besteht aus insgesamt 5 Teilen:

  • Teil 1: Telematikinfrastruktur
  • Teil 2: Hoheitliche Ausweisdokumente
  • Teil 3: Intelligente Messsysteme
  • Teil 4: Kommunikationsverfahren in Anwendungen
  • Teil 5: Anwendungen der Secure Element API

Die Compliance Richtlinie, die Greenbone Networks entsprechend entwickelt hat, prüft, ob die Inhalte des vierten Teils der Richtlinie erfüllt werden. Dieser Teil enthält Anforderungen für Kommunikationsverfahren.

Die Compliance Richtlinie BSI TR-03116: Part 4 im Greenbone Security Feed prüft die drei Hauptanforderungen – minimal unterstützte TLS-Version sowie notwendige und nicht legitime Ciphers – der technischen Richtlinie.

 Über die Compliance Richtlinie Huawei Datacom Product Security Configuration Audit Guide

Compliance Richtlinien für Huawei-Lösungen befinden sich bereits seit längerer Zeit im Greenbone Security Feed.

Für die folgenden beiden Lösungen hatte Greenbone Networks bereits zuvor Compliance Richtlinien entwickelt:

  • EulerOS: Linux-Betriebssystem, basierend auf CentOS
    Zugehörige Compliance Richtlinie: EulerOS Linux Security Configuration
  • GaussDB: Datenbankmanagementsystem (DBMS)
    Zugehörige Compliance Richtlinie: GaussDB 100 V300R001C00 Security Hardening Guide

Mit einer Compliance Richtlinie für Huawei Datacom, einer Produktkategorie, die auch Router und Switches mit einem eigenen Betriebssystem umfasst, kommt nun eine dritte Compliance Richtlinie für von Huawei entwickelte Lösungen hinzu.

Für alle drei Produkte – Huawei Datacom, EulerOS und GaussDB – gibt es Sicherheitskonfigurationen, die von Huawei vorgegeben wurden. Auf deren Basis hat Greenbone Networks Compliance Richtlinien entwickelt, die die Einhaltung eben jener Sicherheitskonfigurationen prüfen. Die unterschiedlichen Compliance Richtlinien finden immer dann Anwendung, wenn auf dem Zielsystem die entsprechende Lösung vorhanden ist.

Für Huawei Datacom vertreibt Huawei den Huawei Datacom Product Security Configuration Audit Guide. Die zugehörige, neu entwickelte Compliance Richtlinie prüft beispielsweise ob die korrekten Versionen von SSH und SNMP auf dem Zielsystem vorhanden ist.

Über die Compliance Richtlinie Windows 10 Security Hardening

Die Compliance Richtlinie Windows 10 Security Hardening beinhaltet Schwachstellentests, um die Härtung von Windows 10 nach Industriestandards zu bewerten.

Unter anderem prüft die Compliance Richtlinie unterschiedliche Passwortvorgaben wie Alter, Länge und Komplexität des Passworts, Vorgaben für das Vergeben von Benutzerrechten und Anforderungen für unterschiedliche Systemdienste.

Jetzt noch schnellere Einbindung von Compliance Richtlinien mit GOS 20.08

Mit fortschreitender Digitalisierung wachsen in Unternehmen jeder Größe und Branche die Anforderungen an die Compliance.

Durch die direkte Einbindung der Compliance Richtlinien über den Greenbone Security Feed und der Aufnahme neuer Compliance Richtlinien, werden Zielsysteme noch effektiver, einfacher und schneller geprüft und somit der Schutz der IT-Infrastruktur erhöht, ohne dass spezielles Compliance-Know-How benötigt wird.

Natürlich arbeiten wir auch weiterhin laufend an neuen Compliance Richtlinien. Sie dürfen also gespannt sein!

Arbeitsplatz im Home OfficeIn der Corona-Krise mussten viele Unternehmen im Eiltempo Home Office-Arbeitsplätze einrichten. Die Security blieb dabei oft auf der Strecke. Höchste Zeit, Versäumnisse nachzuholen. Denn im Heimnetzwerk lauern viele Schwachstellen. Die Greenbone Managed Service Plattform (GMSP) hilft dabei, sie aufzuspüren und zu schließen.

Auch wenn wir langsam zur Normalität zurückkehren, werden Home Office-Arbeitsplätze künftig eine größere Rolle spielen. Viele Unternehmen haben erkannt, dass arbeiten zu Hause möglich ist und durchaus Vorteile mit sich bringt. Vor allem aber haben wir alle aus der Pandemie gelernt, wie wichtig es ist, im Krisenfall handlungsfähig zu bleiben. Mitte März musste alles schnell-schnell gehen. Doch jetzt, wo wieder mehr Ruhe einkehrt, sollten Unternehmen Sicherheitslücken schleunigst schließen. Denn sonst haben Cyberkriminelle leichtes Spiel.

Was ist eigentlich das Problematische an der Home Office-Situation? Wenn man Firmen-Laptops plötzlich ins Heimnetzwerk verlegt, reißt man sie aus einer gut abgesicherten Umgebung und macht sie angreifbar. Gewohnte Security-Mechanismen wie Firewalls und Virenscanner fehlen hier. Deshalb ist es wichtig Systemkonfigurationen und Nutzerberechtigungen an die veränderten Bedingungen anzupassen. Was im Firmennetz erlaubt ist, darf nicht eins zu eins ins Home Office übertragen werden. Zum Beispiel Download-Rechte: Lädt ein Mitarbeiter im Büro eine Datei herunter, wird sie vorab von der Firewall gefiltert – im Heimnetzwerk dagegen nicht. Handelt es sich um Malware, kann sie den Rechner ungestört infizieren. Unbedingt prüfen sollten Administratoren auch die Konfiguration des VPN-Clients, über den sich der Mitarbeiter mit dem Unternehmensnetz verbindet. Denn manche Clients sind so eingerichtet, dass sie nur ausgewählten Datenverkehr über die Unternehmens-Infrastruktur leiten. Reine Internet-Anfragen, zum Beispiel an bekannte öffentliche Dienste, gehen dagegen direkt an einen Server im Internet und damit an der Firewall vorbei.

Viele leichte Angriffsziele

Ein weiteres Risiko stellen die Systeme dar, von denen das Firmen-Notebook im Home Office umgeben ist. Das können zum Beispiel Computer von Familienangehörigen oder Smart-TVs sein. Häufig sind sie ungepatcht und veraltet. Denn wer installiert im privaten Umfeld schon sorgfältig jedes Update? Für Cyberkriminelle sind solche Geräte ein leichtes Ziel. Einmal gekapert, können die Hacker von dort aus andere Systeme im selben Netzwerk kompromittieren und sogar bis ins Unternehmensnetz vordringen. Ob sich ein Angriff lohnt, können sie meist ganz einfach erkennen. Vielleicht stand in der Lokalzeitung, dass Firma XY ihre Mitarbeiter ins Home Office geschickt hat. Oder es ist bereits ein Familien-Computer mit einer Spionage-Malware infiziert. Ein solcher Trojaner scannt seine Umgebung kontinuierlich und meldet, wenn neue Systeme hinzukommen. Der Hacker kann dann anhand des Systemnamens erkennen, dass es sich um ein Unternehmens-Laptop handelt, und weitere Schritte planen.

Hacker nutzen die Krise aus

Gerade in Zeiten von Corona haben es Cyberkriminelle leicht, Opfer auszutricksen und Malware einzuschleusen. Denn die Menschen sind verunsichert und fallen dadurch leichter auf Betrüger herein. Eine besonders beliebte Angriffsmethode ist Phishing. So versuchten Hacker zum Beispiel verstärkt, Anwender auf vermeintliche Corona-Informationsseiten zu locken und dort zum Download gefährlicher Dateien zu bewegen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nahm die Zahl der Corona-bezogenen Domain-Registrierungen exponentiell zu – wohl auch im Hinblick auf kriminelle Aktivitäten. Eine andere Masche könnte sein, dass sich ein Hacker als Netzwerkadministrator ausgibt und einen Mitarbeiter auffordert, sein System zu aktualisieren – er müsse dafür nur den beigefügten Link anklicken. Schon installiert der arglose Nutzer einen manipulierten VPN-Client, der sämtlichen Netzwerkverkehr über den Server des Cyberkriminellen leitet.

Schwachstellen identifizieren und schließen

Eine wichtige Maßnahme, um die Sicherheit im Home Office zu erhöhen, besteht darin, Sicherheitslücken aufzudecken und zu schließen. Viele Unternehmen betreiben schon Schwachstellenmanagement in ihrer internen Infrastruktur. Mit der GMSP von Greenbone lässt sich dies ganz einfach auf die Home-Office-Umgebung ausweiten. Der Cloud Service scannt alle im Netzwerk angeschlossenen Systeme auf Sicherheitslücken, zum Beispiel fehlende Patches oder unsichere Konfigurationen. Anschließend bewertet er die Funde nach Risiko und schlägt Methoden zur Minderung vor. Um ein Home Office-Netzwerk in das Vulnerability Management einzubinden, müssen Kunden lediglich ein neues Gateway auf der Plattform anlegen. Anschließend erhält der jeweilige Mitarbeiter einen Download-Link, installiert das Gateway und startet den Scan. Abgerechnet wird nach Zahl der gescannten IP-Adressen. Wenn das Unternehmen die GMSP bereits intern nutzt, fallen für das Home Office Gateway keine zusätzlichen Kosten an.

Am Ende profitieren beide Seiten: der Mitarbeiter und das Unternehmen. Der Mitarbeiter kann sein Heimnetzwerk mit einer professionellen Lösung auf Schwachstellen scannen und so die Cyber Security bei sich zu Hause erhöhen. Das Unternehmen gewinnt mehr Transparenz über die erweiterte Angriffsfläche, kann bestehende Sicherheitslücken schließen und sich resilienter gegen Cyberangriffe machen.

Cyber Resilience ist in aller Munde – Medien, Unternehmen, Hersteller und auch Regierungen diskutieren über diesen Nachfolger der klassischen IT Security mit wachsender Intensität. Doch was verbirgt sich hinter dem Konzept genau und wie können es Unternehmen umsetzen beziehungsweise was zeichnet Unternehmen aus, die bereits besonders widerstandsfähig gegen Cyber-Angriffe sind? Diesen Fragen sind wir bei Greenbone mit einer großangelegten globalen Studie in Zusammenarbeit mit dem Marktforschungsunternehmen Frost & Sullivan auf den Grund gegangen. Die Ergebnisse liegen nun in einem 52-seitigen Berichtsband vor.

Cyber Resilience

Die Zukunft der IT Security heißt Cyber Resilience, das wird immer mehr Verantwortlichen bewusst. Angesichts zunehmend aggressiverer Hacker-Strategien und steigender Technologiekomplexität können sie nicht länger darauf vertrauen, dass der IT-Security-Schutzwall um ihre Unternehmens-IT alle Angriffe abwehrt. Früher oder später wird ein Angreifer einen Weg finden – und was dann? Dann geht es darum, den Schaden so gut wie möglich einzudämmen und die Kerngeschäftsprozesse aufrechtzuerhalten, um Kunden weiterhin mit Produkten und Dienstleistungen zu versorgen.

Kernziel der Studie: Resilienz-Merkmale identifizieren

Wir bei Greenbone beschäftigen uns schon seit mehreren Jahren intensiv mit Cyber Resilience. Was macht sie aus? Welche Dimensionen gibt es zu beachten? Vor welchen individuellen Herausforderungen stehen Unternehmen in verschiedenen Branchen dabei? Welche Best Practices haben sich bewährt? Um Antworten auf diese und noch mehr Fragen zu finden, haben wir zusammen mit dem Marktforschungsunternehmen Frost & Sullivan eine großangelegte Studie durchgeführt. Unser Grundgedanke dabei war, besonders widerstandsfähige Unternehmen zu identifizieren und anschließend zu analysieren, was diese im Vergleich zu weniger widerstandfähigen Betrieben auszeichnet. Auf diese Weise lassen sich konkrete Handlungs- und Investitionsempfehlungen ableiten – die uns nicht zuletzt auch dabei helfen, unsere bewährte Schwachstellenmanagement-Technologie weiterzuentwickeln, die wir seit Kurzem auch als Managed Service anbieten.

Zufällig entdecktes Datenleck im Gesundheitssektor verzögert Veröffentlichung

Besonderes Augenmerk legen wir dabei auf Unternehmen in kritischen Infrastrukturen (KRITIS). Denn bei Ihnen geht es nicht nur um wirtschaftliche Einbußen oder Rufschädigungen – hier sind im Extremfall Menschenleben bedroht, wenn etwa medizinische Geräte ausfallen oder die Stromversorgung für die Bevölkerung zusammenbricht. Daher wollten wir die Studienergebnisse mit Praxisbeispielen aus eben diesen KRITIS-Sektoren anreichern – und stießen bei unseren Recherchen auf ein riesiges Datenleck im Gesundheitsbereich: Millionen Patientendatensätze und damit verknüpfte medizinische Bilder waren über eine Schwachstelle der PACS-Server (Picture Archiving and Communication Systems-Server), auf denen sie gespeichert sind, frei zugänglich – auch ohne jegliche Programmierkenntnisse. Komplette Krankengeschichten, inklusive persönlichen Daten wie Name und Geburtstag des Patienten sowie Name des behandelnden Arztes, konnten vollständig ausgelesen werden.

Ein Skandal, der für uns die Veröffentlichung der Studienergebnisse erst einmal in den Hintergrund rücken ließ. In Zusammenarbeit mit dem Bayerischen Rundfunk und der US-Investigativ-Plattform ProPublica, die über unsere Recherche berichteten, und anschließend mit Behörden und IT-Security-Spezialisten rund um den Globus setzten wir uns intensiv dafür ein, den freien Zugriff auf diese Patientendaten schnellstmöglich einzuschränken. Mit nur teilweisem Erfolg: Noch immer sind etwa 400 PACS-Systeme mit dem Internet verbunden und die darauf gespeicherten Patientendaten damit für jedermann zugänglich. Daher sind wir auch weiterhin in engem Austausch mit den zuständigen Behörden. Unseren Bericht zum Patientendatenleck gibt es hier zum Download.

Preview einiger Studienergebnisse

Neben unserer Arbeit im Gesundheitssektor bezogen wir in unsere Studie auch Unternehmen aus den Bereichen Energie, Finanzen, Telekommunikation, Transport und Wasser ein. Insgesamt befragten wir 370 Organisationen mit durchschnittlich 13.500 Mitarbeitern aus den fünf größten Volkswirtschaften der Welt: den USA, Großbritannien, Frankreich, Japan und Deutschland. Aus diesem breit gefächerten Studiendesign konnten wir neben Antworten auf unsere Kernfragen einige weitere interessante Erkenntnisse gewinnen:

US-Unternehmen sind Vorreiter in Sachen Cyber Resilience

Insgesamt sind nur 36 Prozent der befragten Unternehmen in hohem Maße Cyber-resilient. Die USA schneiden mit 50 Prozent am besten ab, europäische Unternehmen liegen im Mittelfeld und japanische Organisationen bilden mit nur 22 Prozent das untere Ende der Skala.

Sektor Transport am wenigsten widerstandsfähig gegen Cyber-Angriffe

Über alle Länder hinweg sind Finanz- und Telekommunikationsunternehmen (46 Prozent) am besten gegen Cyber-Angriffe gerüstet. Es folgen die Sektoren Wasser (36 Prozent), Gesundheit (34 Prozent) und Energie (32 Prozent). Bei Transportunternehmen erreichen nur 22 Prozent ein hohes Niveau an Cyber Resilience.

Nicht Budget, sondern Verständnis von Geschäftsprozessen ist entscheidend

Zwar haben die von uns identifizierten Cyber-resilienten Unternehmen im Schnitt einen größeren Umsatz und ein höheres IT-Budget. Detailanalysen zeigen jedoch, dass die keinesfalls entscheidend ist. Wichtiger ist vielmehr ein grundlegendes Verständnis der Geschäftsprozesse und ein Bewusstsein dafür, welches die geschäftskritischen digitalen Ressourcen im Unternehmen sind.

Elf Merkmale, die Cyber-resiliente Unternehmen auszeichnen

In unserer Untersuchung konnten wir drei Gruppen von Merkmalen identifizieren, die die Cyber-Resilienz von Unternehmen um den Faktor zwei, drei und sechs erhöhen. Daraus haben wir eine Art „Roadmap“ entwickelt, mit der Unternehmen ihren Reifegrad erhöhen und ein hohes Maß an Cyber Resilience schaffen können.
Den vollständigen Studien-Report inklusive Roadmap können Sie hier anfragen.

Der Weg zur Cyber Resilience

Wie wird ein Unternehmen cyber-resilient?

In einer Welt wachsender digitaler Komplexität und zunehmender Verankerung von vernetzter Technologie in unserem täglichen Leben versuchen Hacker und Cyberkriminelle diese Situation zu nutzen. Sie suchen aggressiv nach neuen Schwachstellen und Fehlern, die sich in dieser sich ausweitenden Angriffsfläche ergeben haben. Angriffe wie Advanced Persistent Threats und Ransomware haben an Raffinesse und Häufigkeit zugenommen, ebenso wie der Schaden, den sie Organisationen und Einzelpersonen gleichermaßen zugefügt haben.

Als Folge dieser Angriffsvektoren und dem zunehmenden Maße, in dem Organisationen auf vernetzte Technologie setzen, haben IT- Verantwortliche und Wirtschaftsführer nach einem neuen Weg gesucht, sich zu schützen. Hier spielt die Widerstandsfähigkeit dieser Digitalisierung eine entscheidende Rolle.

 

Vor kurzem habe ich mich mit The Sunday Times/Raconteur „zusammengesetzt“, um über den aktuellen Stand der Geschäftsrisiken und die Zunahme der Cyber Resilience zu diskutieren und was Unternehmen tun können, um wirklich widerstandsfähig zu werden. Nachstehend finden Sie einen kurzen Überblick über das, was diskutiert wurde, und den Link zum Artikel finden Sie hier:

Eine neue Art der Cybersicherheit

Der Begriff „Cyber Resilience“ ist relativ neu – für uns bedeutet er, dass Organisationen auch dann noch in der Lage sind, zu funktionieren und ihre Produkte zu erzeugen und Dienstleistungen zu erbringen, wenn sie mit einem Cyber-Zwischenfall konfrontiert werden. Viele Organisationen versuchen, cyber-resilient zu werden, doch die Mehrheit gerät ins Hintertreffen. Dies haben wir in unserer jüngsten Studie belegt, die zusammen mit Frost & Sullivan durchgeführt wurde. Nur 36% der Organisationen in sechs Schlüsselindustrien in den USA, Großbritannien, Deutschland, Frankreich und Japan habe eine hohe Cyber Resilience erreicht.

Aus dem Bericht ging auch hervor, dass es wichtiger ist zu verstehen, was die wichtigsten Vermögenswerte Ihres Unternehmens sind, als budgetäre Überlegungen. Obwohl die von uns identifizierten cyber-resilienten Organisationen sicherlich dazu tendieren, ein höheres IT-Budget zu haben, ergab die Studie, dass dies keineswegs das letzte Wort ist. Vielmehr haben wir herausgefunden, dass ein grundlegendes Verständnis und ein Bewusstsein für geschäftskritische Vermögenswerte eine weitaus wichtigere Rolle spielt, wenn Organisationen cyber-resilient sind.

Tatsächlich war es unser Kernziel mit diesem Bericht, belastbare Merkmale zu identifizieren, damit wir Unternehmen konkrete Empfehlungen geben können, wie sie ihre Cyber Resilience verbessern können. Dies wiederum wird uns helfen, unsere bewährte Technologie für das Schwachstellenmanagement weiterzuentwickeln, die wir seit kurzem auch als Managed Service anbieten.

Sie können die Ergebnisse der kompletten Studie hier finden: Business Risk & Cyber Resilience