Beiträge

Jennifer Außendorf, Projektleiterin für das Projekt zum Predictive Vulnerability Management

Projektleiterin Jennifer Außendorf

Mit Predictive Vulnerability Management die Schwachstellen von morgen schon heute erkennen: Zusammen mit internationalen Partnern aus ganz Europa entwickeln die Cyber-Security-Fachleute von Greenbone eine neuartige Cyber-Resilienz-Plattform, die mithilfe von künstlicher Intelligenz und Machine Learning Schwachstellen entdeckt, bevor sie ausgenutzt werden können und die so hilft, Angriffe zu verhindern.

Greenbone verstärkt seine interne Forschung auf dem Gebiet des „Predictive Vulnerability Managements“ und wird 2022 zusätzlich an öffentlich geförderten Forschungs- und Entwicklungsprojekten teilnehmen. Derzeit arbeiten die Security-Fachleute an einem Förderungsantrag für ein Projekt der Europäischen Union. Bis die erste Phase der Antragseinreichung abgeschlossen sein wird, engagiert sich Greenbone innerhalb eines internationalen Konsortiums und arbeitet an einer gemeinsamen Cyber-Resilienz-Plattform. Hier dreht sich alles darum, Angriffe schon im Vorfeld zu verhindern, so dass sich im akuten Notfall schneller Abhilfe schaffen lässt. Dazu sollen Methoden zur Erkennung von Anomalien durch Kombination und Analyse verschiedenster Quellen von Netzwerküberwachungs- und Netzwerkanalysedaten helfen. Der Forschungsbereich konzentriert sich auf aktive Verteidigung gegen Cyber-Attacken und umfasst Penetrationstests und deren Automatisierung und Verbesserung durch maschinelles Lernen.

Projektleiterin Jennifer Außendorf erklärt im Interview, was hinter dem Begriff „Predictive Vulnerability Management“ steckt.

Jennifer, worum geht’s bei Cyber-Resilienz? Predictive Vulnerability Management klingt so nach Minority Report, wo die Polizeieinheit „Precrime“ Kriminelle jagte, die erst in der Zukunft Verbrechen begehen.

Jennifer Außendorf: Die Prognose von Angriffen ist da die einzige Überschneidung, denke ich. Dreh- und Angelpunkt ist dabei unser Greenbone Cloud Service. Durch ihn können wir auf sehr große Datenmengen zurückgreifen. Wir werten sie aus, um Vorhersage und Remediation zu ermöglichen, also sowohl Warnungen für bevorstehende Gefahren als auch wirksame Maßnahmen zur Behebung der Schwachstellen bereitzustellen.

So können wir beispielsweise auch zukünftige Bedrohungen früher identifizieren, weil wir das Predictive Vulnerability Management mit Machine Learning stetig verbessern. Im Bereich „Remediation“ schaffen wir eine „begründete Handlungsfähigkeit“ für Benutzer: Sie sind oft mit der Anzahl an Schwachstellen überfordert und tun sich schwer, anhand der reinen CVSS-Bewertung zu beurteilen, welche Bedrohungen akut und dringend sind.

Eine Lösung wäre es etwa, eine kurze Liste der aktuell kritischsten Schwachstellen zur Verfügung zu stellen – basierend auf den Ergebnissen der künstlichen Intelligenz. Darin sollen dann noch mehr Einflussgrößen als der CVSS-Wert, der eher den technischen Schweregrad beurteilt, berücksichtigt werden. Solch eine Lösung soll dann benutzerfreundlich auf einer Plattform einsehbar sein – natürlich streng anonymisiert und DSGVO-konform.

Warum geht Greenbone damit jetzt in die Öffentlichkeit?

Jennifer Außendorf: Zum einen ist das für die Forschung ein unglaublich spannendes Thema, für das wir die passenden Real-Life-Daten liefern. Die großen Datenmengen, die bei den Scans anfallen, lassen sich auf vielfältige Weise zum Schutz der Kunden einsetzen. Herauszufinden, was alles mit den Daten möglich ist und wie wir das zum Mehrwert der Benutzer und Kunden nutzen können, ist eine große Herausforderung.
Zum anderen will Greenbone mit dem Projekt die Cyber-Sicherheit in der EU stärken. Zum einen ist das gerade ein topaktuelles Thema: Kunden landen bei der Suche nach Cyber-Abwehr oft bei amerikanischen Firmen, was sich meistens nicht gut mit der DSGVO verträgt. Greenbone hat sich entschlossen, ein Projektkonsortium ins Leben zu rufen und wird sich parallel dazu um eine Projektförderung bemühen.

Wer wird oder soll sich am Konsortium beteiligen?

Jennifer Außendorf: Das Konsortium wird aus einer Handvoll Firmen als Kern der Gruppe bestehen und durch Forschungspartner, technische Partner für die Entwicklung und einer User Group aus weiteren Partnern und Testern ergänzt werden.

Weil das Projekt auf EU-Ebene stattfinden wird, ist es uns wichtig, möglichst viele verschiedene Mitgliedsstaaten einzubinden. Die unterschiedlichen Hintergründe der Partner bewirken – so unsere Hoffnung – kreative Ideen und Lösungsansätze, von dem das Projekt nur profitieren kann. Das gilt genauso für die Phase des Aufbaus des Konsortiums.

Gibt es auf dem Gebiet von Predictive Vulnerability Management bisher andere Player oder hat das noch niemand probiert?

Jennifer Außendorf: Momentan sehen wir keinen Wettbewerber – Greenbone will hier auch ganz bewusst Innovationstreiber sein. Ja, die Buzzwords „Thought Leadership“, „Cloud Repurpose“ und „Cyber Resilience“ schweben sicher im Raum, aber eines haben nur wir (und unsere Kunden): Die anonymisierten Daten, die ja essentiell für die Forschungsergebnisse sind, und vor allem die große Datenmenge, die es überhaupt erst ermöglicht Machine Learning und andere Methoden im Zusammenhang mit Künstlicher Intelligenz anzuwenden, die haben nur wir.

Wie ist da der aktuelle Status, was steht auf der Roadmap?

Jennifer Außendorf: Wir sind gerade dabei, mit den ersten Forschungspartnern die einzelnen Themen genauer zu spezifizieren. Sie verfügen über langjährige Erfahrung im Bereich Cyber-Sicherheit, Machine Learning und steuern sehr wertvollen Input bei. Außerdem arbeiten wir gerade daran, das Konsortium zu vergrößern und weitere Partner zu gewinnen. Zeitnah soll dann die Arbeit an dem eigentlichen Antrag starten.

Unser Ziel ist es, Ergebnisse aus dem Projekt direkt in unsere Produkte einfließen zu lassen und so unseren Kunden und Benutzern zugänglich zu machen. Letztendlich sollen ja sie von den Ergebnissen profitieren, und so die Cyber-Resilienz in ihren Unternehmen erhöhen. Das ist das oberste Ziel.

Immer wieder werden deutsche Behörden und Kommunen Ziele von Cyber-Angriffen. Der anschließende Wiederaufbau dauert oft mehrere Monate. Mit einem Schwachstellenmanagement kann das Risiko von Cyber-Angriffen drastisch reduziert werden – denn durch das Beseitigen von Schwachstellen wird Angreifenden die notwendige Grundlage genommen. Auch das Schwachstellenmanagement von Greenbone schützt Behörden – zu Sonderkonditionen.

Landkreise und Krankenhäuser gehackt, ganze IT-Infrastrukturen liegen lahm, zu behandelnde Personen werden ausgelagert, die Bundeswehr muss helfen: Was vor wenigen Jahren noch apokalyptisch anmutete, wurde im Sommer 2021 verstörende Realität. Zum ersten Mal in der deutschen Geschichte wurde der Katastrophenfall ausgerufen, weil sich Angreifende erfolgreich Zugriff auf die Netzwerke von Behörden oder deren Dienstleistenden verschafft hatten. Schwerin, Witten, Bitterfeld, Ludwigslust: Die Liste ist lang und nur großflächiges Deaktivieren der Server half den Betroffenen.

Abschalten hilft nur akut, der Neuaufbau dauert Monate

Wer sind die Angreifenden? Nicht immer ist es im digitalen Raum möglich, die Personen zu finden, die hinter den Taten stecken, sogar dann, wenn erpresserische Geschäftsmodelle und Lösegeldforderungen vorliegen. Meldepflichten und IT-Sicherheitsgesetze helfen den Betroffenen auch nicht konkret dabei weiter, denn der Schaden ist bereits entstanden: In der Regel wissen die Opfer noch nicht einmal gesichert, ob sie gezielt oder per Zufall angegriffen wurden. Die Schadenssummen sind immens, manche Behörden sind Monate mit dem Aufräumen und Wiederherstellen beschäftigt, nicht selten müssen ganze Systemlandschaften neu aufgebaut werden.

Dekoratives Bild einer Behörde

Cyber-Kriminelle nutzen Schwachstellen, die bereits gefixt waren

Warum aber fällt es Angreifenden so leicht, in fremde Netze einzudringen? Die meisten Angriffe, vor allem automatisierte, nutzen eigentlich schon lange geschlossene Schwachstellen für die Einbrüche.

Das funktioniert derzeit so gut, weil sich durch Systempflege allein nicht alle Systeme ausreichend auf Angriffe vorbereiten lassen. Schwachstellen können in Produkten, Systemkomponenten oder deren Konfiguration verborgen sein, die sich in den üblichen Infrastrukturen zu vielen tausenden Angriffspunkten summieren. Da stehen Hintertüren offen, die Angreifende aufspüren können, oft mit relativ einfach zu handhabenden Werkzeugen.

Schwachstellenscanner informieren und helfen, Lücken zu schließen

Dabei sind Admins, Behörden und Firmen keinesfalls machtlos. Was zählt, ist das Wissen über Verwundbarkeiten, Schwachstellen oder offene Flanken in den Netzwerken. Mit den richtigen Tools sind Sie Cyber-Kriminellen immer einen Schritt voraus, weil sie die Lücken Ihrer IT-Verteidigung erkennen, bevor Cyber-Kriminellen dies gelingt – mit den Greenbone-Lösungen klappt das kontinuierlich und automatisch.

Greenbone-Enterprise-Produkte untersuchen fortlaufend das Unternehmensnetzwerk oder externe IT-Ressourcen auf potenzielle Schwachstellen. Die speziell gehärtete Appliances – virtuell oder als Hardware verfügbar – oder der als Software-as-a-Service verfügbare Greenbone Cloud Service garantieren täglich aktuelle Updates zu den neuesten Schwachstellen. Admins und IT-Management werden bei Bedarf sofort informiert, wenn sich bedrohliche Sicherheitslücken offenbaren.

Sonderkonditionen für Behörden

Das erkennen auch mehr und mehr Behörden, die sich im Kampf gegen Cyber-Attacken für Greenbone entscheiden. Greenbone schützt Behörden zu Sonderkonditionen und die Lösungen können einfach über das Kaufhaus des Bundes beschafft werden.

 


Mithilfe der Greenbone-Produkte können bekannte Schwachstellen in einer IT-Infrastruktur aufgespürt werden, um sie anschließend zu beseitigen. Den Schweregrad einer Schwachstelle zu bewerten, ist ein essenzielles Hilfsmittel, um die nachfolgenden Beseitigungsmaßnahmen zu planen und zu priorisieren. CVSS bietet solch eine Bewertung nach einem Kennzahlensystem. Seit 2021 unterstützen die aktuellen Greenbone-Lösungen auch die CVSS-Versionen 3.0 und 3.1. Zur selben Zeit hat Greenbone begonnen, alle Schwachstellentests, für die eine entsprechende Bewertung verfügbar ist, mit dieser zu versehen. Seit Oktober 2021 ist diese Arbeit nun abgeschlossen und es gibt – soweit möglich – eine vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds.

Hilfreiche Schweregrad-Kennzahlen

Jeder Cyber-Angriff benötigt eine Schwachstelle, um erfolgreich zu sein. Die meisten Schwachstellen, nämlich 999 von 1.000, sind bereits seit über einem Jahr bekannt und können daher proaktiv aufgedeckt und beseitigt werden. Zur Erkennung kommt dabei ein Greenbone-Schwachstellenscanner zum Einsatz, welcher die bekannten Schwachstellen in einer IT-Infrastruktur aufspürt.

Werden Schwachstellen aufgedeckt, können sie anschließend mit den unterschiedlichsten Maßnahmen beseitigt werden. Die am dringendsten zu beseitigenden Schwachstellen sind die, die ein kritisches Risiko für das IT-System darstellen. Für die Auswahl der Maßnahmen und der Reihenfolge, wird eine Priorisierung benötigt.

Zur Priorisierung ist der Schweregrad ein essenzielles Mittel. Wie Schwachstellen aber überhaupt einen Schweregrad erhalten und wie dieser berechnet wird, schauen wir uns hier einmal genauer an.

Wie Bewertungen des Schweregrads entstehen

In der Vergangenheit entdeckten und meldeten unterschiedliche Organisationen und Security-Research-Teams Schwachstellen zur gleichen Zeit und benannten diese mit unterschiedlichen Namen. Dies führte dazu, dass die gleiche Schwachstelle von z. B. mehreren Scannern unter unterschiedlichen Namen gemeldet wurde, was die Kommunikation und den Vergleich der Ergebnisse erschwerte.

Um das zu beheben, gründete MITRE das Projekt „Common Vulnerabilities and Exposures“ (CVE). Jeder Schwachstelle erhielt als zentrale Referenz eine eindeutige Kennzeichnung, die aus dem Veröffentlichungsjahr und einer einfachen Nummer besteht. Die CVE-Datenbank wird genutzt, um Schwachstellen-Datenbanken mit anderen Systemen zu verbinden und den Vergleich von Sicherheitswerkzeugen und -diensten zu ermöglichen.

CVEs enthalten somit keine detaillierten, technischen Informationen oder Informationen bezüglich der Risiken, Auswirkungen oder Beseitigung einer Schwachstelle. In manchen Fällen ist die Version hinterlegt, in der die Schwachstelle beseitigt wurde.

Nähere Informationen zu einer Schwachstelle finden sich in der National Vulnerability Database (NVD). Die NVD – ein Datenspeicher für das Schwachstellenmanagement der US-Regierung – ergänzt die CVEs mit Informationen bezüglich der Beseitigung, den möglichen Auswirkungen, den betroffenen Produkten und auch dem Schweregrad einer Schwachstelle.

Wie berechnet sich der Schweregrad einer Schwachstelle?

Um die Bewertung von Schwachstellen zu ermöglichen, wurde das Common Vulnerability Scoring System (CVSS) entwickelt. Das CVSS ist ein Industriestandard zum Beschreiben der Schweregrade von Sicherheitsrisiken in IT-Systemen. Es wurde von der CVSS Special Interest Group (CVSS-SIG) des Forum of Incident Response and Security Teams (FIRST) entwickelt. Die neueste CVSS-Version ist 3.1.
Der CVSS-Score bewertet Schwachstellen hinsichtlicht verschiedener Kritierien, sogenannter „Metrics“: Base-Score-Metrics, Temporal-Score-Metrics und Environmental-Score-Metrics.

  • Base-Score-Metrics: Die Base-Score-Metrics stellen die grundlegenden Merkmale einer Schwachstelle dar, die unabhängig von der Zeit und der IT-Umgebung sind: Wie gut lässt sich die Schwachstelle ausnutzen und welche Auswirkungen hat dies?
  • Temporal-Score-Metrics: Die Temporal-Score-Metrics stellen Eigenschaften dar, die sich über die Zeit ändern können, aber in unterschiedlichen IT-Umgebungen gleich sind. So würde beispielsweise das Bereitstellen eines Patches durch das bereitstellende Unternehmen den Score senken.
  • Environmental-Score-Metrics: Die Environmental-Score-Metrics stellen die Merkmale dar, die für eine spezifische IT-Umgebung gelten. Relevant sind hierbei, wie gut die betroffene Organisation erfolgreiche Angriffe abfangen können oder welchen Stellenwert ein bestimmtes angreifbares System innerhalb der IT-Infrastruktur hat.

Da im Allgemeinen lediglich die Base-Score-Metrics aussagekräftig sind und dauerhaft bestimmt werden können, werden in der Regel nur diese veröffentlicht und genutzt.

CVSSv3.0/v3.1-Unterstützung seit GOS 21.04

Seit GOS 21.04, welches im April 2021 veröffentlich wurde, werden auch die Versionen 3.0 und 3.1 von CVSS unterstützt. Zwar enthalten einige CVEs – und somit auch die zugehörigen Schwachstellentests – weiterhin CVSS-Daten der Version 2, allerdings betrifft dies hauptsächlich ältere CVEs aus dem Jahr 2015 und früher, für die in der NVD noch keinen CVSS-v3.0/v3.1-Score hinterlegt sind.

Blicken wir auf die größten Änderungen, die die Versionen 3.0 und 3.1 beinhalten.

Im Vergleich zu CVSS Version 2.0 wurden in Version 3.0 zwar die Hauptgruppen der Metrics – Base, Temporal und Environmental – beibehalten, aber neue Kriterien hinzugefügt. Beispielsweise die Metrics „Scope (S)“, was angibt, ob eine Schwachstelle auch andere Bestandteile eines IT-Netzwerks beeinträchtigen kann und „User Interaction (UI)“.

Auch wurden einige bereits vorhandene Kriterien durch neuere ersetzt: so wurde „Authentication (Au)“ zu „Privileges Required (PR)“. Gemessen wird nicht mehr, wie oft sich Angreifende bei einem System authentifizieren müssen, sondern welches Zugriffslevel für einen erfolgreichen Angriff notwendig ist.

Außerdem wurden die Schweregrade feiner unterteilt. In Version 2.0 wurden die Werte von 0 bis 10 auf drei Schweregrade aufgeteilt: „Low“ (0,0 – 3,9), „Medium“ (4,9 – 6,9) und „High“ (7,0 – 10,0). Seit Version 3.0 gibt es fünf Stufen: „None“ (0,0), „Low“ (0,1 – 3,9), „Medium“ (4,0 – 6,9), „High“ (7,0 – 8,9) und „Critical“ (9,0 – 10,0).

CVSS-Version 3.1 brachte keine Änderungen an den Metrics oder den Berechnungsformeln mit sich. Stattdessen lag der Fokus darauf, herauszustellen, dass CVSS den Schweregrad einer Schwachstelle misst und nicht das Risiko, welches sie darstellt. Ein weit verbreiteter Fehler war es, den CVSS-Score als alleiniges Merkmal für das Risiko einer Schwachstelle zu sehen und keine vollumfängliche Risikobewertung vorzunehmen.

In diesem Zuge wurden die Definitionen der Metrics eindeutiger formuliert und das Glossar erweitert.

Vollständige CVSSv3.0/v3.1-Abdeckung im Feed

Mit der Unterstützung von CVSS-v3.0/v3.1 im April 2021 begann Greenbone damit, alle Schwachstellentests, denen ein CVSSv3.0/v3.1-Score in der NVD zugewiesen wurde, zu aktualisieren und mit einem CVSSv3.0/v3.1-Score zu versehen.

Dies erfolgte in täglichen Etappen von 500 – 600 Schwachstellentests. Die Aktualisierung und Umstellung wurde dabei gründlich reviewt und geprüft. Seit Oktober 2021 ist diese Arbeit nun abgeschlossen. Somit gibt es – soweit es möglich ist – eine vollständige CVSSv3x-Abdeckung in den Greenbone-Feeds.

Ziel des Schwachstellenmanagements ist es, alle Sicherheitslücken in einem IT-Netzwerk aufzuspüren, bevor eine angreifende Person dies tut. Der Greenbone Security Feed (GSF) liefert die Schwachstellentests (engl. Vulnerability Tests, VTs), die der Scanner der Greenbone-Lösungen zu diesem Zweck durchführt. Als Komponente des Greenbone Security Managers (GSM) und der Greenbone Cloud Services (GCS) wird er täglich aktualisiert und bietet Schutz vor den großen und bekannten Schwachstellen wie SUPERNOVA, BlueKeep und PrintNightmare.
Wir freuen uns, dass die Erfolgsgeschichte stetig wächst und wir bekannt geben können, dass unser Greenbone Security Feed seit diesem Monat mehr als 100.000 Schwachstellentests enthält!

Lassen Sie uns einen Blick auf die Geschichte des Feeds werfen.

Im Jahr 2005 beschloss die Entwicklung des Schwachstellen-Scanners Nessus, die Arbeit unter Open-Source-Lizenzen einzustellen und auf ein proprietäres Geschäftsmodell umzustellen. Zu diesem Zeitpunkt trugen Mitglieder von Intevation und DN-Systems – die beiden Unternehmen, die später Greenbone Networks gründen sollten – bereits Entwicklungen zu Nessus bei. Im Jahr 2006 wurden als Reaktion auf die Einstellung der Open-Source-Lösung mehrere Forks von Nessus erstellt. Von diesen Forks ist nur einer weiterhin aktiv: OpenVAS, das Open Vulnerability Assessment System.

Ende 2008 wurde Greenbone gegründet, um OpenVAS voranzutreiben. Im gleichen Jahr wurden zwei weitere Unternehmen aktiv: Secpod aus Indien und Security Space aus Kanada. Beide konzentrierten sich auf die Bereitstellung von Schwachstellentests und taten sich mit Greenbone zusammen, um einen zuverlässigen und aktuellen Feed von Schwachstellentests zu erstellen.

Dies begann mit der Entfernung von Quellcode und Schwachstellentests, bei denen die Lizenz unklar oder nicht kompatibel war. Mehrere Tausend Schwachstellentests wurden eliminiert, um eine saubere Ausgangsbasis mit damals knapp 3000 Schwachstellentests zu erhalten.

Kurze Zeit später wuchs der Inhalt des Feeds schnell und stetig auf über 10.000 Schwachstellentets. 50.000 Tests enthielt der Feed dann nach etwa 8 Jahren Entwicklung im Jahr 2016. Die nächsten 50.000 folgten nun nach nur 5 weiteren Jahren und stellen den aktuellen Stand mit mehr als 100.000 Schwachstellentests dar.

Anzahl der Schwachstellentests über die Zeit hin zu mehr als 100.000 Schwachstellentests

Anzahl der VTs über die Zeit

Wie setzt sich der Feed überhaupt zusammen?

Interessant ist auch, wie sich diese 100.000 Schwachstellentests im Feed zusammensetzen. In unserem SecInfo-Portal können Sie ganz einfach selbst einen Blick auf alle enthaltenen Tests werfen.

Etwa die Hälfte der Tests erkennen Schwachstellen mit einer hohen Schweregradklasse – also mit einem Schweregrad zwischen 7,0 und 10,0. Weitere 40.000 Tests solche mit der Schweregradklasse „Mittel“ (Schweregrad 4,0 bis 6,9).

Verteilung der mehr als 100.000 Schwachstellentests auf die Schweregradklassen

Verteilung der VTs nach Schweregradklasse

Schwachstellen für ein und denselben Bereich werden in Familien zusammengefasst. Unter den größten Familien von Schwachstellentests finden sich vor allem solche für lokale Sicherheitskontrollen, also für authentifizierte Scans. Bei diesen wird das Ziel sowohl von außen über das Netzwerk als auch von innen mithilfe eines gültigen Nutzungslogins gescannt. Somit lassen sich mehr Details über Schwachstellen auf dem gescannten System finden. Die Schwachstellentests für solche authentifizierten Scans machen bereits über 60.000 Tests aus. So machen die VT-Familien „Fedora Local Security Checks” und “SuSE Local Security Checks” zusammen bereits fast 30.000 Schwachstellentests aus.

Anzahl der Schwachstellentests der top 10 Familien von Schwachstellentests

Anzahl der VTs der top 10 VT-Familien

Auch weltweit bekannte Schwachstellen sind abgedeckt

Von vielen Schwachstellen bekommt die breite Masse der Bevölkerung nichts mit. Doch immer wieder schaffen es besonders bedeutsame und spektakuläre Cyber-Angriffe in die Medien – vor allem dann, wenn viele große Unternehmen oder Regierungen betroffen sind.

Greenbone reagiert sofort, wenn solche Vorfälle bekannt werden und beginnt mit der Entwicklung eines entsprechenden Schwachstellentests. Zu solchen erwähnenswerten Schwachstellen der letzten Jahre zählen dabei die Schwachstellen Heartbleed (2014), POODLE (2014), DROWN (2016), Meltdown (2018), Spectre (2018), BlueKeep (2019) und PrintNightmare (2021). Besonders in Erinnerung geblieben ist den meisten wohl auch noch der Solarwinds-Angriff in den Jahren 2019 bis 2020. Die Angreifenden hatten eine bis dahin unbekannte Schwachstelle ausgenutzt, um die bösartige Webshell „SUPERNOVA“ einzuschleusen.
Alle diese Schwachstellen können über Tests im Greenbone Security Feed aufgedeckt werden.

Auch in Zukunft arbeiten wir stetig daran, den Umfang unseres Feeds zu erweitern, um Nutzenden die Möglichkeit zu bieten, Schwachstellen frühzeitig zu erkennen und Angriffen keine Chance zu geben. Mit unseren Lösungen, die ständig aktualisiert werden, um auch die neuesten und kritischsten Schwachstellen abzudecken, können Sie also ganz beruhigt sein. Die nächsten 100.000 Schwachstellentests werden folgen – bleiben Sie gespannt!

Der Wassersektor zählt zu den kritischen Infrastrukturen (KRITIS). Ein erfolgreicher Angriff auf den Sektor kann zu erheblichen hygienischen und gesundheitlichen Problemen führen und schlimmsten Fall Menschenleben bedrohen. Bei der 6. VDI-Konferenz zum Thema „Optimierung industrieller Kläranlagen“ informiert Greenbone Networks über Schwachstellenmanagement im Wassersektor und wie durch frühzeitiges Erkennen und Beseitigen von Schwachstellen die Angriffsfläche von IT-Infrastrukturen verkleinert werden kann.

Ansicht eines industrielle Kontrollsystem (ICS)

Alles gut durch Digitalisierung?

Digitalisierung gilt als Heilsbringer der Stunde. Auch wenn man das manchmal kritisch bewerten mag, ist diese Entwicklung nicht aufzuhalten. Es gibt einfach zu viele Gründe, die für Digitalisierung sprechen. Es gibt aber auch viele Gründe, mit denen wir uns kritisch auseinandersetzen müssen, auch und gerade dort, wo es um unsere Sicherheit geht. Je mehr Informationstechnologie wir aufstellen, desto mehr digitalisierte Angriffsfläche bieten wir.
Böswillige Nutzende dieser Angriffsflächen können weltweit agieren und ebenfalls digitalisierte Währungen wie Bitcoin ermöglichen es ihnen, auch weltweit Profit aus Schwachstellen zu schlagen.

Im Gegensatz zu einem Bankeinbruch ist der Angriff auf eine industrielle Abwasseranlage eher ein Mittel zum Zweck. Angreifende wollen nicht den Inhalt eines Safes, sondern zielt dabei auf die Verwundbarkeit als solche ab, um sich dadurch Vorteile zu verschaffen, meist durch Erpressung. Angegriffen werden nicht nur technische Anlagen selbst, sondern oft auch das technische und organisatorische Umfeld von Netzen bis zur Verwaltung. Diese Angreifenden sind keine Hacker mit Hoodies und Matrix-Bildschirmschoner, die mal eben Notstand auf dem Konto haben, sondern kriminelle Organisationen, die industriell und professional organisiert sind. Dem gegenüber müssen wir uns mit widerstandsfähigen Organisationen, Prozessen und Lösungen wappnen. Das rückt das Thema Cyber-Resilienz immer mehr in unsere Aufmerksamkeit.

Unter Cyber-Resilienz versteht man die Fähigkeit eines Unternehmens oder einer Organisation, ihre Geschäftsprozesse trotz widriger Cyber-Umstände aufrechtzuerhalten. Das können Cyber-Angriffe sein, aber auch unbeabsichtigte Hindernisse wie ein fehlgeschlagenes Software-Update oder menschliches Versagen. Cyber-Resilienz ist ein umfassendes Konzept, das über die IT-Sicherheit hinausgeht. Es vereint die Bereiche Informationssicherheit, Business-Kontinuität und organisatorische Resilienz. Um einen Zustand der Cyber-Resilienz zu erreichen, ist es wichtig, Schwachstellen frühzeitig zu erkennen, sie wirtschaftlich zu priorisieren und zu beseitigen.

Warum Cyber-Resilienz für kritische Infrastrukturen besonders wichtig ist

Nachhaltige Cyber-Resilienz ist für Unternehmen aller Branchen wichtig. Unverzichtbar ist sie aber im Bereich der kritischen Infrastrukturen (KRITIS). Darunter fallen laut Definition der Bundesregierung „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

KRITIS-Organisationen müssen sich daher besonders gut gegen Cyber-Angriffe schützen – das schreibt der Gesetzgeber vor. Die EU begann bereits 2006 mit dem European Programme for Critical Infrastructure Protection (EPCIP) und erweiterte und ergänzte dieses in den folgenden Jahren. Mitgliedsstaaten setzen die EU-NIS Direktive in nationales Recht um, Deutschland beispielsweise mit dem IT-Sicherheitsgesetz (IT-SIG). Große Wirtschaftsnationen haben bereits Regulierungsinstanzen entwickelt. In den USA ist dies zum Beispiel das National Institute of Standards and Technology (NIST) und in Deutschland das Bundesamt für Sicherheit in der Informationstechnik (BSI).

In Deutschland sind die kritischen Infrastrukturen in 9 Sektoren eingeteilt. Einer davon ist der Wassersektor mit den Sparten öffentliche Wasserversorgung und Abwasserbeseitigung. Er umfasst zum Beispiel Wasserwerke, Pumpanlagen, Wasserleitungen und -netze, Kläranlagen, die Kanalisation sowie Stau- und Hochwasserschutzanlagen. Sie alle spielen eine entscheidende Rolle für unsere Gesellschaft.

Angriffe auf die Wasserversorgung könnten eine Gesellschaft daher bis ins Mark treffen und im schlimmsten Fall Menschenleben bedrohen. Ebenso gefährlich sind Attacken auf die Abwasserentsorgung. Funktioniert sie nicht mehr, würde das zu erheblichen hygienischen und gesundheitlichen Problemen führen. Da in der Wasserinfrastruktur heute eine Vielzahl von IT-Systemen und elektronischen Steuerungssystemen (ICS) zum Einsatz kommt, wird sie zum
attraktiven Ziel für Hacker.

Vorfälle zeigen die Verwundbarkeit des Wassersektors

In den vergangenen Jahren gab es weltweit zahlreiche Angriffe auf Wasser-Infrastrukturen. Gravierende Folgen blieben dabei bisher zum Glück aus. Die Attacken zeigen jedoch, dass Hacker ausloten, wie sie die Kontrolle über Steuerungssysteme übernehmen und weitere Angriffe vorbereiten können. So versuchten 2013 iranische Hacker in die Systeme des Bowman Avenue Damms in der Nähe des Ortes Rye Brooke bei New York einzudringen. Der Damm dient dazu, den Wasserfluss nach starken Regenfällen zu kontrollieren und eine Überflutung des Orts zu vermeiden. Den Hackern gelang es, Kontrolle über die Steuerung der Fluttore zu erlangen. Da diese aber gerade wegen einer Wartung nicht am Netz waren, konnten die Cyber-Kriminellen glücklicherweise keinen Schaden anrichten.

Im März 2016 berichtete der Sicherheitsspezialist Verizon in seinem monatlichen Security Breach Report von einem Cyber-Angriff auf einen amerikanischen Wasserversorger, der unter dem Pseudonym Kemuri Water Company genannt wird. Hacker waren in die SCADA-Plattform eingedrungen. Dadurch konnten sie programmierbare Logik-Controller manipulieren. Sie änderten Einstellungen am Wasserfluss und an der Menge der Chemikalien, die für die Wasseraufbereitung zugesetzt wurden. Glücklicherweise entdeckte der Wasserversorger den Vorfall schnell und konnte die Einstellungen wieder korrigieren, ohne dass größerer Schaden entstand. Für ihren Angriff nutzten die Hacker eine ungepatchte Schwachstelle im Kunden-Zahlungsportal aus.

Zwischen November 2016 und Januar 2017 hackten Cyber-Kriminelle mehrere Mobilfunk-Router einer US-Wasserbehörde. Die Router dienten dazu, sicheren kabellosen Zugang für das Monitoring der Pumpstationen zur Verfügung zu stellen. Zum Glück waren die Angreifenden jedoch nicht auf Sabotage aus, sondern hatten es auf die Internetressourcen der Behörde abgesehen. Deren Rechnung stieg von durchschnittlich 300 US-Dollar pro Monat auf satte 45.000 Dollar im Dezember und 53.000 Dollar im Januar an. Für ihre Attacke nutzen die Hacker eine Schwachstelle in den Routern des Herstellers Sixnet aus. Dieser hatte nach eigenen Angaben bereits im Mai einen Patch zur Verfügung gestellt, den die Behörde jedoch nicht installiert hatte.

Im vergangenen Jahr wurde Israel gleich mehrfach Opfer von Cyber-Angriffen auf Wasserversorgungs- und -aufbereitungsanlagen. Im April unternahmen Hacker einen großen Cyber-Angriff auf Steuerungs- und Kontrollsysteme von Kläranlagen, Pumpstationen und Abwasserkanäle, wie das Israeli National Cyber Directorate (INCD) in einer Erklärung mitteilte. Das INCD forderte daraufhin Unternehmen im Wassersektor dazu auf, Passwörter für alle mit
dem Internet verbundenen Systeme zu ändern und sicherzustellen, dass die Software der Kontrollsysteme auf dem neuesten Stand ist. Laut Financial Times versuchten die Hacker, den Chlorgehalt des Wassers in einer Wasseraufbereitsungsanlage zu verändern. Der Angriff war nicht erfolgreich. Wäre er es gewesen, hätte eine leichte Vergiftung der Bevölkerung, die von der Aufbereitsungsanlage versorgt wird, die Folge sein können. Bereits im Juni gab es zwei weitere Angriffe auf Israels Wasseranlagen. Dieses Mal waren landwirtschaftliche Wasserpumpen betroffen.

In Deutschland gab es zwar noch keinen vergleichbaren Vorfall, allerdings berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland über die Umsetzung der erforderlichen organisatorischen und technischen Vorkehrungen zur Vermeidung von Störungen. Im Wassersektor treten dabei Mängel in den Bereichen Netztrennung, Notfallmanagement und physischer Sicherheit auf. Im Berichtszeitraum von Juni 2019 bis Mai 2020 gab es im Wassersektor in Deutschland mehrere Vorfälle, die auf Störungen in Steuerungskomponenten zurückzuführen waren. Die Behebung der Störungen war sehr langwierig und aufwendig. Schäden konnten dadurch vermieden werden, dass die Betreiber umsichtig handelten und Redundanzen vorhanden waren.

Angriffspunkte im Wassersektor

IT- und OT-Systeme unterstützen den Wasserkreislauf. In der Wassererzeugung (1) werden Systeme zur Qualitätskontrolle und digitale Pumpensteuerung
genutzt, um den Wasserzufluss aus verschiedenen Quellen hin zur Wasserverteilung (2) zu steuern. Digitale Mess- und Steuerungsverfahren kontrollieren Wasserdruck und -qualität im Wassernetz und sind somit Teil der gesamten IT-Angriffsfläche. In der Entwässerung (3) werden Abwasserpumpen und Vorreinigungen durch Siebe, die an zentralen Stellen überwacht werden, eingesetzt. Die Wasseraufbereitung (4) ist gerade durch die notwendige digitalisierte Steuerung von physikalischen, chemischen und biologischen Prozessen eine kritische Komponente.

Teile des Wassersektors: Wassererzeugung, Wasserverteilung, Wasseraufbereitung, Wasserentsorgung

In der Trinkwasserversorgung und Abwasserentsorgung kommen daher eine Vielzahl von vernetzten IT-Systemen und industriellen Steuerungssystemen zum Einsatz, die weitgehend automatisierte Prozesse ermöglichen. Beispiele dafür sind Sensoren für die Temperatur, die Durchflussgeschwindigkeit oder den Chlorgehalt, fernauslesbare Zähler, aber auch Webportale und mobile Apps für Kunden.

Hürden für die IT-Sicherheit im Wassersektor

Um ihre Angriffsfläche für Cyber-Kriminelle zu verkleinern, müssen Unternehmen aus dem Wassersektor das gesamte Spektrum der vernetzten Systeme, Geräte und Applikationen berücksichtigen.

Doch das ist nicht immer ganz einfach. Ein Problem dabei ist, dass die ICS, die in der Wasserinfrastruktur im Einsatz sind, aus unterschiedlichen Generationen stammen. Viele der älteren Steuerungssysteme wurden in einer Zeit entwickelt, in der Cyber Security noch kaum oder gar nicht berücksichtigt wurde. Das führt zu einer heterogenen, verwundbaren IT-Landschaft. Die hochgradige Automatisierung und Abhängigkeit von Industriesteuerungen macht die Wasserinfrastruktur zusätzlich besonders angreifbar. Außerdem werden die eingesetzten IT-Systeme immer komplexer. Dadurch haben es Unternehmen schwer, ein ausreichendes Schutzniveau zu erreichen. Die zunehmende Vernetzung von Komponenten innerhalb der Feld-
und Steuerungsebene sowie der Steuerungs- und Prozessleittechnik erhöht die Komplexität noch weiter. Gleichzeitig vergrößert sich damit die Angriffsfläche für Hacker. Sie haben immer mehr Möglichkeiten, in Netzwerke einzudringen, Daten zu stehlen oder Industrie-Steuerungen zu manipulieren.

Auch bislang nicht ausgenutzte Schwachstellen dürfen nicht unterschätzt werden

Eine kürzlich durchgeführte Studie von Kenna Security hat ergeben, dass die Anzahl der insgesamt entdeckten Schwachstellen pro Jahr von 4.100 im Jahr 2011 auf 17.500 im Jahr 2021 gestiegen ist. Andererseits ist der Anteil der Schwachstellen, die von Hackern ausgenutzt wurden, nicht gleichermaßen stark gewachsen. Was ist der Grund hierfür?

Cyberkriminalität folgt den gleichen ökonomischen Regeln wie jedes andere Geschäftsmodell: geringste Investition für maximales Ergebnis. Aber die Cyberkriminalität leidet auch unter demselben Problem wie die IT-Branche im Allgemeinen: Experten sind eine begrenzte Ressource. Unternehmen können diese Ausgangslage nicht ändern, aber sie können dafür sorgen, dass ihre Angriffsfläche reduziert wird. Eine große Angriffsfläche zu tolerieren, auch wenn die Schwachstellen noch nicht waffenfähig sind, bedeutet, Kontrolle durch Glücksspiel zu ersetzen. Sobald es für Cyberkriminelle billiger erscheint oder das Ergebnis vielversprechend ist, wird sich die Internetkriminalität auf noch nicht waffenfähige Schwachstellen konzentrieren und die Umwandlung der Schwachstellen in Waffen wird schnell erfolgen.

Noch schlimmer ist die Motivation von Cyber-Terroristen, die bisher aufgrund mangelnder Fachkenntnisse glücklicherweise erfolglos waren. Es ist unklar, ob sie die notwendigen Fähigkeiten erlangen werden und falls ja, wann. Aber sie folgen nicht den Regeln der Ökonomie, was sie bei der Auswahl von Zielen und geeigneten waffenfähigen Schwachstellen weniger berechenbar macht.

Im Wesentlichen gibt es zwei gute allgemeine Gründe, warum Organisationen einen Prozess zur Verwaltung und Minimierung ihrer gesamten Angriffsoberfläche einrichten sollten und sich nicht nur auf die aktuellen (oder wahrscheinlichen) waffenfähigen Schwachstellen konzentrieren
sollten:

  • Pandemierisiko: Während es für eine einzelne kriminelle Organisation vielleicht nicht attraktiv ist, in die Umwandlung einer teureren Schwachstelle in eine Waffe zu investieren, wird es umso interessanter, je mehr Unternehmen sich dazu entscheiden, nichts gegen diese Schwachstelle zu unternehmen. Je weniger geimpft werden, desto besser breitet sich die Pandemie aus.
  • Automatisierungsrisiko: Die Automatisierung von Exploits ist nicht nur ein attraktiver, kostengünstiger Weg. Sie reduziert das Zeitfenster, um mit Gegenmaßnahmen zu reagieren, erheblich.

Geringe Angriffsfläche durch Schwachstellenmanagement

Unabhängig davon, wie viele Schwachstellen vorhanden sind, wird die Bewältigung von Schäden und aktiven Gegenmaßnahmen gegen laufende Angriffe für Unternehmen exponentiell teuer, wenn sie nicht von einem kontinuierlichen Prozess begleitet werden, der die Angriffsfläche identifiziert, verwaltet und reduziert.

Cyber-Resilienz ist ein kontinuierlicher Prozess. Er verstärkt die Fähigkeiten eines Unternehmens, einer Attacke zu widerstehen, und versetzt es in die Lage, auch während eines Angriffes zu funktionieren. Um dies zu erreichen, ist es wichtig, die Angriffsfläche zu reduzieren und so die Basis zu stabilisieren. Das bedeutet, Schwachstellen zu identifizieren, die von Angreifenden ausgenutzt werden könnten und somit den Angreifenden einen Schritt voraus zu sein.
999 von 1.000 Schwachstellen sind bereits über ein Jahr bekannt. Mit Schwachstellenmanagement können diese Schwachstellen also erkannt und beseitigt werden, bevor sie von Angreifenden ausgenutzt werden. Dies reduziert die Angriffsfläche der IT-Infrastruktur stark.

Schwachstellenmanagement-Lösungen arbeiten voll automatisiert und bieten durch Features wie Zeitpläne und benutzerdefinierte Scan-Konfigurationen den Nutzern die Möglichkeit, vollständige Schwachstellenmanagement-Prozesse zu erstellen, die ständig nach Schwachstellen suchen. Im Endergebnis sorgt Schwachstellenmanagement für nachhaltig widerstandsfähigere Systeme.