Beiträge

Der weltweit führende Hersteller von Lösungen für Open-Source-Schwachstellenmanagement Greenbone hat ein Community-Portal für seine Anwender- und Entwicklergemeinschaft gestartet, das die umfangreichen Informationen für die Community-Editionen übersichtlicher und einfacher zugänglich macht.

Für wen ist das Portal?

Auf community.greenbone.net laden die Vulnerability-Management-Experten Anwender, Developer und alle IT-Profis, die sich professionell mit Sicherheit und Schutz vor Hackern beschäftigen ein, sich in Foren, Blogs, News und Dokumentation umzusehen und zu helfen, die Seiten zu gestalten.

Zentrale Anlaufstelle
„Unser neues Community Portal ist die zentrale Anlaufstelle, wo sich Anwender, Experten, Greenbone Mitarbeiter und alle anderen Interessierten treffen und sich stets aktuell über die Produkte, die Firma oder neue Features informieren können.“ erklärt Greenbones Community-Managerin DeeAnn Little: „Wir möchten mit dem Portal der großen, weltweiten Greenbone Community ein Zuhause geben, mit allen Links und Informationen, die jeder braucht, der mit unseren Schwachstellenmanagement arbeitet.“

Was bietet das neue Portal
Sowohl für Greenbone OpenVAS als auch die Greenbone Community Edition finden sich (unter „Getting started“) zahlreiche Anleitungen zur Installation und Konfiguration der Community-Versionen. Dazu gibt’s News und Updates, beispielsweise zu den jüngst veröffenlichten Docker-Container-Releases der Community Edition aber auch aktuelle Zahlen über Greenbone-Installationen auf auf einer Weltkarte und ein komplett überarbeitetes Forum mit neuen Kategorien und Blog.

Für die Community, mit der Community
„All das wäre ohne die zahlreichen Beiträge aus der Greenbone-Community nicht möglich, aber gleichzeitig ist das auch nur der erste Schritt“, erklärt Little:„Zukünftig werden wir hier auch technische Details von unseren Experten erklären lassen und neue Features vorstellen.

Greenbone wünscht sich dabei viel Input und Anregungen aus seiner großen Community, erklärt Little:

„Wir freuen uns über jeden Input und alle Anregungen, Ideen und Verbesserungsvorschläge, genau dafür ist das Portal da. Schicken Sie uns Ihre Fragen. Was haben wir übersehen? Was wünschen Sie sich? Wie können wir das Portal, das Forum und die neuen Seiten noch besser machen? Welche Themen wünschen Sie sich – worüber sollten wir berichten?“ Hier können Sie Ihre Meinung hinterlassen, wir freuen uns darauf.

Greenbone Community Forum im neuen Look

Auch das beliebte User Forum hat Greenbone ins Community Portal integriert. Im neuen Look soll es auch weiterhin den Anwendern von Greenbones Software – unabhängig von ihrem technischen Hintergrund – eine Plattform für Ideen, gegenseitige Hilfe aber auch Feedback geben.

„Im Forum können sich User auf Augenhöhe begegnen und gegenseitig helfen – es ist ein Ort des Austausches, wo auch wir immer wieder lernen können.“ erklärt Little. „Egal ob es sich um eine Anfängerfrage, tiefergehende Howtos oder Getting Started Guides handelt – im Forum findet so mancher Anwender Hilfe von erfahrenen Usern, selbst in exotischen Setups.“

Wieder einmal ist ein Fehler in Microsoft Office aufgetaucht, der es Angreifenden erlaubt, mit manipulierten Dokumenten aus der Ferne Schadcode auf den Systemen der angegriffenen User auszuführen. Die als „Follina“ bekannt gewordene Schwachstelle CVE-2022-30190 ist zwar seit Jahren bekannt, von Microsoft jedoch bis heute nicht gefixt. Greenbone hat seinen Feeds einen entsprechenden Schwachstellentest hinzugefügt, der die Schwachstelle Follina in Microsoft Office erkennt.

Follina (CVE-2022-30190)

Follina verlangt sofortiges Handeln

Die CVE mit dem Namen „Follina“ ist kritisch und verlangt sofortiges Handeln: Schon das Öffnen von Microsoft-Word-Dokumenten kann Angreifenden Zugang zu Ihren Ressourcen geben. Weil ein Fehler in Microsoft Office es Angreifenden erlaubt, Templates via ms-msdt:-URI-Handler aus dem Internet schon beim ersten Anklicken nachzuladen, können Angreifende manipulierte Dokumente erstellen, die schlimmstenfalls ganze Client-Systeme übernehmen oder Credentials ausspionieren.

Schutz bietet laut Microsoft die „geschützte Ansicht“. Weil Anwendende diese aber mit nur einem Klick deaktivieren können, rät der US-amerikanische Hersteller zum Deaktiveren des kompletten URL-Handlers via Registry-Eintrag. Betroffen sind nach heutigem Stand scheinbar alle Office-Versionen.

Greenbones Feeds helfen und schützen

Der Greenbone Enterprise Feed und der Greenbone Community Feed enthalten jetzt einen authentifizierten Check für den von Microsoft vorgeschlagenen Workaround, der Ihnen hilft, sich vor den Auswirkungen der Sicherheitslücke zu schützen. Unser Entwicklungsteam beobachtet die Veröffentlichung von Microsoft-Patches und -Empfehlungen für weitere Maßnahmen. Wir werden Sie hier im Blog über Updates informieren.

Nachhaltige Sicherung von IT-Netzwerken

Wenn Sie wissen wollen, welche Systeme in ihrem Netzwerk (noch) anfällig für Schwachstellen – einschließlich der mit CVE-2022-30190 verbundenen kritischen Schwachstelle – sind, hilft Ihnen unser Schwachstellenmanagement. Es findet Anwendung in Systemen, die auf jeden Fall gepatcht oder anderweitig geschützt werden müssen. Je nach Art der Systeme und Schwachstelle können diese besser oder schlechter gefunden werden. Auch die Erkennung verbessert sich ständig und wird fortlaufend aktualisiert. Neue Lücken werden gefunden. Es können daher immer noch weitere Systeme mit Schwachstellen im Netz vorhanden sein. Daher lohnt sich eine regelmäßige Aktualisierung und das Scannen aller Systeme. Hierfür bietet das Greenbone-Schwachstellenmanagement entsprechende Automatisierungsfunktionen.

Schwachstellenmanagement ist ein unverzichtbarer Bestandteil der IT-Sicherheit. Es kann Risiken finden und liefert wertvolle Hinweise zu deren Behebung. Eine 100%ige Sicherheit bietet jedoch keine einzelne Maßnahme, auch kein Schwachstellenmanagement. Um ein System sicher zu machen, werden viele Systeme eingesetzt, die in ihrer Gesamtheit die bestmögliche Sicherheit bieten sollen.

Greenbone ist nun ein TISAX-Mitglied und sein Information Security Management System (ISMS) und seine Datenschutzprozesse sind im Rahmen des TISAX-Programms der deutschen Automobilindustrie zertifiziert. „Wir haben diesen Schritt unternommen, um unserer Kundschaft den bestmöglichen Schutz sensibler und vertraulicher Informationen zu bieten, als nächsten logischen Schritt nach der erfolgreichen Zertifizierung nach weltweit anerkannten internationalen Industriestandards wie ISO 27001 und ISO 9001.“ – Dr. Jan-Oliver Wagner, CEO von Greenbone. Die Ergebnisse sind auf dem ENX-Portal unter der Scope-ID S3LW9L und der Assessment-ID A1P7V9 verfügbar. TISAX und die TISAX-Ergebnisse sind nicht für die Allgemeinheit bestimmt.

TISAX-Logo

TISAX, der „Trusted Information Security Assessment Exchange“, ist ein Mechanismus zur Überprüfung und zum Austausch von Testergebnissen nach branchenspezifischen Standards. Ursprünglich als System für den Austausch von standardisierten Testergebnissen in der Automobilindustrie geschaffen, ist es für die Risikobewertung von Zulieferern optimiert. Deshalb wird TISAX von der ENX Association entwickelt und verwaltet und vom Verband der Automobilindustrie (VDA) herausgegeben. Der Fokus liegt auf der sicheren Informationsverarbeitung zwischen Geschäftspartnern, dem Schutz von Prototypen und dem Datenschutz gemäß der EU-Datenschutzgrundverordnung (DSGVO) bei möglichen Geschäften zwischen Automobilherstellern und ihren Dienstleistern oder Lieferanten.

Als wesentlicher Bestandteil einer sicheren Lieferkette ist TISAX ein Standard für Information Security Management Systems (ISMS), der im Jahr 2017 ursprünglich von der Norm ISO/IEC 27001 abgeleitet wurde, sich aber inzwischen weiterentwickelt hat. Für die Automobilindustrie bringt TISAX Standardisierung, Qualitätssicherung und garantiert, dass Informationssicherheitsmaßnahmen von Auditanbietern nach den VDA-Standards bewertet werden. Audits nach TISAX, insbesondere bei Dienstleistern und Zulieferern, werden von sogenannten „TISAX-Prüfdienstleister“ durchgeführt und umfassen drei Reifegrade, über die Sie sich im TISAX-Teilnehmerhandbuch und auf den Websites von Zertifizierungsanbietern wie Adacor einen Überblick verschaffen können.

Greenbones Zertifizierungen erhöhen den Wert unserer Produkte für unsere Kundschaft, nicht nur durch Zeit- und Kostenersparnis, sondern auch durch den Nachweis eines hervorragenden Sicherheitsniveaus und hoher Standards. Elmar Geese, CIO bei Greenbone: „Mit TISAX haben wir unseren unabhängig geprüften Sicherheitsstatus dokumentiert. Unsere Kundschaft muss keine individuellen Bewertungen vornehmen, nicht mit langwierigen Fragebögen arbeiten oder all die anderen Dinge tun, die für ein Bottom-up-Audit erforderlich sind. Wir garantieren, dass wir ihre Sicherheitsanforderungen erfüllen.“

Deshalb folgt Greenbone dem Fragenkatalog zur Informationssicherheit des Verbandes der Automobilindustrie (VDA ISA). Die Bewertung wurde von einem Auditanbieter durchgeführt. Das Ergebnis ist ausschließlich über das ENX-Portal abrufbar (Scope-ID: S3LW9L, Assessment-ID: A1P7V9).


In der vernetzten Produktion wachsen IT und OT immer stärker zusammen. Wo früher eine Sicherheitslücke „nur“ ein Datenleck verursacht hat, kann heute die gesamte Produktion zusammenbrechen. Wer regelmäßige aktive und passive Schwachstellenscans durchführt, kann sich schützen.

Was bei der physischen Infrastruktur etwas befremdlich wirkt – wer stellt schon einen Einbruch nach, um seine Alarmanlage zu testen – ist in der IT ein probates Verfahren, um Schwachstellen zu identifizieren. Dieses sogenannte aktive Scanning kann täglich und automatisch durchgeführt werden. Passives Scanning hingegen erkennt einen laufenden Einbruch, denn auch jeder Cyber-Einbruch hinterlässt Spuren, wenn auch oft verdeckt.

Den Verkehr kontrollieren

Firewalls und Antivirus-Programme nutzen beispielsweise passive Scans und überprüfen so den Traffic, der ein System erreicht. Diese Daten werden dann mit einer Datenbank abgeglichen. Dort sind Informationen zu Schadsoftware, unsicheren Anfragen und anderen Anomalien hinterlegt. Wenn die Firewall etwa eine Anfrage von einem unsicheren Sender bekommt, der Profildaten von Nutzenden auslesen will, lehnt sie die Anfrage ab. Das System selbst bekommt davon nichts mit, denn der passive Scan greift nicht auf das System zu, sondern nur auf den Datenverkehr.

Der Vorteil dabei: Das System muss keine zusätzliche Rechenleistung aufwenden. Trotz der Überprüfung kann die volle Bandbreite genutzt werden. Das ist vor allem bei kritischen Komponenten sinnvoll. Sie sollen eine möglichst hohe Verfügbarkeit aufweisen. Je weniger Zusatztätigkeiten sie ausführen, desto besser.

Der Nachteil des passiven Scannings: Nur Systeme, die selbst aktiv kommunizieren, kann man auch sehen. Nicht dazu gehört beispielsweise Büro-Software oder PDF-Reader. Aber auch Dienste, die kommunizieren, tun das vor allem mit ihren Hauptfunktionen. Funktionen mit Schwachstellen, die selten oder gar nicht im Regiebetrieb genutzt werden, sind nicht sichtbar oder eben erst dann, wenn der Angriff bereits läuft.

Die Infrastruktur überprüfen

Aktive Scans arbeiten anders und simulieren Angriffe. Sie stellen Anfragen an das System und versuchen dadurch, unterschiedliche Reaktionen auszulösen. Der aktive Scanner schickt zum Beispiel eine Anfrage zur Datenübermittlung an verschiedene Programme im System. Reagiert eines der Programme und leitet die Daten an die simuliert unbefugte Stelle weiter, hat der Scanner eine Sicherheitslücke gefunden.

Unterschiede zwischen aktiven und passiven Schwachstellenscans

Links: Beim aktiven Scan werden Anfragen an das System gesendet und dadurch versucht, unterschiedliche Reaktionen auszulösen. Rechts: Passive Scans überprüfen den Traffic, der ein System erreicht und gleichen diese Daten mit einer Datenbank ab.

Der Vorteil: Die Datenqualität, die beim aktiven Scannen erreicht werden kann, ist höher als beim passiven Scannen. Da die Interaktion direkt mit der Software und den Schnittstellen stattfindet, können Probleme in Programmen erkannt werden, die normalerweise nicht direkt mit dem Netz kommunizieren. Auf diese Weise werden auch Schwachstellen in Programmen wie Office-Anwendungen entdeckt.

Bei der direkten Interaktion müssen Systeme allerdings Extraanfragen bearbeiten, die dann unter Umständen die Grundfunktionen eines Programms beeinträchtigen. Betriebstechnik wie Maschinensteuerungen sind zum Beispiel nicht unbedingt dafür ausgelegt, Nebentätigkeiten auszuführen. Hier empfiehlt sich zum Beispiel Scannen unter Aufsicht und als Ergänzung kontinuierliches passives Scannen.

Aktiv scannen, aber minimalinvasiv

Trotzdem sind aktive Scans für die betriebliche Cyber-Sicherheit essenziell. Denn das Risiko, welches von der kurzfristigen Überbeanspruchung einer Systemkomponente ausgeht, ist klein im Vergleich zu einem Produktionsausfall oder einem Datenleck. Zudem decken aktive Scans nicht nur Schwachstellen auf, sie können auch passive Scans verbessern. So lassen sich die Schwachstellen, die erkannt werden, etwa in die Datenbanken von Firewalls aufnehmen. Das hilft auch anderen Unternehmen, die ähnliche Systeme nutzen.

Aktives und passives Scannen arbeiten Hand in Hand

Da der passive Scanner dem aktiven Scanner auch hilfreiche Informationen wie beispielsweise zu Mobiltelefonen oder Eigenschaften zu Netzwerk-Diensten geben kann, kann man von einer komplementären Ergänzung dieser beiden Sicherheitstools sprechen. Beiden ist gemein, dass sie aus der gegebenen Situation im Netzwerk automatisch immer das Beste herausholen. Für die Techniken des passiven und aktiven Scannens ist es egal, aus welchen oder wie vielen Komponenten und Programmen das Netzwerk besteht. Beide Sicherheitstechnologien erkennen dies von selbst und stellen sich darauf ein. Erst mit einem höheren Sicherheitsgrad beginnt die optimierte Abstimmung von Netzwerk und Scannern.

Es ist also keine Frage, ob man das eine oder das andere anwenden sollte. Beide Verfahren sind notwendig, um eine sichere Netzwerkumgebung zu gewährleisten. Ein rein passiver Ansatz wird in vielen Fällen nicht helfen. Ein proaktives Schwachstellenmanagement benötigt aktive Scans und Tools, um diese zu verwalten. Das ist es, was Greenbones Schwachstellenmanagement-Produkte bieten.


Cyber Security zur Abwehr von Cyber-Angriffen

Kaum ein Thema ist derzeit so präsent wie der Krieg in der Ukraine, der zahlreiche zivile und militärische Opfer fordert. Doch in unserer heutigen vernetzten und digitalisierten Welt besteht die Gefahr nicht nur in militärischen Angriffen, sondern weitet sich auch auf den Cyber-Raum aus. Laut Institute for Economics and Peace (IEP) steigen bereits jetzt die Cyber-Angriffe auf die Ukraine und andere Länder [1]. Besonders gefährdet sind dabei kritische Infrastrukturen (KRITIS).

Darunter fallen laut Definition der Bundesregierung „Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Bestandteil der KRITIS in den meisten Ländern sind somit das Gesundheitswesen, der Energie- und der Wassersektor, das Transportwesen und die Informations- und Kommunikationstechnologie.

Aber nicht nur KRITIS-Organisationen müssen sich daher besonders gut gegen Cyber-Angriffe schützen und ihre Angriffsfläche verringern. Für die gesamte IT-Infrastruktur besteht eine grundsätzliche Gefahr, eine grundsätzliche Angreifbarkeit, der man begegnen muss: defensiv und nachhaltig. Einen elementaren Einfluss hat hier das Beseitigen von Schwachstellen in den IT-Infrastrukturen. Da die meisten Schwachstellen bereits seit langer Zeit bekannt sind, können sie mithilfe von Schwachstellenmanagement aufgedeckt und anschließend entfernt werden. Letztlich bedeutet das, Cyber-Kriminellen einen Schritt voraus zu sein.

„Wir setzen dabei konsequent darauf, die Defensive zu stärken und nicht die Offensive“, sagt Elmar Geese, CIO/CMO von Greenbone. Dabei folgt Geese der Ansicht international renommierter Fachleute wie Manuel Atug von der AG KRITIS: „Offensiv vorzugehen ist nie zielführend, erst recht nicht in einem Krieg. Denn dann wird man Kombattant in einem Krieg und riskiert einiges, was vielen offenbar so nicht klar ist.“ Laut Atug sei nicht absehbar, welche Folgen auf Angreifende zukommen könnten [2].

Unser Ziel ist deshalb eine starke Defensive. Wir freuen uns zu sehen, dass unsere Open-Source-Technologie auch in der Ukraine hilft, russische Cyber-Angriffe abzuwehren.

[1] https://www.zeit.de/news/2022-03/02/experten-warnen-vor-cyberterrorismus-im-ukraine-konflikt

[2] https://background.tagesspiegel.de/cybersecurity/putin-wird-sich-nicht-wegcybern-lassen