Beiträge

Mithilfe von Compliance Richtlinien kann ein Unternehmen prüfen, ob alle im System integrierten Komponenten die erforderlichen Vorgaben erfüllen. Durch die steigende Digitalisierung und die damit einhergehende Zunahme neuer Technologien entstehen Chancen, aber auch Risiken. Aus diesem Grund nehmen auch die Anforderungen an die Compliance zu. Mit GOS 20.08 wurden alle Compliance Richtlinien über den Greenbone Security Feed verfügbar gemacht und vier neue Compliance Richtlinien hinzugefügt: TLS-Map, BSI TR-03116: Part 4, Huawei Datacom Product Security Configuration Audit Guide und Windows 10 Security Hardening.

Compliance Richtlinien für unterschiedliche Branchen

Was ist überhaupt eine Compliance Richtlinie?

Neben den gesetzlichen Vorgaben haben Unternehmen und Behörden oft auch ihre eigenen Richtlinien, die für die sichere Konfiguration eines Systems zu erfüllen sind. Ziel dabei ist es, für die Informationssicherheit des Unternehmens oder der Behörde zu sorgen, indem die Vertraulichkeit, die Integrität, die Verfügbarkeit und die Authentizität von Informationen sichergestellt wird.

Alle Vorgaben und Richtlinien, die dafür nötig sind, werden in einem Dokument zu einer Richtlinie zusammengefasst.

Auf Basis der einzelnen Kriterien der Richtlinien entwickelt Greenbone Networks Schwachstellentests – grob gesagt: ein Kriterium ergibt einen Schwachstellentest. Diese Tests fasst Greenbone Networks zu Scan-Konfigurationen zusammen.

Solche Scan-Konfigurationen, die Richtlinien von Unternehmen oder Behörden abbilden, werden als Compliance Richtlinien bezeichnet.


Beispiel: Ein Unternehmen bringt eine Security Richtlinie mit den folgenden Anforderungen heraus:

  • Version 2 der Software A ist auf dem Zielsystem installiert
  • SSH ist auf dem Zielsystem aktiviert
  • Software B ist nicht auf dem Zielsystem installiert

Greenbone Networks entwickelt für jede der Anforderungen jeweils einen Schwachstellentest, der abfragt, ob die jeweilige Bedingung erfüllt ist.

Die drei Tests werden dann zu einer Compliance Richtlinie zusammengefasst, die ein Nutzer der Greenbone-Lösungen beim Ausführen eines Schwachstellenscans wählen kann. Während des Scans wird dann geprüft, ob die oben genannten Bedingungen auf dem Zielsystem erfüllt werden.


Neu: Verteilung der Compliance Richtlinien über den Greenbone Security Feed

Ab GOS 20.08 werden alle standardmäßigen Scan-Konfigurationen, Berichtsformate, Portlisten und Compliance Richtlinien von Greenbone Networks über den Greenbone Security Feed verteilt.

Dies ermöglicht unter anderem die Veröffentlichung und Verteilung von Scan-Konfigurationen für aktuelle, heiße Schwachstellen-Tests. Früher wurden diese als XML-Dateien für den manuellen Download auf der Greenbone-Download-Website veröffentlicht und mussten vom Nutzer selbst importiert werden – was sehr mühsam war und Raum für Fehler ließ, weshalb eine schnelle Anwendung kaum möglich war.

Doch dies ist nicht der einzige Vorteil. Auch die Fehlerbehebung für den Kunden ist somit viel einfacher und schneller: die Objekte können mit einem einzigen Feed-Update für alle Setups aktualisiert und, falls nötig, gefixt werden.

Zusätzlich zu dieser Neuerung wurde der Greenbone Security Feed um ein paar wichtige Compliance Richtlinien erweitert.

Mehr Compliance Richtlinien im Greenbone Security Feed

Dem Greenbone Security Feed wurden im 4. Quartal 2020 vier neue Compliance Richtlinien hinzugefügt:

  • TLS-Map
  • BSI TR-03116: Part 4
  • Huawei Datacom Product Security Configuration Audit Guide
  • Windows 10 Security Hardening

Über die spezielle Scan-Konfiguration TLS-Map

Hinweis: Bei TLS-Map handelt es sich um eine Scan-Konfiguration für spezielle Scans, die sich von Schwachstellenscans unterscheiden. Aus Gründen der Übersichtlichkeit wird diese spezielle Scan-Konfiguration in diesem Beitrag mit den Compliance Richtlinien zusammen aufgeführt.

Die spezielle Scan-Konfiguration TLS-Map ist überall dort hilfreich, wo eine gesicherte Kommunikation über das Internet stattfindet. TLS – kurz für Transport Layer Security – ist ein Protokoll für die sichere Übertragung von Daten im Internet. Es ist der Nachfolger von SSL – Secure Sockets Layer –, weshalb beide Protokolle auch heute oft noch synonym verwendet werden. Alle SSL-Versionen und TLS-Versionen vor Version 1.2 sind allerdings seit spätestens 2020 veraltet und somit unsicher.

Das größte Einsatzgebiet von TLS ist die Datenübertragung im World Wide Web (WWW), beispielsweise zwischen einem Webbrowser als Client und einem Server wie www.greenbone.net. Andere Anwendungsgebiete finden sich im E-Mail-Verkehr und bei der Übertragung von Dateien über File Transport Protocol (FTP).

Die spezielle Scan-Konfiguration TLS-Map prüft, ob die erforderliche TLS-Version auf dem Zielsystem vorhanden ist und ob die benötigten Verschlüsselungsalgorithmen – sogenannte Ciphers – angeboten werden.

Über die Compliance Richtlinie BSI TR-03116: Part 4

Die Technische Richtlinie BSI TR-03116 Kryptographische Vorgaben für Projekte der Bundesregierung vom Bundesamt für Sicherheit in der Informationstechnik (BSI) kommt für Projekte der Bundesregierung zum Einsatz. Das bedeutet, soll ein Bundesprojekt umgesetzt werden, muss die Richtlinie erfüllt werden. Sie besteht aus insgesamt 5 Teilen:

  • Teil 1: Telematikinfrastruktur
  • Teil 2: Hoheitliche Ausweisdokumente
  • Teil 3: Intelligente Messsysteme
  • Teil 4: Kommunikationsverfahren in Anwendungen
  • Teil 5: Anwendungen der Secure Element API

Die Compliance Richtlinie, die Greenbone Networks entsprechend entwickelt hat, prüft, ob die Inhalte des vierten Teils der Richtlinie erfüllt werden. Dieser Teil enthält Anforderungen für Kommunikationsverfahren.

Die Compliance Richtlinie BSI TR-03116: Part 4 im Greenbone Security Feed prüft die drei Hauptanforderungen – minimal unterstützte TLS-Version sowie notwendige und nicht legitime Ciphers – der technischen Richtlinie.

 Über die Compliance Richtlinie Huawei Datacom Product Security Configuration Audit Guide

Compliance Richtlinien für Huawei-Lösungen befinden sich bereits seit längerer Zeit im Greenbone Security Feed.

Für die folgenden beiden Lösungen hatte Greenbone Networks bereits zuvor Compliance Richtlinien entwickelt:

  • EulerOS: Linux-Betriebssystem, basierend auf CentOS
    Zugehörige Compliance Richtlinie: EulerOS Linux Security Configuration
  • GaussDB: Datenbankmanagementsystem (DBMS), basierend auf Postgres
    Zugehörige Compliance Richtlinie: GaussDB 100 V300R001C00 Security Hardening Guide

Mit einer Compliance Richtlinie für Huawei Datacom, einer Produktkategorie, die auch Router und Switches mit einem eigenen Betriebssystem umfasst, kommt nun eine dritte Compliance Richtlinie für von Huawei entwickelte Lösungen hinzu.

Für alle drei Produkte – Huawei Datacom, EulerOS und GaussDB – gibt es Sicherheitskonfigurationen, die von Huawei vorgegeben wurden. Auf deren Basis hat Greenbone Networks Compliance Richtlinien entwickelt, die die Einhaltung eben jener Sicherheitskonfigurationen prüfen. Die unterschiedlichen Compliance Richtlinien finden immer dann Anwendung, wenn auf dem Zielsystem die entsprechende Lösung vorhanden ist.

Für Huawei Datacom vertreibt Huawei den Huawei Datacom Product Security Configuration Audit Guide. Die zugehörige, neu entwickelte Compliance Richtlinie prüft beispielsweise ob die korrekten Versionen von SSH und SNMP auf dem Zielsystem vorhanden ist.

Über die Compliance Richtlinie Windows 10 Security Hardening

Die Compliance Richtlinie Windows 10 Security Hardening beinhaltet Schwachstellentests, um die Härtung von Windows 10 nach Industriestandards zu bewerten.

Unter anderem prüft die Compliance Richtlinie unterschiedliche Passwortvorgaben wie Alter, Länge und Komplexität des Passworts, Vorgaben für das Vergeben von Benutzerrechten und Anforderungen für unterschiedliche Systemdienste.

Jetzt noch schnellere Einbindung von Compliance Richtlinien mit GOS 20.08

Mit fortschreitender Digitalisierung wachsen in Unternehmen jeder Größe und Branche die Anforderungen an die Compliance.

Durch die direkte Einbindung der Compliance Richtlinien über den Greenbone Security Feed und der Aufnahme neuer Compliance Richtlinien, werden Zielsysteme noch effektiver, einfacher und schneller geprüft und somit der Schutz der IT-Infrastruktur erhöht, ohne dass spezielles Compliance-Know-How benötigt wird.

Natürlich arbeiten wir auch weiterhin laufend an neuen Compliance Richtlinien. Sie dürfen also gespannt sein!

Arbeitsplatz im Home OfficeIn der Corona-Krise mussten viele Unternehmen im Eiltempo Home Office-Arbeitsplätze einrichten. Die Security blieb dabei oft auf der Strecke. Höchste Zeit, Versäumnisse nachzuholen. Denn im Heimnetzwerk lauern viele Schwachstellen. Die Greenbone Managed Service Plattform (GMSP) hilft dabei, sie aufzuspüren und zu schließen.

Auch wenn wir langsam zur Normalität zurückkehren, werden Home Office-Arbeitsplätze künftig eine größere Rolle spielen. Viele Unternehmen haben erkannt, dass arbeiten zu Hause möglich ist und durchaus Vorteile mit sich bringt. Vor allem aber haben wir alle aus der Pandemie gelernt, wie wichtig es ist, im Krisenfall handlungsfähig zu bleiben. Mitte März musste alles schnell-schnell gehen. Doch jetzt, wo wieder mehr Ruhe einkehrt, sollten Unternehmen Sicherheitslücken schleunigst schließen. Denn sonst haben Cyberkriminelle leichtes Spiel.

Was ist eigentlich das Problematische an der Home Office-Situation? Wenn man Firmen-Laptops plötzlich ins Heimnetzwerk verlegt, reißt man sie aus einer gut abgesicherten Umgebung und macht sie angreifbar. Gewohnte Security-Mechanismen wie Firewalls und Virenscanner fehlen hier. Deshalb ist es wichtig Systemkonfigurationen und Nutzerberechtigungen an die veränderten Bedingungen anzupassen. Was im Firmennetz erlaubt ist, darf nicht eins zu eins ins Home Office übertragen werden. Zum Beispiel Download-Rechte: Lädt ein Mitarbeiter im Büro eine Datei herunter, wird sie vorab von der Firewall gefiltert – im Heimnetzwerk dagegen nicht. Handelt es sich um Malware, kann sie den Rechner ungestört infizieren. Unbedingt prüfen sollten Administratoren auch die Konfiguration des VPN-Clients, über den sich der Mitarbeiter mit dem Unternehmensnetz verbindet. Denn manche Clients sind so eingerichtet, dass sie nur ausgewählten Datenverkehr über die Unternehmens-Infrastruktur leiten. Reine Internet-Anfragen, zum Beispiel an bekannte öffentliche Dienste, gehen dagegen direkt an einen Server im Internet und damit an der Firewall vorbei.

Viele leichte Angriffsziele

Ein weiteres Risiko stellen die Systeme dar, von denen das Firmen-Notebook im Home Office umgeben ist. Das können zum Beispiel Computer von Familienangehörigen oder Smart-TVs sein. Häufig sind sie ungepatcht und veraltet. Denn wer installiert im privaten Umfeld schon sorgfältig jedes Update? Für Cyberkriminelle sind solche Geräte ein leichtes Ziel. Einmal gekapert, können die Hacker von dort aus andere Systeme im selben Netzwerk kompromittieren und sogar bis ins Unternehmensnetz vordringen. Ob sich ein Angriff lohnt, können sie meist ganz einfach erkennen. Vielleicht stand in der Lokalzeitung, dass Firma XY ihre Mitarbeiter ins Home Office geschickt hat. Oder es ist bereits ein Familien-Computer mit einer Spionage-Malware infiziert. Ein solcher Trojaner scannt seine Umgebung kontinuierlich und meldet, wenn neue Systeme hinzukommen. Der Hacker kann dann anhand des Systemnamens erkennen, dass es sich um ein Unternehmens-Laptop handelt, und weitere Schritte planen.

Hacker nutzen die Krise aus

Gerade in Zeiten von Corona haben es Cyberkriminelle leicht, Opfer auszutricksen und Malware einzuschleusen. Denn die Menschen sind verunsichert und fallen dadurch leichter auf Betrüger herein. Eine besonders beliebte Angriffsmethode ist Phishing. So versuchten Hacker zum Beispiel verstärkt, Anwender auf vermeintliche Corona-Informationsseiten zu locken und dort zum Download gefährlicher Dateien zu bewegen. Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) nahm die Zahl der Corona-bezogenen Domain-Registrierungen exponentiell zu – wohl auch im Hinblick auf kriminelle Aktivitäten. Eine andere Masche könnte sein, dass sich ein Hacker als Netzwerkadministrator ausgibt und einen Mitarbeiter auffordert, sein System zu aktualisieren – er müsse dafür nur den beigefügten Link anklicken. Schon installiert der arglose Nutzer einen manipulierten VPN-Client, der sämtlichen Netzwerkverkehr über den Server des Cyberkriminellen leitet.

Schwachstellen identifizieren und schließen

Eine wichtige Maßnahme, um die Sicherheit im Home Office zu erhöhen, besteht darin, Sicherheitslücken aufzudecken und zu schließen. Viele Unternehmen betreiben schon Schwachstellenmanagement in ihrer internen Infrastruktur. Mit der GMSP von Greenbone lässt sich dies ganz einfach auf die Home-Office-Umgebung ausweiten. Der Cloud Service scannt alle im Netzwerk angeschlossenen Systeme auf Sicherheitslücken, zum Beispiel fehlende Patches oder unsichere Konfigurationen. Anschließend bewertet er die Funde nach Risiko und schlägt Methoden zur Minderung vor. Um ein Home Office-Netzwerk in das Vulnerability Management einzubinden, müssen Kunden lediglich ein neues Gateway auf der Plattform anlegen. Anschließend erhält der jeweilige Mitarbeiter einen Download-Link, installiert das Gateway und startet den Scan. Abgerechnet wird nach Zahl der gescannten IP-Adressen. Wenn das Unternehmen die GMSP bereits intern nutzt, fallen für das Home Office Gateway keine zusätzlichen Kosten an.

Am Ende profitieren beide Seiten: der Mitarbeiter und das Unternehmen. Der Mitarbeiter kann sein Heimnetzwerk mit einer professionellen Lösung auf Schwachstellen scannen und so die Cyber Security bei sich zu Hause erhöhen. Das Unternehmen gewinnt mehr Transparenz über die erweiterte Angriffsfläche, kann bestehende Sicherheitslücken schließen und sich resilienter gegen Cyberangriffe machen.

Im vergangenen Jahr hat sich einiges getan bei Greenbone: Wir haben unser Portfolio um virtuelle Maschinen ergänzt und sind neue Distributionspartnerschaften eingegangen, die uns unter anderem Nord-Amerika erschließen. In diesem Rahmen haben wir auch unsere Teams deutlich ausgebaut und suchen weiterhin nach Verstärkung. Aktuell bereiten wir den Start unserer ersten Cloud-basierten Managed Service Plattform vor. Unternehmen können unsere Technologie nun – je nach Bedarf und Anforderungen – einsetzen, als Service, als virtuelle und als physische Appliance. Unser Ziel, das wir dabei stets vor Augen haben: Angreifern immer einen Schritt voraus sein und Unternehmen aller Größen mithilfe eines effektiven Resilience & Vulnerability Managements (RVM) widerstandsfähig gegen Cyber-Attacken machen.

Der heutige Stand der Technik heißt für Unternehmen, dass sie resilient gegen Cyber-Attacken sein müssen, also auch im Falle eines erfolgreichen Angriffs betriebsfähig bleiben. Betriebsunterbrechungen und Cyber-Attacken gehören heute zu den größten Geschäftsrisiken, die ein Betrieb handhaben muss. Ein effektives Resilience & Vulnerability Management hilft da grundlegend. Um Unternehmen widerstandsfähig zu machen, bietet unsere Technologie die Einstufung der Gefahren aber auch des Aufwandes zu deren Beseitigung. Zum einen wird dabei das gesamte Netzwerk eines Unternehmens kontinuierlich auf Schwachstellen und mögliche Angriffspunkte gescannt, zum anderen werden die digitalen Risiken für kritische Geschäftsprozessen und den dazugehörigen Assets visualisiert. Durch die hochgradige Automatisierung und maximale Scan-Tiefe und -Breite etablieren wir nachhaltige Widerstandsfähigkeit.
Über den Vorteil sind sich die Unternehmen einig. Unterschiedliche Meinung herrscht jedoch darüber wie die Technologie in die eigene IT-Umgebung integriert wird. Mit Recht, denn jedes Unternehmen bringt eigene Kompetenzen und Präferenzen mit und muss Richtlinien, oft Branchen-abhängig, erfüllen.

Ergänzt durch die neuen Cloud-basierten Dienste und zusammen mit unseren bekannten physischen und virtuellen Appliances bieten wir flexible Lösungsarchitekturen für unsere Kunden, immer passend zu den jeweiligen Anforderungen.

Auch unsere Verantwortung für die Community und für die digitale Gesellschaft nehmen wir weiterhin war. Als Corporate Citizen werden wir auch in Zukunft die eigene Technologie als transparente, offene Lösung bereitstellen. Gerade die kritischen Infrastrukturen werden auch weiterhin ein wichtiger Fokus unserer Sicherheitsforschung sein. Wir haben mit unseren Sicherheitsberichten im letzten Jahr Hunderten von Gesundheitseinrichtungen geholfen und so Millionen von Patientendaten geschützt. Diesen Weg wollen wir weiter gehen, um für unsere Kunden die digitale Welt immer sicherer zu machen.

Enorme Nachfrage: Vulnerability Management als Service und als virtuelle Anwendung

Seit vielen Wochen befinden wir uns schon in der Beta-Testphase für unsere neue Greenbone Managed Service Platform. Mit ihr stellen wir Kunden unsere bewährte Vulnerability-Management-Lösung ab April auch als Cloud-Service zur Verfügung, den sie gegen eine monatliche Gebühr nutzen können. Nicht zuletzt kleinere Betriebe wie etwa lokale Arztpraxen können so auch ohne Inhouse-Expertise einfach und schnell ihre Netzwerke schützen. Für globale Konzerne sind Managed Services eine interessante Option, um neue Standorte ohne großen Aufwand mit einem effektiven Schwachstellenmanagement auszustatten. Für die Entwicklung haben wir eigens ein zusätzliches Experten-Team gewinnen können, das mit viel Umsicht konfiguriert und – wie immer – ein besonderes Augenmerk auf einen sicheren Datenaustausch legt.
Seit Mitte 2019 sind unsere virtuellen Midrange-Appliances des Greenbone Security Manager verfügbar. Wir haben dadurch den Umsatzanteil virtueller Lösungen 2019 gegenüber 2018 beinahe verzehnfacht. Die größte Kontrolle über die Sicherheitsdaten hat man zwar weiterhin mit den physischen Appliances, jedoch ist das Vertrauen in Virtualisierungs-Lösungen mit deren fortgeschrittenen Entwicklung deutlich gewachsen. „Diese architekturübergreifende Flexibilität hilft unseren Kunden, gezielt und effizient die eigenen Anforderungen an eine Resilience & Vulnerability Management Lösung erfüllen zu können“, so Dr. Jan-Oliver Wagner, CEO Greenbone Networks.

Neue Distributoren unterstützen Wachstum international

Dass der Schritt hin zu Virtual Appliances logisch und richtig war, zeigt uns das enorme Kundeninteresse. Mit unseren virtuellen Maschinen haben wir sozusagen offene Türen eingerannt – die Nachfrage ist riesig. Um ihr gerecht zu werden, haben wir 2019 eine strategische Partnerschaft mit dem Value-Added Distributor (VAD) ADN geschlossen. Sie ergänzt unsere langjährige Zusammenarbeit mit Exclusive Networks, die als Distributoren auf physische Systeme spezialisiert sind. Im DACH-Raum sind wir jetzt also mit starken Distributionspartner sowohl für unsere physischen als auch unsere virtuellen Systeme aufgestellt.
Daneben expandieren wir auch immer weiter in den englischsprachigen Raum. Über unsere neu gewonnen Distributor InfoSec Industries mit Sitz in Florida habe wir einen Partner, der insbesondere den nordamerikanischen Markt adressiert aber auch Mittel- und Südamerika unterstützt.

Neue Kollegen und ein größeres Headquarter

Aufgrund der anhaltend hohen Nachfrage mussten wir natürlich auch personell nachlegen. So haben wir das Greenbone-Team im vergangenen Jahr um 21 neue Kollegen erweitert. Das kam vor allem der Entwicklung und unserem Professional Service zu gute. Mit Elmar Geese als Chief Operating Officer (COO) haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns in den Bereichen Strategie, Prozessoptimierung und Controlling unterstützt.
Um das stark gewachsene Team auch räumlich unterzubringen, haben wir unser Osnabrücker Headquarter nochmal deutlich vergrößert.

Fazit: Cyber-Sicherheit der Kunden im Fokus und mehr Kunden im Fokus

Cyber-Angriffe können fatale Auswirkungen haben. Unser Anliegen ist es, Unternehmen aller Größen – von der lokalen Arztpraxis bis zum internationalen Konzern – ein effektives Schwachstellen-Management zur Verfügung zu stellen, das sich ohne viel Aufwand in Betrieb nehmen lässt. Die enorme internationale Nachfrage nach unseren virtuellen Maschinen und das – schon jetzt große – Interesse an unserer neuen Managed-Service-Plattform zeigt, dass wir auf dem richtigen Weg sind. Auch in Zukunft werden wir alles daran setzen, Angreifern immer eine Nasenlänge voraus zu sein.

Osnabrück, 27. Februar 2020 – Greenbone, Lösungsanbieter zur Schwachstellenanalyse von IT-Netzwerken, verstärkt mit Elmar Geese als Chief Operating Officer (COO) das Management. Geese ist seit Anfang 2020 bei Greenbone tätig und kümmert sich seitdem vor allem um Strategie, Prozessoptimierung und Controlling. Die Position wurde neu geschaffen, um das anhaltend starke Wachstum von Greenbone auch auf Management-Ebene weiter zu unterstützen.

Elmar Geese ist seit Anfang 2020 Teil des Management-Teams von Greenbone. Der Schwerpunkt seiner Tätigkeit liegt auf Strategie, Prozessoptimierung und Controlling. In seinem Schaffen will er den Mehrwert der Greenbone-Produkte für die Kunden noch wirksamer werden lassen. „Greenbone hat mit seinen Lösungen für intelligentes Schwachstellen-Management das Potenzial, sich von einem europäischen Marktführer zum internationalen Player zu entwickeln“, so Geese. „Die Sicherheit von Informationssystemen ist für Unternehmen und unsere moderne Gesellschaft elementar. Das zeigen die vielen Sicherheitsvorfälle, von denen wir mittlerweile täglich erfahren. Greenbone leistet einen entscheidenden Beitrag, unsere Welt sicherer zu machen. Ich freue mich darauf, mich hier entscheidend einbringen zu dürfen.“

Jan-Oliver Wagner, Greenbone Gründer und CEO, ergänzt: „Greenbone wächst kontinuierlich. Aktuell arbeiten wir daran, unsere Schwachstellen-Management-Lösung auch als Managed Service zur Verfügung zu stellen. Davon profitieren vor allem Unternehmen, die Inhouse nicht die personellen oder zeitlichen Kapazitäten für eine umfassende Schwachstellen-Analyse mit Hardware-Modulen haben. Mit Elmar Geese haben wir einen fähigen Kopf mit starkem unternehmerischen Background für uns gewonnen, der uns im Management unterstützt. Wir freuen uns sehr auf die Zusammenarbeit und sind zuversichtlich, dass wir mit ihm an Bord die Aufgaben, die ein schnelles Unternehmenswachstum mit sich bringt, mit Leichtigkeit bewältigen.“

Elmar Geese blickt auf eine langjährige Management-Erfahrung zurück. Er ist seit mehr als drei Jahrzehnten als Gründer, Manager und Berater im Bereich Informationstechnologie tätig. Zuletzt war er als CIO beim Berliner Gesundheits-Startup machtfit für deren SaaS-Plattform für betriebliches Gesundheitsmanagement verantwortlich. Dort hat er als Leiter der Produktentwicklung und -betriebs dazu beigetragen, Kunden wie die Bayer AG, die Deutsche Bahn, Lufthansa, Edeka und Lanxess dauerhaft für das Unternehmen zu gewinnen

Neue OS-Versionen werden jeweils zum 30. April und 31. Oktober veröffentlicht

2019 werden wir auf ein neues Release-Schema für Greenbone OS – dem Betriebssystem unserer Greenbone Security Manager (GSM) – umsteigen. Das bedeutet: Zukünftig gibt es feste Veröffentlichungstermine, die jedes Jahr gleich bleiben. Das gibt nicht nur unseren Kunden und Partnern, sondern auch dem Greenbone-Entwicklungsteam selbst mehr Planungssicherheit.

Die neuen fixen Termine sind jedes Jahr der 30. April und der 31. Oktober. Im Übergangsjahr 2019 veröffentlichen wir das als nächstes anstehende GOS 5.0 noch in der zweistufigen Aufteilung für ENTRY/SME (30. April) und MIDRANGE/ENTERPRISE/SENSOR (30. Juni). Das GOS 6.0 wir dann bereits gemäß dem neuen Schema in einem einzigen Schritt für alle GSM-Geräte freigegeben. Ab 2020 gilt das neue Time-Based-Release-System in vollem Umfang.

Das Schema basiert auf harten Fristen für neue Funktionen, neue GSM-Typen und neue Hardware. Wenn ein Feature es nicht zu einem Veröffentlichungstermin schafft, wird es für das Folge-Release berücksichtigt.

Ausgereifte Systeme durch einmonatige Testphase in der Greenbone-Community

Zudem durchläuft unser GVM für jedes GOS Release eine einmonatige Testphase: Vor dem Release am 30. April beziehungsweise 31. Oktober wird die jeweils aktuelle Source Edition im GVM Release der Greenbone-Community bereitgestellt. Eventuelle Bugs lassen sich so eliminieren, bevor unsere Kunden und Partner das neue GOS in Betrieb nehmen.

Ein weiterer Vorteil der neuen Time-Based Releases: Der Zyklus von zwei neuen Hauptversionen pro Jahr erhöht das Tempo, mit dem Innovationen zu unseren Anwendern gelangen. Zudem können User schneller auf neue GOS-Versionen aufspringen: Zum einen alle sechs Monate zu den offiziellen Release-Terminen (Innovation Cycle). Zum anderen alle 12 Monate während einer dreimonatigen Migrationsphase, in der sie dann eine GOS-Generation überspringen können – diese sind jeweils Mai/Juni/Juli oder November/Dezember/Januar (Conservative Cycle).

Schwerwiegende Sicherheitslücke in D-Link-Routern entdeckt

UPDATE: Patch für Anwender verfügbar, D-Link Support-Seiten aktualisiert

Bereits im November 2018 hat Greenbone eine schwerwiegende Sicherheitslücke in Routern von D-Link entdeckt und das Unternehmen darauf aufmerksam gemacht. Die Schwachstelle ist für Hacker einfach auszunutzen und ermöglicht unautorisierten Zugriff auf Netzwerke. Seit dem 19. März 2019 ist auf den Support-Seiten des Herstellers ein Patch verfügbar. Greenbone bietet seinen Kunden jedoch bereits seit Ende letzten Jahres einen entsprechenden Schwachstellentest (Vulnerability Tests, VT) im täglichen Security Feed.

Router sind die zentralen Dreh- und Angelpunkte in Netzwerken. Sie stellen die Internetverbindung für die angeschlossenen Laptops und PCs aber auch für Smart-Home- und Industrie-4.0-Anwendungen her. Doch trotzdem hier so viele Komponenten eines Netzwerks zusammenlaufen, ist es um die Sicherheit oftmals nicht gut bestellt. Im vergangenen Jahr fanden Forscher des American Consumer Institute bei 83 Prozent der innerhalb einer Studie untersuchten Routern bereits bekannte Sicherheitslücken. Über diese können sich Hacker unter Umständen Zugriff zum Gerät selbst und damit auch zum Netzwerk verschaffen. Insgesamt zählten die Forscher mehr als 30.000 Schwachstellen – 7 Prozent davon bergen ein kritisches und 21 Prozent ein hohes Risiko.

Designfehler macht die Modelle DWR und DAP angreifbar

Zu den bereits bekannten Schwachstellen in Routern kommen auch immer wieder neue hinzu. So haben unsere Sicherheitsforscher bei Greenbone im November 2018 eine schwerwiegende Sicherheitslücke in verschiedenen Routern des Herstellers D-Link gefunden. Betroffen sind mindestens die Modelle DWR und DAP. Auf Englisch würde man die Schwachstelle als „Unauthenticated Remote Code Execution“ bezeichnen, also eine Sicherheitslücke, bei der ein Angreifer ohne jegliche Authentifizierung Befehle auf dem Router ausführen kann. Im Fall der D-Link-Router kann sich ein Hacker sogar die vollen administrativen Rechte verschaffen. Es ist sehr wahrscheinlich, dass das NIST (National Institute of Standards and Technology) die höchstmögliche CVSS-Wertung (Common Vulnerability Scoring System) von 10.0 vergeben wird. 

Die Ursache ist vermutlich ein Design-Fehler. Bei den von uns getesteten Geräten fanden wir eine ausführbare Datei namens „EXCU_SHELL“, die sich mit einem sogenannten GET-Request aus dem Web-Browser aufrufen lässt. Diese ist für einige harmlose aber sinnvolle Operationen zuständig, wie zum Beispiel das Anzeigen von Informationen über die installierte Firmware-Version. Wenn man jedoch einige Parameter dieser Datei anpasst, lassen sich beliebige Befehle einschleusen und ausführen.

Zugriff auf Router ohne Authentifizierung möglich

Die Tragweite der gefundenen Sicherheitslücke ist gemäß der Marktpräsenz von D-Link hoch: Das Unternehmen ist einer der Top-Player auf dem globalen Wireless-Router-Markt und war 2017 mit einem Anteil von 24,1 Prozent Marktführer.

Darüber hinaus ist der Schweregrad der Lücke laut dem CVSS-Basis-Score-Rechner hoch und die Lücke relativ leicht auszunutzen: Die Datei „EXCU_SHELL“ ist nicht passwortgeschützt und Hacker können daher ohne Authentifizierung auf den Router und damit das zugehörige Netzwerk zugreifen. Einmal eingedrungen, lässt sich so der gesamte ein- und ausgehende Internet-Traffic einsehen, modifizieren und kontrollieren oder sogar Malware verbreiten.

In Zeiten von Smart Home und Industrie 4.0 kann dadurch erheblicher Schaden entstehen. Hackern steht mit einer Sicherheitslücken diesen Schweregrads sozusagen Tür und Tor zu Netzwerken offen – fatal wären die Folgen von Eingriffen in kritischen Infrastrukturen wie Gesundheitseinrichtungen oder Energieversorgern.

D-Link hat Sicherheits-Update am 19. März 2019 veröffentlicht

Nachdem Greenbone die Sicherheitslücke bereits im vergangenen November an D-Link gemeldet hat, ist für Anwender jetzt auch ein Patch verfügbar. Der Hersteller zeigte sich während der gesamten Zeit responsiv und bat uns, die CVE-Beantragung zu übernehmen. Informationen für Kunden auf der D-Link-Website und Patches sind inzwischen auch verfügbar.

Ursprünglich waren seit der Entdeckung der Schwachstelle schon mehr als 90 Tage vergangen – die Frist endete bereits am 11. Februar 2019. Daher handelten wir gemäß des Responsible Disclosure und veröffentlichten alle bisher verfügbaren Informationen, um Anwender zu schützen. Für Greenbone-Kunden war die Lücke bereits seit November 2018 über den täglichen Security Feed sichtbar.

Hersteller müssen handeln!

Angesichts der horrenden Anzahl von Sicherheitslücken auf Routern, ist die Schließung der D-Link-Lücke sicherlich nur ein Tropfen auf dem heißen Stein. Ja, die Anzahl an Schwachstellen ist einschüchternd – den Kopf in den Sand stecken aber keine Option. Vielmehr gilt es, so viele Hersteller wie möglich dazu zu bewegen oder wenn nötig auch zu zwingen, ihre Router abzusichern. Denn in einer vernetzen Welt wie der unseren steht zu viel auf dem Spiel. Hier erhalten Sie weitere allgemeine Informationen zum Thema IT-Sicherheit.

Schwachstellen für digitale Gegenangriffe zurückzuhalten, ist in höchstem Maße riskant

Sollten Staaten Schwachstellen zurückhalten, um die eigenen Möglichkeiten eines Hack Back zu stärken? Nein, meint Dirk Schrader, CMO von Greenbone Networks, Vulnerability-Management-Anbieter, als Reaktion auf den Spiegel-Artikel „Das Cyber-Dilemma“.

Gut gezielte Cyber-Angriffe können heute das gesellschaftliche Leben ganzer Staaten lahmlegen. Bei einem totalen Blackout der Energieversorgung würden etwa wichtige elektronische Geräte in Krankenhäusern ausfallen und Lebensmittelkühlketten nicht mehr funktionieren. Auch ließen sich keine Notrufe mehr tätigen und die Frischwasserversorgung wäre gefährdet. Es ist daher gut und wünschenswert, dass die Regierung darüber diskutiert, wie sie die eigenen kritischen Infrastrukturen bestmöglich vor böswilligen Cyber-Angriffen schützen kann. So sind Maßnahmen eins bis drei des vom Bundesverteidigungs- und Bundesinnenministeriums vorgestellten Fünf-Stufen-Plans absolut richtig und wichtig: Prävention von Cyber-Angriffen, Umleitung von Daten eines erkannten Angreifers und Aufklärung von Hacker-Offensiven.

Hack Backs haben unvorhersehbare Nebenwirkungen
Der in Stufe vier und fünf verfolgte Ansatz, gefundene Schwachstellen zurückzuhalten, sie also nicht zu veröffentlichen, um sie für einen sogenannten „Hack Back“ zu nutzen, ist jedoch schon aus technischer Sicht nicht praktikabel. So sollen sich Cyber-Experten in Stufe vier des Plans über eine bisher nicht veröffentlichte Schwachstelle Zugriff auf das IT-System des Hacker verschaffen, um Daten „zurückzuklauen“. Doch bereits hier lauern zahlreiche Fallstricke: Gibt es Kopien von den Daten? Sind die Daten verteilt gespeichert? Wem gehört der Server überhaupt? Und was ist, wenn der Server in einem befreundeten Land steht und Eigentum der dortigen Regierung ist?
Stufe 5 – die von Hackern genutzten Server zu zerstören – erinnert wiederum sehr an das Vorgehen der britischen Regierung nach den Snowden-Enthüllungen. Hier wurden Festplatten der britischen Tageszeitung „The Guardian“ mit Bohrern zerstört. Die Folge eines solchen Vorgehens: Nutzen auch andere unbeteiligte Einrichtungen den Server, wären auch deren Daten unwiederbringlich verloren. Insbesondere bei kritischen Infrastrukturen wie Krankenhäusern hätte dies fatale Folgen.
In diesem Zusammenhang stellt sich außerdem die bisher nicht thematisierte Frage, gegen wen solche Maßnahmen der Stufen 4 und 5 theoretisch gerichtet sein können – und dürfen. Wenn ausländische Dritte vom Hack Back betroffen sind, wertet deren Regierung das als Angriff und hackt auch zurück? Eine solche Spirale sollte verhindert werden.

Unveröffentlichte Schwachstellen sind immer ein Risiko
Darüber hinaus gibt es auch bei der Beschaffung von bisher unveröffentlichten Schwachstellen ein sehr konkretes Problem: Findet man selbst eine neue Sicherheitslücke, muss man immer davon ausgehen, dass feindlich gesinnte Hacker oder Regierungen ebenfalls auf diese aufmerksam werden. Es gilt also, die eigene Infrastruktur gegen einen Angriff über ebenjene Schwachstelle zu schützen. Doch wie gelingt das, wenn es dafür noch keinen Patch gibt? Die Thematik ist umso brisanter, wenn man das Wissen über eine Schwachstelle von einem Dritten gekauft hat. Denn Gegner sind natürlich in der Lage, das Gleiche zu tun.
Spätestens wenn die Schwachstelle für einen Hack Back genutzt wurde, ist sie ein maßgeblicher Risikofaktor, denn: Ab diesem Zeitpunkt ist sie bekannt, wird analysiert und von Gegnern eventuell ebenfalls für einen Angriff genutzt. Derselbe Mechanismus greift bei digitalen Schläferzellen – Schadsoftware, die über eine Schwachstelle unbemerkt im IT-System von potenziellen Gegnern platziert wird und bei Bedarf zum Einsatz kommt. Denn auch hier gilt: Ab ihrem Bekanntwerden – etwa indem die Schadsoftware gestartet wird – ist sie ein potenzielles Einfallstor in das eigene IT-System.

Fazit: Digitalen Waffen keinen Entwicklungsraum geben
Schwachstellen zurückzuhalten, um sie für Hack Backs zu nutzen, ist weder politisch, noch administrativ, noch technologisch tragbar. Schlussendlich erhöht jede nicht geschlossene Schwachstelle das Risiko eines erfolgreichen Angriffs. Die Folgen eines solchen sind in unserer komplex vernetzten Welt unvorhersehbar. Im schlimmsten Fall kommt es zu einem Kaskadeneffekt, der das komplette gesellschaftliche Leben zum Erliegen bringt. Dieses Risiko sollten Regierungen auf keinen Fall eingehen, denn sie sind für das Wohl der Bürger verantwortlich. Anstatt sich also um zwischenstaatliche Verfahren über die Weitergabe von Schwachstellen zu bemühen, sollte die politische Energie vielmehr auf die Ächtung von D-Waffen (digitalen Waffen) nach dem Vorbild des Genfer Protokolls zielen.

Die Greenbone Anwenderkonferenz Security Transparent findet in diesem Jahr am 8. Mai 2018 im Humboldt Carré Berlin statt. Im Fokus: Kritische Infrastrukturen und Cyber Resilience.

In diesem Jahr dreht sich auf unserer Anwenderkonferenz alles um die IT-Sicherheit von kritischen Infrastrukturen (KRITIS) – wie Energie, Gesundheit, Wasserversorgung oder Transport und Verkehr. Unternehmen in diesen Sektoren sind die Säulen unseres Gemeinwesens und Ausfälle könnten katastrophale Folgen haben – man male sich nur die dramatischen Auswirkungen eines Zusammenbruchs der Stromversorgung aus. Im Zuge der Digitalisierung hat sich die Sorge von Regierungen um kritische Infrastrukturen noch weiter verschärft. Denn durch immer mehr und immer komplexer ablaufende digitale Prozesse hat sich auch die Angriffsfläche für Hacker enorm vergrößert.
Paradigmenwechsel: Von Cyber Security zu Cyber Resilience
Natürlich möchten Unternehmen ihre IT am liebsten zu 100 Prozent „fail-safe“ absichern. Doch dies würde sie zu unflexibel und reaktionsschwach machen. Daher forcieren wir einen Paradigmenwechsel hin zu „safe-to-fail“. Das bedeutet: Unternehmen müssen ihren Betrieb auch dann aufrechterhalten könnten, wenn ein Angriff von außen gelingt – Widerstandsfähigkeit (engl. Resilience) ist hier das Schlüsselwort. Ein Wandel von Cyber Security hin zu Cyber Resilience ist also dringend notwendig. Welche Voraussetzungen dafür nötig sind und welche Rolle Schwachstellen-Management dabei spielt – darüber möchten wir auf der Security Transparent diskutieren.
Zu Gast sind Unternehmen und Institutionen aus den Sektoren Produktion, Gesundheit, Energie, Verwaltung und Telekommunikation. Zudem freuen wir uns auf spannende Vorträge und Workshops mit folgenden Sprechern:

  • Tim Philipp Schäfers, Cyber Security Consultant OEDIV (Dr. Oetker IT)
  • Ingo Bahn, IT-Sicherheitsbeauftragter, Gematik
  • Henry Hughes, Director IT Security, Jisc (Organisation zur Förderung digitaler Technologien in Forschung und Lehre), UK
  • Markus Böger, Polizeihauptkommissar Verfassungsschutz Niedersachsen
  • Sebastian Neef, IT Solutions Neef und Internetwache
  • Martin Herfurt, Senior Professional Services Consultant Greenbone Networks

Sie möchten an der Konferenz teilnehmen? Hier geht es direkt zur Online-Anmeldung. Weitere Informationen zur Security Transparent 2018 finden Sie hier.

Wir freuen uns auf eine spannende Konferenz mit Ihnen!