Foto: mod IT Services
Vielfach eingesetzt in Penetrationstests: die Security-Linux-Distribution „Kali Linux“, unter der auch Schwachstellen-scanner installiert werden können.

Schwachstellenscans selbst aufsetzen

Mehr Pflicht als Kür

Ein solides Patchmanagement für alle Systeme ist zweifellos die Basis einer gepflegten IT-Infrastruktur. Dass dies nicht alle Lücken beseitigt, steht allerdings außer Frage. Schwachstellenscanner helfen, weitere Defizite zu erkennen. Doch wie viel Aufwand ist es, ein professionelles und systematisches Schwachstellen-Management im Unternehmen zu etablieren?

Auch das beste Patchmanagement lässt Sicherheitslücken zurück. Manche Teile der IT-Infrastruktur entziehen sich beispielsweise der vollen Kontrolle der Administratoren, weil sie bei einem Dienstleister gehostet und von diesem gemanagt werden. Oder die Software-Hersteller lassen sich zu viel Zeit, um Updates auszuliefern. Hin und wieder sind die Patches auch fehlerhaft und flicken die vorhandenen Löcher nur unzureichend. Und dann wären da noch die hochsensiblen, geschäftskritischen Systeme im Unternehmen, bei denen jeder Admin zweimal überlegt, bevor er irgendetwas ändert – und sei es nur die Version einer installierten Software.

Schwachstellenscans spüren diese vom Patchmanagement zurückgelassenen Lücken zuverlässig auf. Dennoch nutzen viele IT-Abteilungen diese nur unregelmäßig oder wenn die Governance-Vorgaben es zu bestimmten Audit-Terminen vorschreiben. Viele Unternehmen beauftragen Dienstleister mit dem Scannen der Infrastruktur – ein sinnvoller Weg, wenn das Know-how oder die Ressourcen im eigenen Hause fehlen. Sicher taucht dabei immer wieder die Frage auf, ob man das nicht selbst machen könnte.

Schwachstellenscans brauchen Vorbereitung

Auch wenn bereits ein Tool für den Scan ausgewählt worden ist, sind einige Vorbereitungen zu treffen. Mit dem Blick auf die gesamte Infrastruktur muss zunächst geklärt werden, wer seitens der IT-Abteilung mit einzubeziehen ist und wie sich die Infrastruktur verteilt. Letzteres ist deshalb wichtig, weil es bei extern gehosteten Systemen notwendig sein kann, eine Einverständniserklärung des Dienstleisters einzuholen. Informieren sollte man die Systemeigentümer in jedem Fall, um Missverständnisse zu vermeiden. Kompliziert wird es, wenn Applikationen auf Shared-Plattformen wie etwa bei Public Cloud Services laufen. In diesem Fall ist es nicht ohne weiteres möglich, die Systeme zu scannen. Zum einen managen Provider ihre Systeme selbst – einer der dedizierten Vorteile des Cloud Computing – und lassen sich deshalb ungern hineinreden. Zum anderen liegen unter Umständen Daten und Applikationen anderer Kunden des Providers auf derselben Plattform. Das macht einen Scan datenschutzrechtlich schwierig.

Genauso wichtig ist es, die operativen Administratoren und das für das Monitoring zuständige Team von Beginn an einzubeziehen. Denn ein Schwachstellenscan sieht für die verschiedenen Security- und Monitoring-Systeme unter Umständen wie ein Angriff aus. Die Verantwortlichen für die Firewall, das Intrusion Prevention System (IPS), das Instrusion Detection System (IDS) oder das Security Information and Event Management (Siem) sollten unbedingt vorher informiert werden. Denn spätestens wenn der Scan zahlreiche Logs und False Positives (Fehlalarme) produziert, sind die Administratoren im Stress. Vorherige Absprachen und entsprechend zusammengestellte Projektteams vermeiden solche Missverständnisse.

Innerhalb eines Team von verantwortlichen Administratoren lässt sich auch der Termin für den Schwachstellenscan besser bestimmen. Denn das ist keineswegs trivial: Zum einen kann der Scan wie beschrieben die Systeme beeinträchtigen oder aber eine schmalbandige LAN/WAN-Verbindung recht gut auslasten, so dass eher ein Termin außerhalb der Hauptgeschäftszeiten in Frage kommt. Zum anderen lassen sich eben genau während der Kern-Arbeitszeiten die meisten Client-Systeme über das Netzwerk erreichen. So ist es sinnvoll, Clients und unkritische Server tagsüber zu scannen und die Arbeit an den hochkritischen Systemen außerhalb der Geschäftszeiten oder an einem definierten Wartungstag durchzuführen. Mit der Zeit bekommen die Verantwortlichen ein Gefühl dafür, welchen Einfluss der Scanner auf die verschiedenen Systeme hat und kann das Timing nochmals überdenken.

Scanner der Umgebung anpassen

Die meisten Scanner wie zum Beispiel der Nessus Vulnerability Scanner von Tenable liefern bereits in der vom Hersteller ausgelieferten Grundkonfiguration brauchbare Ergebnisse. Fehlen dem Tool jedoch individuelle Parameter der Umgebung, besteht die Gefahr, dass wichtige Schwachstellen übersehen werden. Vor dem ersten Einsatz sollte der Schwachstellenscanner deshalb einmal durchkonfiguriert und den individuellen Ausprägungen der IT-Landschaft angepasst werden. Manche Software-Hersteller lassen Peripheriegeräte wie zum Beispiel Drucker per Werkseinstellung nicht mitscannen, da diese häufig instabil auf einen Schwachstellenscan reagieren. Doch dass gerade Drucker vom Scan nicht ausgenommen werden dürfen, ist von großer Bedeutung, verarbeiten diese schließlich oft sensible Daten.

Die meisten Scanner bieten Zugang zu nützlichen Plug-ins, die sich aktivieren lassen. Doch hier ist Expertenwissen gefragt, die Option „nur sichere Scanner-Plug-ins verwenden“ ist aus gutem Grund meistens voreingestellt. Denn bereits das Aufspüren einer Sicherheitslücke kann zu einem „Denial-of-Service“-artigem Szenario führen – erst recht, wenn die Plug-ins nicht genügend abgesichert sind. Allerdings liefern entsprechende Plug-ins häufig interessante Zusatzinformationen, da sie oft nur eine spezielle Applikation oder Schwachstelle überaus gründlich prüfen – ob das das Risiko eines instabilen Netzwerkes wert ist, muss im Einzelfall entschieden werden.

Normale Schwachstellenscans betrachten das Netzwerk von außen, so wie ein Hacker es sehen würde. Credentialed Scanning geht darüber hinaus: Dem Scanner werden dabei Login-Daten mitgegeben, mit denen er sich auf dem Zielsystem einloggt. Dies hat verschiedene Vorteile: Der Scan-Vorgang verursacht so insgesamt weniger Traffic und, da er ja im Netzwerk autorisiert ist, keinen der als Angriff eingestuft wird. Zudem kann ein Credentialed Scan – eben weil er praktisch im Inneren stattfindet – mehr Informationen liefern und auch Clientapplikationen oder Serverdienste hinter Firewalls scannen, die vom Scanner nicht direkt erreichbar sind.

Die richtigen Schlüsse ziehen

Die Auswertung ist wahrscheinlich der schwierigste Teil, wenn der Schwachstellenscan nicht durch einen Dienstleister, sondern durch die eigenen IT-Administratoren durchgeführt wird. Die Informationen sind zahlreich und müssen in kritisch und unkritisch kategorisiert werden. Die Software liefert hier bereits gute Vorarbeit, doch ist es nicht einfach zu unterscheiden, ob nicht ein Zusammenspiel unkritischer Ereignisse zu einem kritischen Event geführt hat. Hier ist es hilfreich zumindest am Anfang einen Experten zu Rate zu ziehen. Der Schwachstellenscan ist nur dann sinnvoll, wenn daraus konkrete Schritte zur Absicherung der IT-Infrastruktur gezogen werden können.

Der wirkliche Nutzen des Schwachstellenscans entfaltet sich, wenn er regelmäßig durchgeführt wird. Die IT-Administratoren erhalten schnell ein Gefühl dafür, welche Systeme durch den Scan in ihrer Arbeit beeinflusst werden und können den nächsten Time-Slot besser planen. Die IT-Experten, die die Daten auswerten, haben bald vergleichbare Informationen, die über die Momentaufnahme eines einmaligen Scans hinausgehen. Und das IT-Management kann verfolgen, ob identifizierte Schwachstellen gepatcht wurden.

Sebastian Brabetz, IT Security Engineer, mod IT Services

Eine Checkliste zur Bewertung der Krisenfestigkeit hilft Kritis-Unternehmen, zu denen auch Energieversorger gehören, dabei, ihre Schwachstellen zu erkennen. 
Foto: TimSiegert-batcam - stock.adobe.com

Risikoanalyse

Krisenfestigkeit: Checkliste für Kritis-Unternehmen

Eine Checkliste zur Bewertung der Krisenfestigkeit hilft Kritis-Unternehmen dabei, ihre Schwachstellen zu erkennen.

Bauliche Schwachstellen am Haus sollten durch einbruchhemmende Bauteile gesichert werden. Eine Schwachstelle, die oft übersehen wird, stellen Kellertüren dar.
Foto: FVSB

Mechanische Sicherheit

Einbruchschutz: Kellertüren richtig sichern

Um sich vor Einbruch zu schützen, ist es wichtig, bauliche Schwachstellen durch einbruchhemmende Bauteile zu sichern. Übersehen werden oft Kellertüren.

Ein raffiniertes Bauteil von Winkhaus für mehrflügelige Terrassen- und Balkontüren macht Einbrechern das Leben schwer.
Foto: Winkhaus

Mechanische Sicherheit

So werden Einbrecher an der Terrassentür ausgetrickst

Balkon- und Terrassentüren sind häufig eine Schwachstelle, die Einbrecher gerne ausnutzen. Ein Bauteil von Winkhaus trickst die Übeltäter erfolgreich aus.

Abus betont, die Gefahren durch klassische Einbruchsmethoden wie dem Aufhebeln von Terrassentüren, seien wesentlich größer, als durch das Ausnutzen der Türschloss-Schwachstelle, was technisch sehr aufwendig sei.
Foto: GDV - Die Deutschen Versicherer

Märkte

Abus relativiert Schwachstelle in funkbasiertem Türschloss

Nachdem das BSI vor einer Schwachstelle in einem funkbasiertem Türschloss von Abus gewarnt hat, beschwichtigt der Hersteller nun. Für Einbrecher sei der Aufwand sehr hoch.