Mehr Pflicht als Kür

Auch das beste Patchmanagement lässt Sicherheitslücken zurück. Manche Teile der IT-Infrastruktur entziehen sich beispielsweise der vollen Kontrolle der Administratoren, weil sie bei einem Dienstleister gehostet und von diesem gemanagt werden. Oder die Software-Hersteller lassen sich zu viel Zeit, um Updates auszuliefern. Hin und wieder sind die Patches auch fehlerhaft und flicken die vorhandenen Löcher nur unzureichend. Und dann wären da noch die hochsensiblen, geschäftskritischen Systeme im Unternehmen, bei denen jeder Admin zweimal überlegt, bevor er irgendetwas ändert – und sei es nur die Version einer installierten Software.

Schwachstellenscans spüren diese vom Patchmanagement zurückgelassenen Lücken zuverlässig auf. Dennoch nutzen viele IT-Abteilungen diese nur unregelmäßig oder wenn die Governance-Vorgaben es zu bestimmten Audit-Terminen vorschreiben. Viele Unternehmen beauftragen Dienstleister mit dem Scannen der Infrastruktur – ein sinnvoller Weg, wenn das Know-how oder die Ressourcen im eigenen Hause fehlen. Sicher taucht dabei immer wieder die Frage auf, ob man das nicht selbst machen könnte.

Auch wenn bereits ein Tool für den Scan ausgewählt worden ist, sind einige Vorbereitungen zu treffen. Mit dem Blick auf die gesamte Infrastruktur muss zunächst geklärt werden, wer seitens der IT-Abteilung mit einzubeziehen ist und wie sich die Infrastruktur verteilt. Letzteres ist deshalb wichtig, weil es bei extern gehosteten Systemen notwendig sein kann, eine Einverständniserklärung des Dienstleisters einzuholen. Informieren sollte man die Systemeigentümer in jedem Fall, um Missverständnisse zu vermeiden. Kompliziert wird es, wenn Applikationen auf Shared-Plattformen wie etwa bei Public Cloud Services laufen. In diesem Fall ist es nicht ohne weiteres möglich, die Systeme zu scannen. Zum einen managen Provider ihre Systeme selbst – einer der dedizierten Vorteile des Cloud Computing – und lassen sich deshalb ungern hineinreden. Zum anderen liegen unter Umständen Daten und Applikationen anderer Kunden des Providers auf derselben Plattform. Das macht einen Scan datenschutzrechtlich schwierig.

Genauso wichtig ist es, die operativen Administratoren und das für das Monitoring zuständige Team von Beginn an einzubeziehen. Denn ein Schwachstellenscan sieht für die verschiedenen Security- und Monitoring-Systeme unter Umständen wie ein Angriff aus. Die Verantwortlichen für die Firewall, das Intrusion Prevention System (IPS), das Instrusion Detection System (IDS) oder das Security Information and Event Management (Siem) sollten unbedingt vorher informiert werden. Denn spätestens wenn der Scan zahlreiche Logs und False Positives (Fehlalarme) produziert, sind die Administratoren im Stress. Vorherige Absprachen und entsprechend zusammengestellte Projektteams vermeiden solche Missverständnisse.

Innerhalb eines Team von verantwortlichen Administratoren lässt sich auch der Termin für den Schwachstellenscan besser bestimmen. Denn das ist keineswegs trivial: Zum einen kann der Scan wie beschrieben die Systeme beeinträchtigen oder aber eine schmalbandige LAN/WAN-Verbindung recht gut auslasten, so dass eher ein Termin außerhalb der Hauptgeschäftszeiten in Frage kommt. Zum anderen lassen sich eben genau während der Kern-Arbeitszeiten die meisten Client-Systeme über das Netzwerk erreichen. So ist es sinnvoll, Clients und unkritische Server tagsüber zu scannen und die Arbeit an den hochkritischen Systemen außerhalb der Geschäftszeiten oder an einem definierten Wartungstag durchzuführen. Mit der Zeit bekommen die Verantwortlichen ein Gefühl dafür, welchen Einfluss der Scanner auf die verschiedenen Systeme hat und kann das Timing nochmals überdenken.

Die meisten Scanner wie zum Beispiel der Nessus Vulnerability Scanner von Tenable liefern bereits in der vom Hersteller ausgelieferten Grundkonfiguration brauchbare Ergebnisse. Fehlen dem Tool jedoch individuelle Parameter der Umgebung, besteht die Gefahr, dass wichtige Schwachstellen übersehen werden. Vor dem ersten Einsatz sollte der Schwachstellenscanner deshalb einmal durchkonfiguriert und den individuellen Ausprägungen der IT-Landschaft angepasst werden. Manche Software-Hersteller lassen Peripheriegeräte wie zum Beispiel Drucker per Werkseinstellung nicht mitscannen, da diese häufig instabil auf einen Schwachstellenscan reagieren. Doch dass gerade Drucker vom Scan nicht ausgenommen werden dürfen, ist von großer Bedeutung, verarbeiten diese schließlich oft sensible Daten.

Die meisten Scanner bieten Zugang zu nützlichen Plug-ins, die sich aktivieren lassen. Doch hier ist Expertenwissen gefragt, die Option „nur sichere Scanner-Plug-ins verwenden“ ist aus gutem Grund meistens voreingestellt. Denn bereits das Aufspüren einer Sicherheitslücke kann zu einem „Denial-of-Service“-artigem Szenario führen – erst recht, wenn die Plug-ins nicht genügend abgesichert sind. Allerdings liefern entsprechende Plug-ins häufig interessante Zusatzinformationen, da sie oft nur eine spezielle Applikation oder Schwachstelle überaus gründlich prüfen – ob das das Risiko eines instabilen Netzwerkes wert ist, muss im Einzelfall entschieden werden.

Normale Schwachstellenscans betrachten das Netzwerk von außen, so wie ein Hacker es sehen würde. Credentialed Scanning geht darüber hinaus: Dem Scanner werden dabei Login-Daten mitgegeben, mit denen er sich auf dem Zielsystem einloggt. Dies hat verschiedene Vorteile: Der Scan-Vorgang verursacht so insgesamt weniger Traffic und, da er ja im Netzwerk autorisiert ist, keinen der als Angriff eingestuft wird. Zudem kann ein Credentialed Scan – eben weil er praktisch im Inneren stattfindet – mehr Informationen liefern und auch Clientapplikationen oder Serverdienste hinter Firewalls scannen, die vom Scanner nicht direkt erreichbar sind.

Die Auswertung ist wahrscheinlich der schwierigste Teil, wenn der Schwachstellenscan nicht durch einen Dienstleister, sondern durch die eigenen IT-Administratoren durchgeführt wird. Die Informationen sind zahlreich und müssen in kritisch und unkritisch kategorisiert werden. Die Software liefert hier bereits gute Vorarbeit, doch ist es nicht einfach zu unterscheiden, ob nicht ein Zusammenspiel unkritischer Ereignisse zu einem kritischen Event geführt hat. Hier ist es hilfreich zumindest am Anfang einen Experten zu Rate zu ziehen. Der Schwachstellenscan ist nur dann sinnvoll, wenn daraus konkrete Schritte zur Absicherung der IT-Infrastruktur gezogen werden können.

Der wirkliche Nutzen des Schwachstellenscans entfaltet sich, wenn er regelmäßig durchgeführt wird. Die IT-Administratoren erhalten schnell ein Gefühl dafür, welche Systeme durch den Scan in ihrer Arbeit beeinflusst werden und können den nächsten Time-Slot besser planen. Die IT-Experten, die die Daten auswerten, haben bald vergleichbare Informationen, die über die Momentaufnahme eines einmaligen Scans hinausgehen. Und das IT-Management kann verfolgen, ob identifizierte Schwachstellen gepatcht wurden.