Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Ein zweischneidiges Schwert: Medienberichterstattung als Priorisierungsmetrik für Schwachstellen-Management

Wir wollten wissen, ob die Berichterstattung über Schwachstellen in Massenmedien einen Einfluss darauf hat, wie Unternehmen beim Schwachstellen-Management vorgehen. Also haben wir sie dazu befragt. Die Ergebnisse werden im Anschluss vorgestellt.

In Fachkreisen ist man seit je her an neuen Schwachstellen interessiert. Doch immer häufiger wird auch in den Mainstream-Medien über Schwachstellen berichtet. Sie werden regelmäßig in Wirtschaftspublikationen thematisiert, die von Führungskräften gelesen werden, die sich normalerweise nicht mit den Details des Schwachstellen-Managements befassen.

2018 war für die Berichterstattung über Schwachstellen ein bedeutendes Jahr. Im Januar ging es direkt mit Meltdown und Spectre los und es schien, als rissen die Schlagzeilen gar nicht ab. Angesichts dessen wollten wir wissen, ob und wie sich diese Berichterstattung auf das Schwachstellen-Management in Unternehmen ausgewirkt hat. Daher haben wir die Unternehmen dazu befragt. Im Rahmen von breit angelegten Interviews mit CISOs und Sicherheitsanalysten erkundigten wir uns in jedem Fall danach, welche Erfahrungen sie mit Medienberichterstattung über Schwachstellen gemacht hatten.

Wir fragten beispielsweise, ob sich die Berichterstattung auf ihre Arbeit ausgewirkt hat, und wenn ja, inwiefern.

Die meisten Befragten gaben an, dass ihre normale Tätigkeit in gewissem Umfang durch die Schwachstellenberichterstattung gestört worden war. Die beiden am häufigsten angeführten Beispiele waren die auf spekulativer Befehlsausführung basierenden Schwachstellen, Meltdown und Spectre, sowie Struts2. Der ausführliche Report, Schwachstellen in den Schlagzeilen: Wie Medienberichterstattung die Wahrnehmung von Risiken beinflusst, enthält Details zu Strategien, Taktiken und Herausforderungen, die während der Reaktion auf diese Vorfälle entstanden sind. Unsere wichtigsten Ergebnisse:

  • Schwachstellen, die es in die Schlagzeilen schaffen, sind nicht nur für Sicherheitsteams ein Grund zur Besorgnis. Diese Schwachstellen können unabhängig davon, ob sie tatsächlich aus technischer Sicht kritisch sind, erhebliche Risiken für den Ruf des Unternehmens bedeuten und erfordern daher von Seiten des Unternehmens ein gutes Management der Beziehungen zu Kunden, Partnern, Regulierungsbehörden und anderen wichtigen Stakeholdern.
  • Die mediale Berichterstattung ist keine objektive Messgröße dafür, wie kritisch eine Schwachstelle ist, insbesondere im Kontext eines konkreten Unternehmens. Die Rolle der Medien besteht darin, Sachverhalte zu recherchieren und darüber zu berichten und nicht in der Durchführung einer Risikoanalyse. Medien berichten über Schwachstellen, die interessant sind, aber nicht unbedingt kritisch.
  • Dennoch wirkt sich die mediale Berichterstattung unter Umständen auf die ganzheitliche Bewertung von Risiken aus. Sicherheitsteams sind sich durchaus im Klaren darüber, dass das Medienecho kein idealer Indikator für das technische Risiko ist. Dennoch sie müssen ihr Verfahren zur Risikobewertung mit anderen besprechen. Die Teams müssen zudem akzeptieren, dass sie aufgrund eines allgemeinen Risikos auch dann bisweilen Maßnahmen ergreifen müssen, wenn der Schweregrad der Schwachstelle eigentlich nicht dafür spricht.
  • Zur Funktion eines Sicherheitsteams gehört es, vermeintliche Risiken zu managen und wichtige Stakeholder zu beraten, insbesondere hochrangige Entscheidungsträger. Darüber hinaus kommt ihm die Aufgabe zu, angemessen auf die im jeweiligen Kontext zu berücksichtigenden Schwachstellen zu reagieren – unabhängig vom medialen Hype. CISOs müssen mit Schwachstellendaten im richtigen Kontext gewappnet sein, damit sie den Unternehmensverantwortlichen ein wahrheitsgetreues Bild der Cyber Exposure des Unternehmens vermitteln sowie Ressourcen angemessen aufwenden können, um die Risiken zu reduzieren.

Es gibt jedoch noch einen anderen Aspekt, der im Report nicht berücksichtigt wird, aber erwähnenswert ist: Es ist nicht nur die Berichterstattung in der Wirtschaftspresse, die das Schwachstellen-Management beeinflussen kann. Sicherheitsteams verfolgen Meldungen über Schwachstellen auf einem wesentlich breiteren Spektrum von Kanälen als ihre Geschäftsführung. Zwar nutzen sie diese mediale Berichterstattung nicht als einzige Quelle für Schwachstelleninformationen, doch sie kann (in Kombination mit anderen Faktoren) als Metrik für die Priorisierung herangezogen werden. Sehen wir uns diesen Aspekt der Medienlandschaft in Bezug auf Schwachstellen einmal genauer an.

Die Medienlandschaft in Bezug auf Schwachstellen

Im Bericht über Schwachstellen in den Schlagzeilen geht es zwar in erster Linie darum, wie Unternehmen auf Vorfälle mit einem großen Medienecho reagieren, also auf Ereignisse, über die in der New York Times oder im Fernsehen berichtet wird. Doch die Schwachstellen-Medienlandschaft deckt wesentlich mehr ab als nur diese Ereignisse. Der Erfolgsdruck ist natürlich dann am höchsten, wenn die Geschäftsleitung oder der Vorstand über eine Schwachstelle informiert ist. Doch Sicherheitsteams nutzen die Berichterstattung in den Medien oftmals als Metrik für den Schweregrad. Wenn in den Medien über eine Schwachstelle berichtet wird, steigt in der Regel ihre Priorität. Das gilt insbesondere, wenn tatsächliche Angriffe festgestellt werden. Ein Beispiel: Atlassian veröffentlichte am 20. März ein Advisory für Schwachstellen bei Confluence Server, einschließlich eines Fix für CVE-2019-3396. Doch erst als der Proof-of-Concept-Code (PoC) und die Ausnutzung dieser Schwachstelle öffentlich bekannt wurden, griffen die Medien den Vorfall auf. Mediale Berichterstattung katapultiert eine Schwachstelle zwar nicht unbedingt auf der Liste nach ganz oben, kann jedoch als zusätzlicher Faktor zur Priorisierung herangezogen werden.

Das Security Response Team (SRT) von Tenable verfolgt die Berichterstattung über Schwachstellen in den Nachrichten (und anderen Quellen) und konnte feststellen, dass seit Anfang 2019 über nahezu jede nennenswerte Schwachstelle in den Medien berichtet wurde. Für die Sicherheitsteams entsteht dadurch eine Menge Unruhe. Als Metrik ist Medienberichterstattung immer weniger nützlich, da sich die Medienlandschaft verändert.

In Zusammenhang mit den Veränderungen in der Medienlandschaft erklärte Ryan Seguin, Research Engineer im SRT: „Ich glaube, in den letzten fünf Jahren kamen in der Branche eine Reihe von Faktoren zusammen. Der erste große Einfluss auf die Schwachstellen-Berichterstattung war der Heartbleed-Bug 2014. An zweiter Stelle ist zu nennen, dass Twitter sich zur Standardkommunikationsmethode für Forscher entwickelt. Sicherlich war Heartbleed nicht die erste Schwachstelle mit einem einprägsamen Namen, doch nach meinem Eindruck löste die Veröffentlichung einen regelrechten Goldrausch in der Schwachstellenforschung aus. Seit 2014 haben Forscher zunehmend den Drang, derjenige zu sein, der als Nächstes die perfekte Schwachstelle entdeckt, die einer intensiven Berichterstattung und einer spektakulären Webseite würdig ist. Es geht nicht nur darum, den eigenen Namen bekannt zu machen und die eigene Glaubwürdigkeit zu stärken. Belohnungsprogramme für gefundene Bugs werden auch immer lukrativer und sind besser organisiert.“ Das derzeit häufige, Aufsehen erregende Auftauchen von Schwachstellen in den Medien ist auch dadurch bedingt, dass Forscher mittlerweile mit ihren Veröffentlichungen um Aufmerksamkeit buhlen.

Die im Report vorgestellten Schwachstellen und Strategien stehen im Einklang mit dem Thema „Interesse der Führungsetage“, das sich in den letzten Jahren im Bereich Cybersecurity anhaltender Beliebtheit erfreut hat: Wie schaffen Sicherheitsteams es, auf die gesteigerte Aufmerksamkeit seitens Geschäftsleitung und Vorstand nicht nur zu reagieren, sondern auch davon zu profitieren? Besonders im Jahr 2018 galt diese Aufmerksamkeit dem Schwachstellen-Management. Ganz gleich, ob der Auslöser dafür eine eine Meldung in der Wirtschaftspresse oder eine technischen Publikation wie Bleeping Computer ist, müssen Sicherheitsteams die durch Schwachstellen verursachten Risiken klar zur Sprache bringen können, und zwar so, dass die Verantwortlichen die besten Entscheidungen treffen können.

Ansehen: Expertenpanel diskutiert Report zu Schwachstellen in den Schlagzeilen auf der Edge 2019

Update, 4. Juni 2019: Wir erörterten die Ergebnisse des Reports im Rahmen einer Podiumsdiskussion auf der Tenable Edge 2019 User-Konferenz am 21. bis 23. Mai in Atlanta. Die Diskussion wurde moderiert von Paul Roberts, Publisher and Editor in Chief von The Security Ledger, und neben meiner Person nahmen diese Gäste teil: Kevin Kerr, CISO, Oak Ridge National Laboratory; Greg Kyrytschenko, Head of Security Services, Guardian; sowie Ramin Lamei, Senior Director, Information Security Officer, Global Payments. Sehen Sie sich unten die vollständige Sitzung an:

Mehr erfahren:

Verwandte Artikel

Sind Sie durch die neuesten Exploits gefährdet?

Geben Sie Ihre E-Mail-Adresse ein, um die neuesten Warnmeldungen zu Cyberrisiken in Ihrem Posteingang zu erhalten.

tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Testen Sie Nessus Professional kostenlos

7 TAGE KOSTENLOS

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Nessus Professional kaufen

Nessus® ist der umfassendste Schwachstellen-Scanner auf dem Markt. Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Tenable.io

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Tenable.io KAUFEN

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

65 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable.io Web Application Scanning testen

Profitieren Sie vom vollen Zugriff auf unser neuestes Angebot zum Scannen von Web-Applikationen, das als Teil der Tenable.io-Plattform für moderne Applikationen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Applikationen. Melden Sie sich jetzt an.

Tenable.io Web Application Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellen-Management-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable.io Container Security testen

Profitieren Sie von vollem Zugriff auf die einzige Lösung für Containersicherheit, die in eine Schwachstellen-Management-Plattform integriert ist. Überwachen Sie Container-Images auf Schwachstellen, Malware und Richtlinienverstöße. Kann in Systeme für kontinuierliche Integration und Bereitstellung (CI/CD) eingebunden werden, um DevOps-Praktiken zu unterstützen, die Sicherheit zu stärken und die Einhaltung von Unternehmensrichtlinien zu fördern.

Tenable.io Container Security kaufen

Tenable.io Container Security ermöglicht eine nahtlose und sichere Umsetzung von DevOps-Prozessen, indem es die Sicherheit von Container-Images – einschließlich Schwachstellen, Malware und Richtlinienverletzungen – durch Integration in den Build-Prozess transparent macht.

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihre Cyber Exposure visualisieren und genauer untersuchen, die allmähliche Reduzierung von Risiken nachverfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Lumin Sie dabei unterstützen kann, Einblick in Ihr gesamtes Unternehmen zu erhalten und Cyberrisiken zu managen.

Tenable.cs testen

Profitieren Sie von vollem Zugriff, um Fehlkonfigurationen in Cloud-Infrastruktur zu erkennen und zu beheben und Schwachstellen in der Laufzeitumgebung anzuzeigen. Melden Sie sich jetzt für Ihre kostenlose Testversion an.

Kontaktieren Sie einen Vertriebsmitarbeiter, um Tenable.cs zu kaufen

Kontaktieren Sie einen unserer Vertriebsmitarbeiter, um mehr über Tenable.cs Cloud Security zu erfahren und herauszufinden, wie einfach es ist, Ihre Cloud-Konten einzurichten und innerhalb von Minuten Einblick in Cloud-Fehlkonfigurationen und Schwachstellen zu erhalten.

Nessus Expert kostenlos testen

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie nutzen bereits Nessus Professional?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support hinzufügen