Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable Blog

Abonnieren

Ein zweischneidiges Schwert: Medienberichterstattung als Priorisierungsmetrik für Schwachstellen-Management

Wir wollten wissen, ob die Berichterstattung über Schwachstellen in Massenmedien einen Einfluss darauf hat, wie Unternehmen beim Schwachstellen-Management vorgehen. Also haben wir sie dazu befragt. Die Ergebnisse werden im Anschluss vorgestellt.

In Fachkreisen ist man seit je her an neuen Schwachstellen interessiert. Doch immer häufiger wird auch in den Mainstream-Medien über Schwachstellen berichtet. Sie werden regelmäßig in Wirtschaftspublikationen thematisiert, die von Führungskräften gelesen werden, die sich normalerweise nicht mit den Details des Schwachstellen-Managements befassen.

2018 war für die Berichterstattung über Schwachstellen ein bedeutendes Jahr. Im Januar ging es direkt mit Meltdown und Spectre los und es schien, als rissen die Schlagzeilen gar nicht ab. Angesichts dessen wollten wir wissen, ob und wie sich diese Berichterstattung auf das Schwachstellen-Management in Unternehmen ausgewirkt hat. Daher haben wir die Unternehmen dazu befragt. Im Rahmen von breit angelegten Interviews mit CISOs und Sicherheitsanalysten erkundigten wir uns in jedem Fall danach, welche Erfahrungen sie mit Medienberichterstattung über Schwachstellen gemacht hatten.

Wir fragten beispielsweise, ob sich die Berichterstattung auf ihre Arbeit ausgewirkt hat, und wenn ja, inwiefern.

Die meisten Befragten gaben an, dass ihre normale Tätigkeit in gewissem Umfang durch die Schwachstellenberichterstattung gestört worden war. Die beiden am häufigsten angeführten Beispiele waren die auf spekulativer Befehlsausführung basierenden Schwachstellen, Meltdown und Spectre, sowie Struts2. Der ausführliche Report, Schwachstellen in den Schlagzeilen: Wie Medienberichterstattung die Wahrnehmung von Risiken beinflusst, enthält Details zu Strategien, Taktiken und Herausforderungen, die während der Reaktion auf diese Vorfälle entstanden sind. Unsere wichtigsten Ergebnisse:

  • Schwachstellen, die es in die Schlagzeilen schaffen, sind nicht nur für Sicherheitsteams ein Grund zur Besorgnis. Diese Schwachstellen können unabhängig davon, ob sie tatsächlich aus technischer Sicht kritisch sind, erhebliche Risiken für den Ruf des Unternehmens bedeuten und erfordern daher von Seiten des Unternehmens ein gutes Management der Beziehungen zu Kunden, Partnern, Regulierungsbehörden und anderen wichtigen Stakeholdern.
  • Die mediale Berichterstattung ist keine objektive Messgröße dafür, wie kritisch eine Schwachstelle ist, insbesondere im Kontext eines konkreten Unternehmens. Die Rolle der Medien besteht darin, Sachverhalte zu recherchieren und darüber zu berichten und nicht in der Durchführung einer Risikoanalyse. Medien berichten über Schwachstellen, die interessant sind, aber nicht unbedingt kritisch.
  • Dennoch wirkt sich die mediale Berichterstattung unter Umständen auf die ganzheitliche Bewertung von Risiken aus. Sicherheitsteams sind sich durchaus im Klaren darüber, dass das Medienecho kein idealer Indikator für das technische Risiko ist. Dennoch sie müssen ihr Verfahren zur Risikobewertung mit anderen besprechen. Die Teams müssen zudem akzeptieren, dass sie aufgrund eines allgemeinen Risikos auch dann bisweilen Maßnahmen ergreifen müssen, wenn der Schweregrad der Schwachstelle eigentlich nicht dafür spricht.
  • Zur Funktion eines Sicherheitsteams gehört es, vermeintliche Risiken zu managen und wichtige Stakeholder zu beraten, insbesondere hochrangige Entscheidungsträger. Darüber hinaus kommt ihm die Aufgabe zu, angemessen auf die im jeweiligen Kontext zu berücksichtigenden Schwachstellen zu reagieren – unabhängig vom medialen Hype. CISOs müssen mit Schwachstellendaten im richtigen Kontext gewappnet sein, damit sie den Unternehmensverantwortlichen ein wahrheitsgetreues Bild der Cyber Exposure des Unternehmens vermitteln sowie Ressourcen angemessen aufwenden können, um die Risiken zu reduzieren.

Es gibt jedoch noch einen anderen Aspekt, der im Report nicht berücksichtigt wird, aber erwähnenswert ist: Es ist nicht nur die Berichterstattung in der Wirtschaftspresse, die das Schwachstellen-Management beeinflussen kann. Sicherheitsteams verfolgen Meldungen über Schwachstellen auf einem wesentlich breiteren Spektrum von Kanälen als ihre Geschäftsführung. Zwar nutzen sie diese mediale Berichterstattung nicht als einzige Quelle für Schwachstelleninformationen, doch sie kann (in Kombination mit anderen Faktoren) als Metrik für die Priorisierung herangezogen werden. Sehen wir uns diesen Aspekt der Medienlandschaft in Bezug auf Schwachstellen einmal genauer an.

Die Medienlandschaft in Bezug auf Schwachstellen

Im Bericht über Schwachstellen in den Schlagzeilen geht es zwar in erster Linie darum, wie Unternehmen auf Vorfälle mit einem großen Medienecho reagieren, also auf Ereignisse, über die in der New York Times oder im Fernsehen berichtet wird. Doch die Schwachstellen-Medienlandschaft deckt wesentlich mehr ab als nur diese Ereignisse. Der Erfolgsdruck ist natürlich dann am höchsten, wenn die Geschäftsleitung oder der Vorstand über eine Schwachstelle informiert ist. Doch Sicherheitsteams nutzen die Berichterstattung in den Medien oftmals als Metrik für den Schweregrad. Wenn in den Medien über eine Schwachstelle berichtet wird, steigt in der Regel ihre Priorität. Das gilt insbesondere, wenn tatsächliche Angriffe festgestellt werden. Ein Beispiel: Atlassian veröffentlichte am 20. März ein Advisory für Schwachstellen bei Confluence Server, einschließlich eines Fix für CVE-2019-3396. Doch erst als der Proof-of-Concept-Code (PoC) und die Ausnutzung dieser Schwachstelle öffentlich bekannt wurden, griffen die Medien den Vorfall auf. Mediale Berichterstattung katapultiert eine Schwachstelle zwar nicht unbedingt auf der Liste nach ganz oben, kann jedoch als zusätzlicher Faktor zur Priorisierung herangezogen werden.

Das Security Response Team (SRT) von Tenable verfolgt die Berichterstattung über Schwachstellen in den Nachrichten (und anderen Quellen) und konnte feststellen, dass seit Anfang 2019 über nahezu jede nennenswerte Schwachstelle in den Medien berichtet wurde. Für die Sicherheitsteams entsteht dadurch eine Menge Unruhe. Als Metrik ist Medienberichterstattung immer weniger nützlich, da sich die Medienlandschaft verändert.

In Zusammenhang mit den Veränderungen in der Medienlandschaft erklärte Ryan Seguin, Research Engineer im SRT: „Ich glaube, in den letzten fünf Jahren kamen in der Branche eine Reihe von Faktoren zusammen. Der erste große Einfluss auf die Schwachstellen-Berichterstattung war der Heartbleed-Bug 2014. An zweiter Stelle ist zu nennen, dass Twitter sich zur Standardkommunikationsmethode für Forscher entwickelt. Sicherlich war Heartbleed nicht die erste Schwachstelle mit einem einprägsamen Namen, doch nach meinem Eindruck löste die Veröffentlichung einen regelrechten Goldrausch in der Schwachstellenforschung aus. Seit 2014 haben Forscher zunehmend den Drang, derjenige zu sein, der als Nächstes die perfekte Schwachstelle entdeckt, die einer intensiven Berichterstattung und einer spektakulären Webseite würdig ist. Es geht nicht nur darum, den eigenen Namen bekannt zu machen und die eigene Glaubwürdigkeit zu stärken. Belohnungsprogramme für gefundene Bugs werden auch immer lukrativer und sind besser organisiert.“ Das derzeit häufige, Aufsehen erregende Auftauchen von Schwachstellen in den Medien ist auch dadurch bedingt, dass Forscher mittlerweile mit ihren Veröffentlichungen um Aufmerksamkeit buhlen.

Die im Report vorgestellten Schwachstellen und Strategien stehen im Einklang mit dem Thema „Interesse der Führungsetage“, das sich in den letzten Jahren im Bereich Cybersecurity anhaltender Beliebtheit erfreut hat: Wie schaffen Sicherheitsteams es, auf die gesteigerte Aufmerksamkeit seitens Geschäftsleitung und Vorstand nicht nur zu reagieren, sondern auch davon zu profitieren? Besonders im Jahr 2018 galt diese Aufmerksamkeit dem Schwachstellen-Management. Ganz gleich, ob der Auslöser dafür eine eine Meldung in der Wirtschaftspresse oder eine technischen Publikation wie Bleeping Computer ist, müssen Sicherheitsteams die durch Schwachstellen verursachten Risiken klar zur Sprache bringen können, und zwar so, dass die Verantwortlichen die besten Entscheidungen treffen können.

Ansehen: Expertenpanel diskutiert Report zu Schwachstellen in den Schlagzeilen auf der Edge 2019

Update, 4. Juni 2019: Wir erörterten die Ergebnisse des Reports im Rahmen einer Podiumsdiskussion auf der Tenable Edge 2019 User-Konferenz am 21. bis 23. Mai in Atlanta. Die Diskussion wurde moderiert von Paul Roberts, Publisher and Editor in Chief von The Security Ledger, und neben meiner Person nahmen diese Gäste teil: Kevin Kerr, CISO, Oak Ridge National Laboratory; Greg Kyrytschenko, Head of Security Services, Guardian; sowie Ramin Lamei, Senior Director, Information Security Officer, Global Payments. Sehen Sie sich unten die vollständige Sitzung an:

Mehr erfahren:

Verwandte Artikel

Aktuelles zum Thema Cybersecurity

Geben Sie Ihre E-Mail-Adresse ein, um zeitnahe Warnungen und Sicherheitsempfehlungen von den Experten bei Tenable zu erhalten.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können.

Ihre Testversion von Tenable Vulnerability Management umfasst außerdem Tenable Lumin und Tenable Web App Scanning.

Tenable Vulnerability Management

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

100 Assets

Wählen Sie Ihre Subscription-Option:

Jetzt kaufen

Tenable Web App Scanning testen

Profitieren Sie im Rahmen der Exposure-Management-Plattform Tenable One von unserem neuesten Angebot zum Scannen von Webanwendungen, das speziell für moderne Anwendungen entwickelt wurde. Scannen Sie auf sichere Weise Ihr gesamtes Online-Portfolio auf Schwachstellen – mit hoher Genauigkeit und ohne großen manuellen Aufwand oder Unterbrechung kritischer Web-Apps. Melden Sie sich jetzt an.

Ihre Testversion von Tenable Web App Scanning umfasst außerdem Tenable Vulnerability Management und Tenable Lumin.

Tenable Web App Scanning kaufen

Wir bieten Ihnen vollen Zugriff auf eine moderne, cloudbasierte Schwachstellenmanagement-Plattform, mit der Sie alle Ihre Assets mit beispielloser Genauigkeit sehen und nachverfolgen können. Erwerben Sie noch heute Ihre jährliche Subscription.

5 FQDN

3.578,00 USD

Jetzt kaufen

Tenable Lumin testen

Mit Tenable Lumin können Sie Ihr Exposure-Management visualisieren und genauer untersuchen, die Risikoreduzierung im Zeitverlauf verfolgen und Benchmark-Vergleiche mit ähnlichen Unternehmen anstellen.

Ihre Testversion von Tenable Lumin umfasst außerdem Tenable Vulnerability Management und Tenable Web App Scanning.

Tenable Lumin kaufen

Kontaktieren Sie einen Vertriebsmitarbeiter, um zu erfahren, wie Tenable Lumin Sie dabei unterstützen kann, unternehmensweit Einblick zu gewinnen und Cyberrisiken zu managen.

Testen Sie Tenable Nessus Professional kostenlos

7 TAGE KOSTENLOS

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt.

NEU - Tenable Nessus Expert
Jetzt verfügbar

Nessus Expert bietet noch mehr Funktionen, darunter das Scannen externer Angriffsoberflächen sowie die Möglichkeit, Domänen hinzuzufügen und die Cloud-Infrastruktur zu scannen. Klicken Sie hier, um Nessus Expert zu testen.

Füllen Sie das Formular unten aus, um mit einer Nessus Pro-Testversion fortzufahren.

Tenable Nessus Professional kaufen

Tenable Nessus ist derzeit der umfassendste Schwachstellen-Scanner auf dem Markt. Tenable Nessus Professional unterstützt Sie bei der Automatisierung des Scan-Prozesses, spart Zeit in Ihren Compliance-Zyklen und ermöglicht Ihnen die Einbindung Ihres IT-Teams.

Mehrjahreslizenz kaufen und sparen! Mit Advanced Support erhalten Sie rund um die Uhr, 365 Tage im Jahr Zugang zum Support – per Telefon, Chat und über die Community.

Lizenz auswählen

Mehrjahreslizenz kaufen und sparen!

Support und Training hinzufügen

Testen Sie Tenable Nessus Expert kostenlos

7 TAGE KOSTENLOS

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Sie haben Tenable Nessus Professional bereits?
Upgraden Sie auf Nessus Expert – 7 Tage kostenlos.

Tenable Nessus Expert kaufen

Mit Nessus Expert, das für die moderne Angriffsoberfläche entwickelt wurde, erhalten Sie mehr Einblick und können Ihr Unternehmen vor Schwachstellen schützen – von der IT bis zur Cloud.

Lizenz auswählen

Mehrjahreslizenz kaufen und noch mehr sparen!

Support und Training hinzufügen