Grundprinzipien der Schwachstellenbewertung

1. Schwachstellenbewertung im Überblick

---

Was ist Schwachstellenbewertung?

Eine Schwachstellenbewertung (Vulnerability Assessment, VA) ist eine Methode zur Aufdeckung, Analyse und Behebung von Schwachstellen in der Angriffsoberfläche eines Unternehmens, um die Wahrscheinlichkeit zu verringern, dass Cyberkriminelle diese Schwachstellen ausnutzen, um das Netzwerk anzugreifen und sich nicht autorisierten Zugriff auf Systeme und Geräte zu verschaffen.

Angesichts der immer größer werdenden Angriffsoberfläche stellt der Schutz Ihres Unternehmens vor Cyberrisiken eine Herausforderung dar. Ein Programm zur Schwachstellenbewertung kann die Risiken für Ihr Unternehmen dadurch senken, dass blinde Flecken in der Angriffsoberfläche eliminiert, alle Assets erfasst und analysiert und Sie bei der Planung von Maßnahmen zur Behebung der Schwachstellen und Sicherheitsmängel unterstützt werden, die das größte Risiko für Ihr Unternehmen darstellen.

Was ist der Unterschied zwischen Schwachstellenbewertung und Schwachstellen-Management?

Schwachstellenbewertung und Schwachstellen-Management sind verschiedene Konzepte, die jedoch einander ergänzen.

Eine Schwachstellenbewertung ist ein einmaliges Projekt, das Sie regelmäßig durchführen, um alle Ihre Assets und Schwachstellen zu identifizieren. In der Regel gibt es bei einer Schwachstellenbewertung, die nicht dasselbe ist wie ein Schwachstellen-Scan, ein festgelegtes Start- und Enddatum. Es handelt sich um eine Momentaufnahme Ihrer Angriffsoberfläche zu einem bestimmten Zeitpunkt.

Schwachstellen-Management hingegen ist ein fortlaufendes Programm, bei dem eine Vielzahl von Tools und Prozessen eingesetzt wird, um sämtliche Assets und Schwachstellen im gesamten Unternehmen zu identifizieren. Außerdem hilft es Ihnen zu planen, wie Sie Probleme entschärfen, Schwachstellen beheben und Ihre Sicherheitslage insgesamt verbessern können.

Schwachstellenbewertungen sind Teil Ihres allgemeinen Schwachstellenmanagement-Programms und unterstützen Sie bei der kontinuierlichen Identifizierung und Behebung Ihrer Cyberrisiken.

2. Assets, Schwachstellen und Ihre Angriffsoberfläche

---

Was ist eine Schwachstelle?

Eine Schwachstelle ist eine Schwäche oder Lücke in Hardware oder Software, die von Angreifern ausgenutzt werden kann, um Systeme zu kompromittieren und Zugriff auf Daten und Informationen zu erlangen. Im Grunde handelt es sich bei Schwachstellen um sogenannte „Bugs“ oder Programmierfehler.

Schwachstellen werden im Allgemeinen durch Korrektur von Problemen im Code behoben oder beseitigt. Dieser Vorgang wird als Patching oder als Behebung von Fehlkonfigurationen bezeichnet und dient der Verbesserung der Betriebssicherheit.

Je komplexer ein System ist, auf desto mehr Codezeilen basiert es in der Regel. Das bedeutet wiederum, dass auch die Wahrscheinlichkeit von Programmierfehlern im betreffenden Code steigt. Aus diesem Grund erhalten Sie beispielsweise bei Betriebssystemen häufig Benachrichtigungen, dass Sie Updates installieren müssen, um Probleme zu beheben.

Schwachstellen können auch durch falsch konfigurierte Systeme entstehen, wodurch sich Angreifern zusätzliche Möglichkeiten bieten, in Ihr Netzwerk einzudringen.

Hier einige gängige Methoden, mit denen Angreifer Schwachstellen und Schwächen ins Visier nehmen und Unternehmen angreifen:

• Ausnutzung von Fehlkonfigurationen und nicht gepatchten Systemen
• Phishing: Hierbei werden gefälschte E-Mails versendet, die aussehen, als stammten sie von authentischen Absendern, um Personen zur Preisgabe von sensiblen Informationen wie Benutzernamen, Passwörtern und Zahlungsdaten zu verleiten.
• Credential Stealing: Da Personen häufig dieselben Benutzernamen und Passwörter für mehrere Websites verwenden, können Cyberkriminelle Benutzernamen und Passwörter aus einem Übergriff sammeln und dann für den Zugriff auf andere Websites nutzen.
• Malware: Diese Art von bösartiger Software gewährt Angreifern Zugang zu Systemen.
• Denial of Service (DoS) und Distributed Denial of Service (DDoS): Diese Flooding-Angriffe lasten die Bandbreite komplett aus, sodass Systeme nicht mehr auf legitime Dienstanforderungen reagieren können.
• Cross-Site-Scripting (XSS): Bei dieser Angriffsmethode wird Schadcode in Websites eingebunden, der auf Besucher abzielt.
• Man-in-the-Middle-Angriffe (MitM): Bei dieser Art von Angriffen werden Benutzer über unsichere Netzwerke wie öffentliche WLAN-Netze kompromittiert.
• SQL-Injektion (Structured Query Language): Bei dieser Art von Angriff wird auf einem Server Schadcode eingeschleust und dann mithilfe von SQL auf vertrauliche Informationen zugegriffen, die ansonsten nicht zugänglich wären.
• Zero-Day-Exploits: Bei dieser Art von Angriff wird eine Schwachstelle in einem System nach Bekanntwerden einer Bedrohung, aber vor Veröffentlichung eines Patches oder anderen Fixes ausgenutzt.

Die wichtigsten Schwachstellentypen

Das Open Web Application Security Project (OWASP) führt eine Liste der wichtigsten Schwachstellen, die zuletzt 2021 aktualisiert wurde. In der OWASP-Liste werden die Top 10 der kritischsten Sicherheitsrisiken für Webanwendungen genauer betrachtet. Die Liste enthält u. a. folgende Risiken:

1. A01:2021: Defekte Zugriffskontrolle
2. A02:2021: Kryptografische Fehler
3. A03:2021: Einschleusung
4. A04:2021: Unsicheres Design
5. A05:2021: Sicherheitsbezogene Fehlkonfiguration
6. A06:2021: Anfällige und veraltete Komponenten
7. A07:2021: Fehler bei Identifizierung und Authentifizierung
8. A08:2021: Fehler bei Software und Datenintegrität
9. A09:2021: Fehler bei Sicherheitsprotokollierung und -überwachung
10. A10:2021: Serverseitige Fälschung von Anfragen (Server-Side Request Forgery, SSRF)

Wie sieht die Angriffsoberfläche meines Unternehmens aus?

Heute beinhaltet die Angriffsoberfläche nicht mehr nur herkömmliche IT-Assets wie Server, Desktop-Computer und Netzwerke. Die moderne Angriffsoberfläche umfasst inzwischen auch dynamische Geräte wie Laptops, Smartphones und Tablets, die zeitweise mit dem Netzwerk verbunden sein können, sowie IoT-Geräte (Internet of Things), Betriebstechnologie (Operative Technology, OT), Container und Cloud-Umgebungen.

Angreifern ist bewusst, dass die meisten Unternehmen Schwierigkeiten haben, all ihre Assets im Blick zu behalten. Dann kommen noch die Herausforderungen dazu, die mit der Eindämmung und Behebung der unzähligen Schwachstellen verbunden sind, die von den meisten Programmen zur Schwachstellenbewertung aufgedeckt werden, und schon fühlt es sich an, als würden Angreifer immer die Oberhand behalten. Deshalb ist es wichtig, ein robustes, flexibles und skalierbares Programm zur Schwachstellenbewertung aufzubauen, das all Ihre Assets und Schwachstellen kontinuierlich erfasst und bewertet, um Ihr Cyberrisiko insgesamt zu reduzieren.

Wenn Sie sich ein Bild Ihrer Angriffsoberfläche machen, sollten Sie unbedingt die folgenden wichtigen Schritte berücksichtigen:

1. Identifizieren Sie alle Assets Ihres Unternehmens, ungeachtet des jeweiligen Typs. Eine Lösung zur Schwachstellenbewertung von Tenable bietet Ihnen umfassenden Einblick in die Angriffsoberfläche Ihres Unternehmens.
2. Ermitteln Sie, wo sich die einzelnen Assets befinden.
3. Ermitteln Sie, wer für die Verwaltung der jeweiligen Assets verantwortlich ist und wer darauf zugreifen kann.
4. Geben Sie den Asset-Typ an: Cloud-Assets, mobile Assets, herkömmliche IT-Assets, IoT-Assets usw.
5. Ermitteln Sie, ob das Asset für den Geschäftsbetrieb von kritischer Bedeutung ist, und priorisieren Sie das Asset entsprechend.
6. Evaluieren Sie, was passieren könnte, wenn jedes kritische Asset von einer Schwachstelle betroffen wäre. Könnte der Geschäftsbetrieb fortgesetzt werden bzw. würde sich eine nicht-kritische Auswirkung auf Ihr Unternehmen ergeben?

Sichtbarkeit birgt Herausforderungen

Angesichts der modernen und ausufernden IT-Landschaft von heute ist es durchaus wahrscheinlich, dass die meisten Unternehmen blinde Flecken haben und nicht über den nötigen umfassenden Einblick in ihre gesamte Angriffsoberfläche verfügen.

Hier einige häufige Herausforderungen bei der Bewertung Ihrer Angriffsoberfläche:

• Assets, die nur kurzzeitig in Ihrem Netzwerk vorhanden (oder erst gar nicht darin sichtbar) sind, lassen sie sich nur schwer erfassen und überwachen.
• Netzwerkextern eingesetzte Endbenutzergeräte können nur schwer erfasst und geschützt werden.
• Wenn Ihr Unternehmen eigenen Anwendungscode erstellt, kann es schwer sein, Schwachstellen in diesem Code ausfindig zu machen.
• IoT-Geräte sind ein relativ neuer Gegenstand von Schwachstellenbewertungen. Sie sind nicht immer in gleicher Weise geschützt wie herkömmliche IT-Assets, wodurch es schwierig sein kann, zugehörige Sicherheitsschwächen ausfindig zu machen.
• Operative Technologien (OT) können sich in Ihrem Programm zur Schwachstellenbewertung als Herausforderung erweisen, da diese Anlagen häufig nur anhand von passiven, nicht in das System eingreifenden Bewertungen geprüft werden können.
• Bei der Bewertung kritischer Systeme kann es sich als problematisch erweisen, entsprechende Assessments ohne Beeinträchtigung der täglichen Betriebsabläufe oder abteilungsspezifischen Ziele durchzuführen.
• Cloud-Bereitstellungen bieten Flexibilität und Skalierbarkeit, doch es kann schwierig sein, zugehörige Assets abzusichern. Häufig gibt es blinde Flecken, Compliance-Probleme und Governance-Herausforderungen.
• Durch Mobilgeräte entstehen eine Reihe von Sicherheitsrisiken für Unternehmen, insbesondere wenn sie ohne ordnungsgemäße Sicherheitskontrollen zum Schutz sensibler Daten verwendet werden.
• Die meisten Unternehmen verfügen über zahlreiche Webanwendungen und für diese Anwendungen gibt es häufig Updates. Aufgrund der Vielzahl von Apps und Updates kann es schwer sein, den Überblick zu behalten und zu wissen, wie viele Anwendungen unternehmensweit im Einsatz sind.
• Durch Anwendungscontainer ergeben sich Herausforderungen in Sachen Transparenz, da sich neue Software mit ihnen so schnell bereitstellen lässt, dass ihr Team nur schwer Schritt halten kann.

3. Vulnerability Assessment-Stile

---

Gibt es verschiedene Vulnerability Assessment-Stile?

Ja. Bei der Schwachstellenbewertung lassen sich vier allgemeine Stile erkennen. Diese Tatsache hat das Team von Tenable Research herausgefunden und nach der Untersuchung von über 2.100 Unternehmen in seinem Bericht zu Cyberverteidiger-Strategien veröffentlicht.

Nachstehend sind diese vier Vulnerability Assessment-Stile aufgeführt:

• Minimalist (Minimalistisch): Unternehmen mit dem Stil „Minimalist“ führen ein Mindestmaß an Schwachstellenbewertungen durch, wie es Compliance-Vorgaben erfordern. Rund 33 % der an der Studie beteiligten Unternehmen sind Minimalisten, sie führen also nur in begrenztem Umfang Bewertungen für ausgewählte Assets durch. Diese Unternehmen sind Risiken ausgesetzt und müssen mehr Arbeit in die Verbesserung ihrer Cybersecurity-Aufstellung investieren.
• Surveying (Überblickend): Unternehmen mit dem Stil „Surveying“ führen häufiger Schwachstellenbewertungen durch als Minimalisten, diese Bewertungen sind aber breit angelegt. Rund 19 % der an der Studie beteiligten Unternehmen nutzen den Stil „Surveying“. Sie verzichten auf Authentifizierung oder angepasste Scan-Vorlagen, wenn sie Bewertungen durchführen, sodass ihre Sicherheitsaufstellung einem niedrigen bis mittleren Reifegrad entspricht.
• Investigative (Investigativ): Schwachstellenbewertungen von Unternehmen mit dem Stil „Investigative“ weisen einen hohen Reifegrad auf, werden aber nur für ausgewählte Assets durchgeführt. Rund 43 % der untersuchten Unternehmen nutzen den Stil „Investigative“. Diese Unternehmen verfügen über eine solide Strategie für die Schwachstellenbewertung und führen Bewertungen in sinnvoller Frequenz durch. Dabei setzen Sie auf Asset-Authentifizierung und -Priorisierung – mit gezielten Scan-Vorlagen. Dieser Stil entspricht der dritten Stufe des vierstufigen Reifegradmodells, doch der Cybersecurity-Status des Programms kann noch ausgereifter sein.
• Diligent (Gewissenhaft): Der Vulnerability Assessment-Stil „Diligent“ (Gewissenhaft) entspricht dem höchsten Reifegrad. Nur rund 5 % der Unternehmen gehören zur Kategorie „Diligent“; sie verfügen damit über nahezu durchgängigen Einblick in all ihre Assets und führen Schwachstellenbewertungen mit hoher Frequenz durch. Unternehmen mit dem Stil „Diligent“ führen gezielte und individuell angepasste Bewertungen mit umfassender Asset-Abdeckung durch. Zudem stimmen sie die jeweils erforderlichen Scans auf jeden einzelnen Fall ab.

4. Lösungen zur Schwachstellenbewertung

---

Warum muss ich eine Schwachstellenbewertung vornehmen?

Ungepatchte Software, fehlerhaft konfigurierte Systeme und andere Schwachstellen können verheerende Folgen für Ihr Unternehmen haben.

Ein einziger erfolgreicher Übergriff auf Ihre Umgebung – zum Beispiel ein erfolgreicher Phishing-Versuch, bei dem Ransomware auf einem kritischen Asset abgelegt wird – kann Ihr Unternehmen Hunderttausende an Behebungs- und Wiederherstellungskosten kosten, ganz zu schweigen von langen Ausfallzeiten, die Tage oder länger dauern können, verlorenen Kunden, Umsatz- und Gewinneinbußen sowie Marken- und Reputationsschäden. In einigen Fällen kann ein erfolgreicher Angriff sogar zur endgültigen Schließung eines Unternehmens führen.

Angesichts von mehr als 10.000 Datenpannen in den letzten 10 Jahren ist Ihr Unternehmen zunehmend durch Cyberangriffe gefährdet.

Cyberkriminelle suchen fortwährend nach Möglichkeiten, Schwachstellen auszunutzen und in Systeme einzudringen. Malware und Phishing sind hierbei gängige Angriffsmethoden. Die durchschnittlichen Wiederherstellungskosten nach einem Ransomware-Angriff belaufen sich auf fast 2 Mio. USD und Ransomware ist nach wie vor eine wachsende Bedrohung für Unternehmen jeder Größe.

Durchschnittlich ist alle 13 Sekunden ein Unternehmen von einem Ransomware-Angriff betroffen. Phishing-E-Mails sind die effektivste Methode, mit der Cyberkriminelle in Systeme eindringen: Bei 91 % der Angriffe ist Phishing der erste Schritt. Im letzten Jahr gaben 76 % der Unternehmen an, Ziel eines Phishing-Angriffs gewesen zu sein.

Zusätzlich zu diesen Exploit-Vektoren bewirkt auch die Vielzahl und Vielfältigkeit der Asset-Typen, dass es für Sicherheitsteams immer schwerer wird, sich anzupassen und jede einzelne Schwachstelle, die das Unternehmen gefährden könnte, zu beheben.

Deshalb stützen sich die erfolgreichsten Programme zur Schwachstellenbewertung von heute auf Tools und Ressourcen, die eine kontinuierliche Asset-Erfassung und Überwachung von Schwachstellen ermöglichen – zusammen mit Prozessen zur Priorisierung von Bedrohungen auf Basis des tatsächlichen Risikos für Ihr Unternehmen.

Vorteile eines Programms zur Schwachstellenbewertung

Schwachstellenbewertungen helfen Ihnen, Sicherheitsmängel in der Angriffsoberfläche Ihres Unternehmens aufzudecken und zu analysieren, um die Wahrscheinlichkeit zu verringern, dass Cyberkriminelle Schwachstellen in Ihrem Netzwerk ausnutzen und sich unbefugt Zugriff auf Daten verschaffen können.

Von Malware über schwache Passwörter bis hin zu jedem weiteren Aspekt – Bedrohungen für Unternehmen jeder Größe nehmen weiter zu. Gleiches gilt für die Kosten, die damit verbunden sind, laufende Angriffe zu stoppen und verursachte Schäden zu beseitigen. Deshalb wird es zunehmend wichtiger, ein Programm für die Schwachstellenbewertung einzuführen, damit Sie Ihr Cyberrisiko besser nachvollziehen und Ihr Unternehmen schützen können.

Wenn Sie noch darüber nachdenken, ob ein Programm zur Schwachstellenbewertung das Richtige für Sie ist, finden Sie hier einige Vorteile als Entscheidungshilfe:

• Schwachstellen aufdecken: Ein Programm zur Schwachstellenbewertung kann Ihnen dabei helfen, alle Ihre Schwachstellen aufzudecken, einschließlich Softwarefehlern, fehlenden Patches, Malware und Fehlkonfigurationen. So können Sie einen Vorsprung gewinnen und diese Schwachstellen entschärfen, bevor Angreifer Ihre Angriffsoberfläche infiltrieren.
• Assets erfassen und abbilden: Indem Sie sämtliche Assets in Ihrem Unternehmen erfassen, können Sie eine detaillierte Karte Ihrer gesamten Angriffsoberfläche erstellen.
• Aktuelles Asset-Inventar pflegen: Mittels Asset-Erfassung können Sie ein Inventar sämtlicher Assets erstellen, selbst derjenigen, die nur gelegentlich mit Ihrem Netzwerk verbunden sind und die nur kurzlebig sind.
• Cyberrisiken erkennen und verstehen: Ihr Programm für die Schwachstellenbewertung sollte Ihnen einen Einblick in Ihre gesamten Assets und Schwachstellen geben, sodass Sie Ihre Cyberrisiken ermitteln und fundierte Geschäfts- und Sicherheitsentscheidungen treffen können, um diese Risiken zu mindern. Dies trägt auch zur Stärkung der Sicherheitsaufstellung bei.
• Patch-Verfahren prüfen: Ein Programm zur Schwachstellenbewertung kann Ihnen helfen, Ihre Patching-Pläne besser zu verwalten, einschließlich Einblick in alle Konfigurationsänderungen, so dass Sie den Erfolg Ihrer Behebungsstrategien besser planen und beurteilen können.
• Wichtigen Informationen effizienter kommunizieren: Die Erstellung von Berichten zu Ihren Schwachstellenbewertungen können Ihnen helfen, die wichtigsten Stakeholder – von der Geschäftsleitung bis zu den Kunden – über alle behobenen Schwachstellen und Fehlkonfigurationen zu informieren.

Auswahl einer Lösung zur Schwachstellenbewertung zur Verbesserung Ihres Schwachstellen-Management-Programms

Ihr Unternehmen wird spezielle Anforderungen haben, was die Auswahl einer Lösung zur Schwachstellenbewertung angeht. Doch einige zentrale Überlegungen sind auf alle Branchen übertragbar. Nachfolgend sind vier Aspekte aufgeführt, die bei der Evaluierung von Vulnerability Assessment-Lösungen zu berücksichtigen sind:

1. Kontinuierliche und vollständige Erfassung von Assets

   In den Bereichen Asset-Erfassung und Schwachstellenbewertung sollte Ihre Lösung ein breites Spektrum abdecken und Ihnen unter anderem eine fortlaufende Asset-Erfassung sowie vollständigen Einblick in Ihre gesamte Angriffsoberfläche bieten.

Fragen, die Sie an Ihren Anbieter richten sollten:

Stellen Sie passive Netzwerk-Monitore zur kontinuierlichen Erfassung von Assets zur Verfügung?

Stellen Sie Agents bereit, die sowohl in cloudbasierten als auch in On-Premises-Bereitstellungen funktionieren?

Bieten Sie Cloud-Konnektoren für Echtzeit-Einblick in die Umgebungen von Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform (GCP)?

2. Bewertung: Mehr als nur ein Scan

   Um Assets in den modernen IT-Umgebungen von heute zu bewerten, reicht es nicht mehr aus, einfach nur einen Scan durchzuführen.

Fragen, die Sie an Ihren Anbieter richten sollten:

Berücksichtigen Ihre Container-Image-Scans die Ebenenhierarchie, um die Anzahl falsch-positiver Ergebnisse zu reduzieren?

Bieten Sie passives Monitoring zur Erkennung von OT- und IoT-Schwachstellen an?

Hat Ihr Forschungsteam in den letzten 12 Monaten Zero-Day-Schwachstellen aufgedeckt? Falls ja, wie viele?

3. Analysieren der Risiken zu Behebungszwecken

   Da ein umfassendes Programm zur Schwachstellenbewertung eine Vielzahl von Tools zur Datenerfassung beinhaltet, werden Teams häufig mit Unmengen von Schwachstellendaten überlastet. Was machen Sie mit all den Informationen, die Sie erfassen? Welche Schwachstellen dürften sich in der Praxis am stärksten auf Ihr Unternehmen auswirken und könnten in naher Zukunft ausgenutzt werden? Wie priorisieren Sie Behebungsmaßnahmen?

   Mithilfe einer Lösung zur Schwachstellenbewertung, die maschinelles Lernen nutzt, kann Ihr Team Daten in den Griff bekommen, sodass Sie blinde Flecken und verborgene Muster aufdecken und dadurch künftige Bedrohungen für Ihr Unternehmen besser einschätzen können.

Fragen, die Sie an Ihren Anbieter richten sollten:

Werden für Ihre Schwachstellenbewertungen hauptsächlich historische Daten wie bestehende Exploits analysiert oder werden auch Echtzeit-Daten zu aktuellen Bedrohungen einbezogen?

Wird für Ihre Schwachstellenbewertungen maschinelles Lernen genutzt?

Gibt es automatisierte Bewertungen der Asset-Kritikalität?

4. Einfachere Preisgestaltung, Lizenzierung und Wachstumsmöglichkeiten

   Ihre Lösung zur Schwachstellenbewertung sollte ein einfaches und unkompliziertes Preis- und Lizenzierungsmodell aufweisen und zudem skalierbar sein, um mit dem Wachstum und den Veränderungen Ihres Unternehmens Schritt zu halten.

5. Prozesse der Schwachstellenbewertung

---

Implementierung eines Programm zur Schwachstellenbewertung

Wenn Sie ein Programm zur Schwachstellenbewertung für Ihr Unternehmen implementieren möchten, fragen Sie sich vielleicht, wo genau Sie anfangen sollen. Nachfolgend sind fünf Schritte aufgeführt, mit denen Sie die Grundlagen für Ihr Programm zur Schwachstellenbewertung schaffen und es entsprechend verbessern können, wenn sich Ihr Unternehmen mit der Zeit verändert und weiterentwickelt.

Schritt 1: Programmplanung

Planen Sie die zentralen Bestandteile des Programms und legen Sie Ziele fest, bevor Sie Ihr Programm zur Schwachstellenbewertung implementieren.

Beginnen Sie damit, vorhandene Unternehmens- und Sicherheitsrichtlinien sowie entsprechende Verfahren zu überprüfen.

• Sind sie auf dem aktuellen Stand?
• Sind sie effektiv?
• Wie werden Sie das Programm zur Schwachstellenbewertung auf diese vorhandenen Richtlinien abstimmen?
• Denken Sie daran, auch Compliance- und gesetzliche Aspekte einzubeziehen.

Legen Sie nach der Überprüfung vorhandener Pläne und Richtlinien den Umfang des Programms zur Schwachstellenbewertung fest, darunter Fristen, Prioritäten, Ziele und quantifizierbare Metriken. Dies ist auch ein guter Zeitpunkt, um Rollen für wichtige Akteure festzulegen – mit Übersichten über ihre jeweiligen Zuständigkeiten.

Schritt 2: Erstbewertung

Die Erstbewertung etabliert eine Baseline, auf deren Grundlage Sie Ihr Vulnerability Assessment-Programm aufbauen können.

Bei dieser Bewertung sollten all Ihre Assets in sämtlichen Umgebungen identifiziert werden.

Nachdem Sie die Assets identifiziert haben, müssen Sie ermitteln, wie kritisch die einzelnen Assets für den Geschäftsbetrieb sind. Außerdem müssen Sie feststellen, wer die einzelnen Assets besitzt bzw. wer für sie verantwortlich ist, und diese Informationen mit Angaben darüber ergänzen, wer auf die jeweiligen Geräte zugreifen kann.

Ferner sollte in der Erstbewertung durch Überprüfung aller Ports festgestellt werden, ob offene Ports vorhanden sind, die nicht offen sein sollten. Überprüfen Sie auch alle Dienste, um aktive Dienste zu identifizieren, die nicht aktiv sein sollten.

Die Phase der Erstbewertung ist auch ein guter Zeitpunkt, um zu ermitteln, ob Systeme, Prozesse und Anwendungen auf dem aktuellen Stand sind. Überprüfen Sie jede einzelne Anwendung und Datenquelle. Hierzu gehört auch die Überprüfung sämtlicher Software, um zu ermitteln, ob Ihre Assets nicht autorisierte Software aufweisen. Suchen Sie außerdem nach Konfigurationsproblemen, um einzuschätzen, ob Angreifer Fehlkonfigurationen ausnutzen können.

Schritt 3: Durchführung eines Schwachstellen-Scans

Jetzt ist der richtige Zeitpunkt für Ihren ersten Schwachstellen-Scan. Hier einige Scan-Empfehlungen:

• Alle Anwendungen
• Alle Ports
• Ihre Firewall(s)
• CMS-Systeme und -Webplattformen
• HIPAA und andere Compliance-Standards und gesetzliche Vorgaben wie etwa PCI DSS und DSGVO
• OWASP Top 10
• DoS und DDoS

Schritt 4: Berichterstellung

Nach Abschluss Ihres Schwachstellen-Scans müssen Sie Berichte erstellen, um die ermittelten Informationen mit Ihren Teams zu teilen.

Im Allgemeinen sollten Berichte folgende Informationen enthalten, damit die Priorisierung von Behebungsmaßnahmen unterstützt und die Effektivität des Programms leichter an die Stakeholder im Unternehmen kommuniziert werden kann:

• Name und Erkennungsdatum der Schwachstelle
• Beschreibung der Schwachstelle und Angabe der betroffenen Assets
• Schwachstellenbewertung gemäß dem genutzten Bewertungssystem, z. B. CVSS für CVEs
• Pläne zur Behebung der Schwachstelle
• Wie lange die Schwachstelle bereits vorhanden ist
• Zeitpunkt und Dauer der Schwachstellenbehebung
• Zur Problembehebung durchgeführte Schritte
• Etwaige Folgemaßnahmen

Schritt 5: Beheben

Nachdem Sie Ihre Schwachstellen analysiert und detaillierte Berichte mit Ihrem Team geteilt haben, ist es nun an der Zeit, Maßnahmen zu planen und diese Schwächen zu beheben.

Denken Sie daran, dass bei den meisten Schwachstellenbewertungen lange Listen von Schwachstellen ausgegeben werden. Herauszufinden, welche davon zuerst behoben werden müssen, kann eine Herausforderung sein. Sie können Ihre Remediation-Pläne auf Basis Ihrer genutzten Systeme zur Bewertung von Schwachstellen sowie der Asset-Kritikalität priorisieren.

Beginnen Sie mit den Schwachstellen, die in naher Zukunft wahrscheinlich das größte Risiko für Ihr Unternehmen darstellen, und arbeiten Sie sich dann in der Liste nach unten zu den weniger kritischen Schwachstellen vor.

Best Practices der Schwachstellenbewertung

Ein erfolgreiches, flexibles und skalierbares Programm zur Schwachstellenbewertung sollte Folgendes bieten:

• Es sollte präzise und in hoher Geschwindigkeit durchgeführte Scans in all Ihren IT-Umgebungen unterstützen. Diese Scans sollten über die herkömmliche Angriffsoberfläche Ihres Unternehmens hinausgehen, also nicht bei Desktop-Computern, Servern und dem Netzwerk haltmachen, sondern auch Mobilgeräte wie Smartphones, Laptops und Tablets sowie Cloud-Umgebungen, IoT- und OT-Geräte und Container einbeziehen.
• Es sollte manuelle Tätigkeiten und Routineaufgaben automatisieren, um den Erkenntnisgewinn und Ihre Reaktion auf potenzielle Schwachstellen in Ihrer Angriffsoberfläche zu beschleunigen.
• Es sollte in konfigurierbaren Berichten Einblick in den Erfolg Ihres Bewertungsprogramms geben, sodass Sie wichtigen Stakeholdern die Effektivität des Programms vermitteln, Lücken erkennen und geschäftliche wie auch sicherheitsrelevante Entscheidungen treffen können, die auf die übergreifenden Ziele und Vorgaben des Unternehmens abgestimmt sind.
• Es sollte dazu beitragen, die Kritikalität all Ihrer Assets zu ermitteln, sodass Sie Schwachstellen danach priorisieren können, von welchen das größte Risiko für Ihr Unternehmen ausgeht.
• Es sollte dabei helfen, Patches und Behebungsmaßnahmen zu planen, um das Cyberrisiko und die Größe Ihrer Angriffsoberfläche zu reduzieren und gleichzeitig den täglichen Geschäftsbetrieb so wenig wie möglich zu beeinträchtigen.
• Es sollte den Cyber Exposure Score (CES) für Ihr Unternehmen ermitteln können, damit Sie den Erfolg Ihres Programms zur Schwachstellenbewertung besser nachvollziehen können und wissen, in welchen Bereichen Sie Verbesserungen oder Anpassungen vornehmen müssen.
• Es sollte Benchmark-Vergleiche der Programmeffektivität zwischen internen Abteilungen und mit ähnlichen Unternehmen der Branche ermöglichen, damit Sie besser nachvollziehen können, wie gut es Ihnen gelingt, das Cyberrisiko zu senken, und Ihre Teams und wichtige Stakeholdern entsprechend in Kenntnis setzen können.

6. Schwachstellen und Penetrationstests

---

Was sind Penetrationstests?

Penetrationstests sind eine ergänzende Komponente für Ihre Prozesse zur Schwachstellenbewertung. Bei Penetrationstests setzen Pentester eine Vielzahl von Exploit-Methoden ein, um bestehende Cybersecurity-Maßnahmen durch eine Kompromittierung von Schwachstellen oder anderer Sicherheitsschwächen in Ihrer Angriffsoberfläche zu umgehen.

Im Allgemeinen werden Penetrationstests von Dritten durchgeführt, die Ihre Angriffsoberfläche (oder bestimmte Teile davon) absichtlich mit Exploits attackieren, um nachzuweisen, dass Schwachstellen vorhanden sind. Nach einem Penetrationstest legt Ihnen der Pentester einen Ergebnisbericht vor, damit Sie Behebungsmaßnahmen planen und Schritte ergreifen können, um Ihre Cybersecurity-Aufstellung insgesamt zu verbessern.

Was ist der Unterschied zwischen Schwachstellenbewertung und Penetrationstest?

Schwachstellenbewertungen und Penetrationstests sind unterschiedliche Prozesse, die jedoch zusammenwirken. Bei Penetrationstests handelt es sich um eigenständige Aktivitäten, die Aufschluss darüber geben, wie Ihre Angriffsoberfläche zu einem bestimmten Zeitpunkt beschaffen ist. Schwachstellenbewertungen sind hingegen ein laufender Prozess. Penetrationstests vermitteln Ihnen ein Verständnis davon, wie gut Ihre Schwachstellenbewertungs- und Schwachstellen-Management-Programme funktionieren und an welchen Stellen möglicherweise Schwächen vorliegen, die es zu beheben gilt. Penetrationstests können Sie außerdem dabei unterstützen, Informationen über Ihre Cybersecurity-Aufstellung zu erfassen, sodass Sie Ziele festlegen können, um Ihre Prozesse zur Schwachstellenbewertung zu verbessern.

Aus welchen Phasen bestehen Penetrationstests?

Im Allgemeinen lassen sich Penetrationstests in fünf Phasen einteilen:

1. Ein Penetrationstest beginnt mit einer Planungsphase, in der Ziele umrissen und Erwartungen hinsichtlich der Tests festgelegt werden.
2. Als Nächstes bestimmen Sie den konkreten Umfang des Tests. Soll der Pentester das gesamte Netzwerk oder einen bestimmten Teil davon angreifen? Wird der Pentester Credentialed-Scans oder Non-credentialed-Scans durchführen? Wird Ihr Sicherheitsteam darüber informiert sein, dass Tests stattfinden und wann sie durchgeführt werden?
3. Sobald Sie den genauen Umfang der Testparameter festgelegt haben, kann der Pentester mit der Arbeit beginnen. Sein Ziel besteht darin, Schwachstellen in Ihrem Netzwerk ausfindig zu machen, genau wie es auch ein echter Angreifer in der Praxis tun würde.
4. Nach Durchführung des Tests legt Ihnen der Pentester einen Bericht mit den Testergebnissen zur Begutachtung vor.
5. Prüfen Sie die Ergebnisse und nutzen Sie diese Informationen dann, um Remediation-Maßnahmen zu planen und die Sicherheitsprobleme anzugehen, die der Pentester erfasst hat.

Welche unterschiedlichen Ansätze für Penetrationstests gibt es?

Es gibt zwei Hauptansätze für Penetrationstests sowie einen dritten, der eine Variation der beiden darstellt: Whitebox-Tests, Blackbox-Tests und Greybox-Tests.

Whitebox-Tests: Dem externen Pentester liegen Informationen über das zu testende Ziel vor und die Tests finden in der Regel innerhalb einer durch Zugangsdaten geschützten Umgebung statt.

Blackbox-Tests: Ihr Pentester erhält keine Informationen über das zu testende Ziel und führt Netzwerk-Sweeps ohne Zugangsdaten durch.

Greybox-Tests: Bei diesem kombinierten Ansatz stellt Ihr Unternehmen dem Pentester nur partielle Informationen zu Zielen bereit.

Nessus Expert ist ein ergänzendes Tool, das Testern dabei helfen kann, eventuelle Schwachstellen oder Sicherheitsschwächen innerhalb Ihrer Angriffsoberfläche zu entdecken, bevor Tests gestartet werden.

Was ist Schwachstellen-Scanning?

Schwachstellen-Scanning unterstützt Sie dabei, Schwachstellen und Sicherheitslücken in Ihrer Angriffsoberfläche über sämtliche Assets hinweg aufzudecken, sodass Sie Behebungsmaßnahmen planen können, um das Cyberrisiko insgesamt zu senken. Im Bereich Schwachstellen-Scanning können Sie verschiedene Automatisierungstools nutzen, z. B. Nessus Pro. Diese Tools unterstützen Sie dabei, ein Bestandsverzeichnis aller Assets in Ihrem gesamten Netzwerk anzulegen, und automatisierte Scans zu veranlassen, wenn ein Gerät eine Verbindung zu Ihrem Unternehmens herstellt.