„Stand der Technik“: Renaissance des Patch-Managements

Wer dem Stand der Technik in der sensiblen IT-Sicherheitsbranche entsprechen möchte, darf sich nicht nur auf die "großen" Themen wie Ransomware, DDoS-Attacken und EDR konzentrieren. Für eine umfassende Security-Architektur braucht es mehr. [...]

Michael Schröder, Manager of Security Business Strategy bei der ESET Deutschland GmbH (c) Erich Reismann
Michael Schröder, Manager of Security Business Strategy bei der ESET Deutschland GmbH (c) Erich Reismann

Organisationen weltweit investieren so viel Geld in IT-Sicherheit wie noch nie. Die internationalen Ausgaben für Cybersicherheit sollen sich im laufenden Jahr auf rund 223,8 Milliarden US-Dollar summieren – prognostiziert das Marktforschungsunternehmen Canalys. Neue Sicherheitslösungen, moderne Security Information and Event Management-Systeme (SIEM) oder professionelle Security Operations Center (SOC): Die Wunschliste der IT-Verantwortlichen ist lang und teuer. Wer seine Security auf den aktuellen Stand der Technik bringen möchte, denkt fast automatisch in diese Richtung. Doch sinkt dadurch das Risiko, Opfer eines Angriffs zu werden? Oftmals sind es nämlich die vermeintlich kleinen, aber unterschätzten Gefahren, die Kriminellen Tür und Tor öffnen. Dazu zählen in allererster Linie auch Schwachstellen in Betriebssystemen und Software.

Sicherheitsvorfälle als Mahnung

Neu ist diese Erkenntnis beileibe nicht. In der Vergangenheit erfreute sich das Thema Vulnerability- und Patch-Management immer wieder großer Beliebtheit, um dann aus dem Rampenlicht zu verschwinden. Erst durch vermeidbare Sicherheitsverletzungen, als Unternehmen nicht oder zu spät auf bekannte Schwachstellen reagiert hatten, horchten Verantwortliche erneut auf. Log4Shell, ProxyShell oder der berühmt-berüchtigte WannaCry-Ransomware-Angriff von 2017 sind nur einige Beispiele. Bei WannaCry wurden Systeme durch die Ausnutzung einer Microsoft-Sicherheitslücke infiziert, für die bereits ein Patch verfügbar war. Die Schadsoftware legte tausende von Systemen weltweit lahm – auch noch viele Jahre später. Und die betroffenen Unternehmen erlitten massive finanzielle Verluste und Reputationsschäden.

Aktuell vermelden nicht nur die Telemetriedaten von Security-Spezialisten wie ESET stark steigende Angriffe auf unzureichend gesicherte Systeme. Internationale Sicherheitsbehörden bestätigen den Eindruck mit der Veröffentlichung einer Liste der am häufigsten ausgenutzten Schwachstellen. Überraschenderweise zeigte sich, dass Hacker gar nicht auf kürzlich bekannt gewordene Sicherheitslücken setzen. Stattdessen nahmen sie lieber ungepatchte und über das Internet erreichbare Systeme ins Visier. Grund dafür seien nicht zuletzt die für alte Schwachstellen längst verfügbaren Proof-of-Concept-Exploits, mit denen böswillige Akteure fremde Systeme leicht infiltrieren können.
Zahlen des deutschen Bundesamts für Sicherheit in der Informationstechnologie (BSI) unterstreichen den unschönen Trend: Die Anzahl der Schwachstellen wächst insgesamt und vor allem mit hohem oder sogar kritischem Level. Ins gleiche Horn stößt die amerikanische Organisation MITRE ATT&CK. Sie beziffert die Anzahl der sogenannten CVE (Common Vulnerabilities and Exposures) für das erste Quartal 2023 mit 7015: absoluter, jemals verzeichneter Rekord und vor allem um 15 Prozent höher als im Vorjahresquartal.

Gründe für verzögertes Patchen

Warum zögern Unternehmen oft, Patches zeitnah zu installieren? Ein Hauptgrund ist die Komplexität der IT-Infrastrukturen. Unternehmen verfügen über eine Vielzahl von Systemen, Anwendungen und Geräten, die alle aktualisiert werden müssen. Dies kann zeitaufwändig sein und den normalen Betrieb stören. Die Angst vor unerwünschten Nebenwirkungen oder Systemausfällen kann ebenfalls dazu führen, dass Unternehmen zögern, Patches einzuspielen. Darüber hinaus kann es schwierig und zeitaufwändig sein, Schwachstellen zu identifizieren und nach ihrem Schweregrad zu priorisieren, was zu einer ineffizienten Zuweisung von Ressourcen und einem erhöhten Risiko führt.
Ressourcenknappheit und die Notwendigkeit, Patches vor der Implementierung gründlich zu testen, sind weitere Faktoren.

Vorteile eines effektiven Vulnerability- und Patch-Managements

Dabei liegen die Vorteile eines durchdachten Vulnerability- und Patch-Managements klar auf der Hand:

  • Minimierung von Angriffsvektoren: Durch regelmäßige Aktualisierungen und Schließung von Sicherheitslücken wird die Angriffsfläche für Cyberkriminelle erheblich reduziert.
  • Einhaltung von Vorschriften: Viele Branchen unterliegen strengen Compliance-Anforderungen. Ein gutes Patch-Management hilft, diese Vorschriften einzuhalten und hohe Geldstrafen zu vermeiden.
  • Vermeidung von Datenverlust: Patches helfen dabei, Datenverluste und Datenschutzverletzungen zu verhindern, indem sie potenzielle Eintrittspunkte für Angreifer blockieren.
  • Sicherung von Reputation: Effizientes Patch-Management verhindert Sicherheitsverletzungen, die das Vertrauen der Kunden beeinträchtigen könnten. Der Schutz des Unternehmensrufs ist von unschätzbarem Wert.
  • Kostenersparnis: Die finanziellen Auswirkungen von Sicherheitsverletzungen, die durch Patchen hätten verhindert werden können, sind oft deutlich höher als die Kosten und die Zeit, die für regelmäßiges Patchen aufgewendet werden.

NIS-2 patcht die Organisations-Security

Vielleicht muss man IT-Verantwortliche manchmal „zu ihrem Glück zwingen“, sagen immer mehr Sicherheitsexperten. Denn die Europäische Union hat mit der NIS-2-Richtlinie (Network and Information Security 2) das Security-Level von KRITIS-Unternehmen deutlich angehoben. Spätestens am 17. Oktober 2024 müssen Organisationen das aus NIS-2 abgeleitete nationale Recht umgesetzt haben. Zentraler Inhalt ist die Aufforderung, die Resilienz der Systeme im Hinblick auf die Cybersicherheit zu stärken. Konkret müssen KRITIS-Betreiber die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse sicherstellen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Und genau dazu zählt auch das Vulnerability- und Patch-Management. Mit der NIS-2-Richtlinie werden über die bislang regulierten wesentlichen Organisationen hinaus demnächst auch weitere wichtige (ab einer Größe von 50 Mitarbeitern) als Adressaten des Gesetzes in den Fokus geraten. Der Anwendungsbereich der gesetzlichen Pflichten steigert sich damit um eine enorme Anzahl von Organisationen.

Auf dem Markt gibt es eine Vielzahl von Softwarelösungen, mit denen Organisationen das Problem in den Griff bekommen können. Manche Hersteller wie ESET verzahnen sie direkt mit anderen Technologien. IT-Sicherheitsverantwortliche können so über eine zentrale Management-Konsole die Informationen aus dem Vulnerability- und Patch-Management als eine von mehreren Datenquellen nutzen, um mögliche Bedrohungen zu verstehen.

Fazit

Vulnerability- und Patch-Management ist ein Schlüsselfaktor für eine robuste IT-Sicherheitsstrategie und zählt zu den wichtigsten Maßnahmen im Hinblick auf den Stand der Technik in der Security. Indem Unternehmen kontinuierlich ihre Systeme und Anwendungen auf Schwachstellen überprüfen, können sie potenzielle Risiken minimieren und Angriffsvektoren einschränken. Die Investition in diese Prozesse ist unverzichtbar, um die Integrität, Vertraulichkeit und Verfügbarkeit von Unternehmensressourcen zu gewährleisten und den Anforderungen einer sich ständig verändernden Sicherheitslandschaft gerecht zu werden.

*Der Autor Michael Schröder ist Manager of Security Business Strategy bei der ESET Deutschland GmbH. Der Artikel erschien in der Ausgabe transform! 03/2023.


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*