Die ultimative 10-Punkte-Checkliste zum Schwachstellenscan
Wann ist der richtige Zeitpunkt für einen Schwachstellenscan? Welche Teams sollten Sie einbeziehen? Und inwiefern könnte der laufende IT-Betrieb davon beeinträchtigt werden? Schwachstellenscans zählen zu den wesentlichen Maßnahmen einer Security-Strategie. Meine persönliche Checkliste zeigt Ihnen, wie Ihr Scan möglichst effizient abläuft und welche Hürden Sie bereits im Vorfeld berücksichtigen können.
- Früh genug mit der Planung des Scans beginnen
Sollte ein Scan durch einen externen Dienstleister erfolgen, ist es sinnvoll, die Rahmenbedingungen (Punkte 2–10) früh genug zu planen, damit zum Start alle Informationen geklärt und eingeholt sind. So verschwenden Sie keine unnötige Zeit und können direkt mit dem Schwachstellenscan beginnen.
2. Einverständniserklärung aller Systemeigentümer einholen
Gerade bei extern gehosteten Systemen oder Scans der externen IP-Adressen kann es notwendig sein, etwaige Provider vorab von dem Schwachstellenscan zu informieren oder vorab eine Einverständniserklärung einzuholen. Bei Outsourcing-Verträgen kann so etwas ggf. schon im Vorfeld verhandelt werden.
Besonders problematisch können Applikationen auf sogenannten Shared-Plattformen beziehungsweise in der Cloud sein. Hier wird es nicht ohne weiteres möglich sein, Server zu scannen, auf denen Daten und Anwendungen mehrerer Kunden liegen!
3. Operative Administratoren oder das Monitoring-Team einbeziehen
Ein Schwachstellenscan kann in Firewall-, IDS/IPS-, SIEM- oder sonstigen Monitoring-Systemen wie ein Angriff erscheinen und eine Menge Logs und „False Positives“ provozieren. Die entsprechenden Bearbeiter-Gruppen sollten also vorab informiert und einbezogen werden.
4. Schwachstellenscanner-Policy richtig konfigurieren
Wird ein Schwachstellenscan das erste Mal durchgeführt, sollten Sie sich vorher die Zeit nehmen, den Scanner einmal gründlich zu konfigurieren. Die meisten Scanner liefern zwar bereits in der Grundkonfiguration brauchbare Ergebnisse, allerdings laufen Sie dann Gefahr, wichtige Schwachstellen zu übersehen, wenn die Scanner nicht an die Zielumgebung angepasst sind.
So werden zum Beispiel Drucker nicht immer standardmäßig geprüft, da diese unter Umständen sehr instabil auf Schwachstellenscans reagieren. Doch gerade Drucker sind häufig von „spannenden“ Daten-Lecks betroffen. Wenn diese dann noch in der Chefetage stehen und regelmäßig vertrauliche Dokumente drucken oder scannen, sind sie als mögliche Schwachstelle schon im Vorfeld einzubeziehen.
5. Safe-Checks verwenden (oder auch nicht)
Die meisten Hersteller bieten eine Option, mit der „nur sichere Scanner-Plugins“ verwendet werden. Diese Einstellung hat den Hintergrund, dass schon das reine Aufspüren einer Sicherheitslücke dazu führen kann, den entsprechenden Dienst oder Server zu beeinträchtigen — Stichpunkt Denial-of-Service-Angriff. Hier ist es wichtig abzuwägen, ob Sie lieber mehr Informationen erhalten möchten und damit riskieren, die Stabilität zu beeinträchtigen, oder lieber „auf Nummer sicher gehen“ möchten, dass keine negativen Seiteneffekt auftreten.
Achtung: Kein seriöser Dienstleister oder Hersteller wird Ihnen versprechen, dass bei einem Schwachstellenscan nichts schiefgehen kann. Ein kleines Restrisiko bleibt immer bestehen.
6. Zu den richtigen Zeiten scannen
Wie schon mit Punkt 5 angemerkt, kann ein Schwachstellenscan eventuell Systeme beeinträchtigen oder aber auch schmalbandige LAN-/WLAN-Verbindungen auslasten. Gleichzeitig erreichen Sie nur zu Geschäftszeiten möglichst viele Client-Systeme über das Netzwerk.
So ist es sinnvoll, tagsüber Clients und unkritische Server zu scannen. Hochkritische Server scannt man hingegen lieber außerhalb der Kerngeschäftszeiten oder sogar nur an einem definierten Wartungstag. Sobald Sie ein Gefühl dafür bekommen haben, wie die eigenen Systeme auf Schwachstellenscans reagieren, können Sie die Scans dann auch häufiger und zu anderen Zeiten laufen lassen.
7. Credentialed Scans: von innen mehr sehen
Neben dem reinen aktiven Netzwerkscan „von außen“ unterstützen die meisten Schwachstellenscanner auch sogenannte Credentialed Scans, bei denen Sie dem Scanner Login-Daten mitgeben und dieser sich bei den Zielsystemen einloggt. Nun ist der Scanner in der Lage, auch Schwachstellen in Programmen zu erkennen, die nicht aktiv „auf dem Netzwerk horchen“ (Clientapplikationen, nicht-aktive Programme oder Serverdienste mit Firewall).
8. Bei der Auswertung kommt es auf das richtige Know-how an
Jeder Schwachstellenscan erzeugt eine Menge Informationen — manche kritisch, viele unkritisch. Die Hersteller bieten hier schon eine recht gute Vorklassifizierung an, allerdings kann es unter falschen Umständen auch dazu kommen, dass eine Handvoll unkritischer oder gar informativer Scanergebnisse zusammengenommen dazu führt, dass ein System kompromittiert werden kann.
Diese Informationen werden meist nur von Experten mit viel Ahnung der Materie entsprechend verknüpft. Lassen Sie sich trotzdem nicht entmutigen, selbst Hand anzulegen. Unser Tipp: Befassen Sie sich selbst mit den Scanergebnissen, aber lassen Sie zusätzlich einen Experten über die Ergebnisse schauen, um z. B. Konfigurations-Schwachstellen zu identifizieren, die Ihnen selbst vielleicht nicht aufgefallen sind.
9. Regelmäßig scannen
Ein einzelner Schwachstellenscan stellt immer nur eine Momentaufnahme dar! Um aussagekräftige Kennzahlen zu generieren und die Sicherheitssteigerung des eigenen Netzwerkes transparent und auswertbar zu machen, bedarf es eines kontinuierlichen Schwachstellenscans. So ist es z. B. möglich, in regelmäßigen Abständen Schwachstellenscans selbst oder durch einen externen Dienstleister durchführen zu lassen.
Je größer die zu scannende Umgebung, desto sinnvoller ist es, auf komplette Schwachstellenmanagement-Lösungen zu setzen. Sie bieten neben den reinen Scannern eine Plattform zum Aufbewahren und Korrelieren der Schwachstellen-Historie. So können Sie über die Zeit im Auge behalten, wie sich die Schwachstellen in Ihrem Netzwerk entwickeln und auf einen Blick sehen, ob die nächste Heartbleed-, Shellshock- oder POODLE-Schwachstelle auf Ihren Systemen gepatcht wurde.
10. Der Scan ist nur der Anfang
Der Schwachstellenscan ist immer nur das Mittel zum Zweck. Nach erfolgter Schwachstellenscan-Auswertung geht es an das Abarbeiten der Funde. Ein guter Dienstleister sollte Ihnen hier übrigens niemals die nackten Scanner-Reports aushändigen und dann wieder gehen. Der größte Mehrwert entsteht durch das manuelle Auswerten und Priorisieren der Scanergebnisse auf Ihrer Umgebung sowie durch Lösungsvorschläge und Unterstützung bei Rückfragen, sodass diese Lücken im System tatsächlich geschlossen werden.
Ausblick: Windows 10 mit 28 Schwachstellen nach 100 Tagen Release
Für alle, die bereits mit der Umstellung des Betriebssystems auf Windows 10 begonnen haben, ist abschließend sicher diese Meldung einen Blick wert: Unser Partner im Bereich IT-Sicherheitsmanagement Greenbone Networks analysierte jetzt die Windows-Systeme von 2001 bis heute, insbesondere Windows 10. Besonders kritisch in dieser neuesten Windows-Version: Die Spezialisten entdeckten bereits 28 Schwachstellen — nur 100 Tage nach dessen Release.
