Ein Schwachstellenscan ist mehr als nur ein Scan

Die Zeiten, in denen Unternehmen IT-Security ganz unten auf ihre Prioritätsliste setzten, sind vorbei. In den letzten Jahren ist es mehr als deutlich geworden, dass Hackerangriffe kein medial aufgebauschter Hokuspokus sind, sondern eine reale, geschäftskritische Gefahr. Nicht zuletzt deswegen ist in unserer täglichen Arbeit mit Kunden das Thema Schwachstellenscan zum Dauerbrenner geworden. Was hat es damit genau auf sich und was sind unsere Erfahrungen aus den Einsätzen der letzten zwei Jahre?

Was unterscheidet Schwachstellenscan, Penetrationtest und Patchmanagement?

Veraltete Softwareversionen — inklusive des Betriebssystems samt essentieller Komponenten — stellen eine der wichtigsten Schwachstellen in der IT-Sicherheitsarchitektur eines Unternehmens dar. Auch ein solides Patchmanagement kann nicht immer garantieren, dass keine veralteten Softwareversionen zurückbleiben. Das liegt unter anderem daran, dass die Softwarehersteller mit den Updates manchmal hinterherhinken. Schwachstellenscans können die Lücken, die ein Patchmanagement hinterlässt, aufdecken. Im Gegensatz zu einem Penetrationstest stellt ein Schwachstellenscan auch nicht einen gezielten Angriff auf potentielle Lücken in bestimmten Systemen dar. Ein solcher Scan gleicht eher einem Vogelblick, der auf eine weitläufigere Weise Schwachstellen in der gesamten IT-Sicherheitsarchitektur sichtbar macht. Neben veralteten Softwareversionen deckt ein Schwachstellenscan so unter anderem auch unsichere Passwörter und Lücken in der Firewall auf (10-Punkte-Checkliste).

Die am häufigsten auftretenden Probleme

Von Firma zu Firma unterscheiden sich die aufgedeckten Schwachstellen. Dennoch stellen wir mit einiger Regelmäßigkeit fest, dass gerade in dem wichtigen Bereich der Microsoft Updates ein Verbesserungsbedarf besteht. Durch Folgescans können da signifikante Steigerungen in Puncto Sicherheit und Performance erzielt werden. Ein weiteres großes Problem sind veraltete Versionen von elementaren, häufig genutzten Drittanbieter-Tools, wie beispielsweise Java, Flash oder Reader. Diese Programme werden häufig vernachlässigt oder müssen in bestimmten Versionen auf den Systemen vorliegen, damit andere, wichtige Softwareanwendungen funktionieren. Generell finden wir durch unsere Erfahrung bei fast jedem Suchlauf die Schwachstellen und Konfigurationsprobleme, auch abseits von Microsoft Updates und Drittanbieter-Tools. Aus jedem Scan lernen wir schließlich etwas Neues dazu.

Ein automatisch erstellter Report nutzt dem Kunden wenig

Wenn wir Schwachstellenscans durchführen, überprüfen wir zwischen 200 und 3.000 Systeme, je nach Beschaffenheit und Größe des Unternehmens. Dabei fällt eine Menge Daten an, die gesammelt, kategorisiert und in einem Report zusammengefasst werden. Diese komplexen Reports allein, die zehn bis fünfzehn Tausend Seiten lang sein können, bieten dem Kunden allerdings keinen Mehrwert. Darum bereiten wir für den Kunden einen kompakten Bericht auf, den wir in einem Ergebnis-Workshop präsentieren. So hat der Kunde die wichtigsten Schwachstellen samt vorgeschlagenen Lösungen schnell im Blick und kann diese in seiner Umgebung umsetzen.