The Untouchables — Schwachstellenscans und die „Unantastbaren“

Wie geht man mit den „unantastbaren“ Systemen in der IT-Sicherheit um?

Das Thema Schwachstellen-Management — oder zumindest halbwegs regelmäßig durchgeführte aktive Schwachstellenscans — ist bei vielen Firmen schon lange etabliert. Schwachstellenscanner werden dabei eingesetzt, um über das Netzwerk Systeme von außen auf bekannte Schwachstellen oder Konfigurationsprobleme abzutesten. Zu den Standard-Features eines Schwachstellenscanners gehören zudem sogenannte Credentialed Scans: Dabei loggen sich die Scanner auf den Zielmaschinen ein und können so neben den über das Netzwerk erreichbaren Diensten auch jegliche installierte Software und von außen nicht „sichtbare“ Konfigurationszustände auditieren.

PROBLEMFALL BEIM SCHWACHSTELLENSCAN: „DIE UNANTASTBAREN“

Bei sogenannten Industriesteuerungssystemen oder auch allgemein Embedded-Devices bzw. IoT-Devices kommt es hierbei allerdings nicht selten zu Problemen: Schwachstellenscanner verursachen zusätzlichen Netzwerktraffic und rauben dem Gerät die Kapazitäten für seine eigentliche Aufgabe. Gelegentlich stürzen die Geräte ganz ab. In vielen Firmen liegt zudem die Hoheit für Produktionsumgebungen und Produktionsnetzwerke nicht bei der zentralen IT, sondern bei den entsprechenden Fachabteilungen. Die Angst davor, kritische Prozesse mit Schwachstellenscans zu beeinträchtigen, führt häufig zu dem Umstand, dass solche Umgebungen gänzlich von Schwachstellenscans und Schwachstellen-Management-Prozessen ausgeschlossen werden.

Die Gefahren für solche Umgebungen sind trotzdem real: Schadsoftware und Angreifer, die es erst einmal ins interne Firmennetzwerk geschafft haben, sind von internen Entscheidungsbefugnissen wenig beeindruckt. Der Effekt: Ausgerechnet die kritischen Systeme weisen die meisten Lücken auf und werden als erstes angegriffen.

EINE LÖSUNG: PASSIVES SCANNEN NACH LÜCKEN

Eine Lösung oder zumindest eine Linderung der Problematik können sogenannte Passive Schwachstellenscanner darstellen. Eines dieser Produkte ist beispielsweise PVS (Passive Vulnerability Scanner) der Firma Tenable. Beliebig viele PVS Appliances können gezielt an extra eingerichteten Mirror-Ports an den Netzwerk-Knotenpunkten (z. B. am Übergang eines Produktions-VLANs zum restlichen Firmennetzwerk) platziert werden. Dort identifizieren sie gänzlich passiv die eingesetzten Softwareversionen und darin enthaltenen Schwachstellen, indem sie den Datenstrom analysieren.

Zwar lässt sich mit einem passiven Schwachstellenscan nicht die gleiche Abdeckung oder ein ähnlicher Tiefgang an Informationen wie bei einem aktiven Scan erreichen, trotzdem wird bereits eine Vielzahl an Schwachstellen auf diesem Weg aufgedeckt. Nun kommt der richtigen Interpretation der Ergebnisse und der Koordination der notwendigen Maßnahmen eine besondere Bedeutung zu. Selbst für versierte IT-Experten kann externe Beratung eine wertvolle Unterstützung sein.

Passive Schwachstellenscans sind zudem hilfreich dabei, ein grundsätzliches Verständnis bei den Fachabteilungen für diese IT-Security-Maßnahmen zu entwickeln. Bestenfalls gelingt es, ein unternehmensweites Schwachstellen-Management über klassische IT-Systeme und Embedded Systems hinweg zu etablieren.