Wann hatten Sie Ihre letzte Datenpanne?
Können Unternehmen Informationssicherheit proaktiv betreiben? Ja, sie können. Ein gutes Schwachstellenmanagement erkennt Risiken, bevor sie eintreten (z.B. die Ransomware WannaCry oder Petya). Dirk Größer beschreibt in diesem Gastbeitrag, wie sich Schwachstellenmanagement in ein Informationssicherheitsmanagementsystem (kurz ISMS) integriert.
In der heutigen Zeit ist das unternehmerische Handeln einer wesentlich größeren Dynamik unterworfen als in der Vergangenheit. Die Rahmenbedingungen und Märkte stellen immer neue Anforderungen in immer kürzeren Zeitperioden. Zudem sind eine Vielzahl unterschiedlicher digitalisierter Informationen zu einem integralen Bestandteil von Geschäftsprozessen geworden, Stichwort „Industrie 4.0“. Die daraus resultierende wachsende Komplexität und eine immer aggressiver werdende Bedrohungslage erschweren es aber zunehmend, diese Informationen und Werte nachhaltig und angemessen zu schützen. Wir können das an den immer häufiger in den Medien publizierten Datenpannen ablesen.
Eine Reaktion der Politik ist die Konkretisierung der gesetzlichen und regulatorischen Anforderungen an Informationssicherheit und Datenschutz für Wirtschaft und Behörden. Als Beispiel seien hier die KRITIS VO1, die Europäische Datenschutzgrundverordnung (EU-DSGVO) und die MaRisk2 genannt. Die Essenz der genannten Gesetze, Verordnungen und Regelungen ist, ganz allgemein gesagt, die Forderung, ein dauerhaftes und wirksames Informationssicherheitsmanagement (ISM) nach dem Stand der Technik zu betreiben, welches dann in der Ausgestaltung häufig als Informationssicherheitsmanagementsystem (ISMS) bezeichnet wird. Was ein ISMS eigentlich ist, hatte ich schon einmal in diesem Blog-Beitrag beschrieben.
Ich möchte einen häufig unterschätzten Aspekt aus dem Bereich des ISMS vorstellen, nämlich den Umgang mit vermuteten Sicherheitsvorfällen. Vermutet deshalb, weil man zu Beginn einer Meldung oder eines Alarms häufig noch nicht belastbar einschätzen kann, ob es sich überhaupt um einen tatsächlichen Sicherheitsvorfall handelt.
Es sind im Vorfeld eine Kette von kausalen Schritten und Aktivitäten notwendig, um fachlich und prozessual überhaupt eine effiziente Sicherheitsvorfallbehandlung durchführen zu können. Dabei sind die schnelle Erkennung und die angemessene Reaktion der Schlüssel, um die möglichen Auswirkungen des Vorfalls auf seine unmittelbare Umgebung zu begrenzen.
Ein Angriffsversuch ist zunächst noch keine gravierende Sicherheitspanne. Wenn Sie aber Bedrohungen nicht zeitnah erkennen, priorisieren und wirksam neutralisieren können, entsteht daraus möglicherweise sehr schnell erheblicher Schaden für Ihre Organisation. Wie beispielsweise Imageschäden, verlorene Kundendaten oder Unterbrechungen durch die Nichtverfügbarkeit von Ressourcen.
Angriffsversuche sind leider häufig erfolgreich, da sich in vielen IT-Infrastrukturen vom Betreiber unbemerkt Schwachstellen befinden, welche dann von Angreifern (mit den bekannten Folgen) ausgenutzt werden können. Und zu allem Übel werden solche Angriffe oft viel zu spät bemerkt.
Genau hier ist ein sinnvoll eingesetztes IT-Schwachstellen-Management (Vulnerability Management) eine wirkungsvolle Lösung. Damit sind Sie in der Lage, die Schwachstellen zu identifizieren und deren Behebung zu priorisieren, bevor Angreifer diese ausnutzen können. Darüber hinaus sind Sie jederzeit in der Lage, eine Neubewertung bezüglich der Verwundbarkeit ihrer IT-Infrastruktur durchzuführen.
Mit IT-Schwachstellen-Management können Sie Ihre IT-Umgebung in ihrer ganzen Breite und Tiefe “wahrnehmen” und gewinnen die Möglichkeit, Sicherheitsvorfälle wirkungsvoll und schnell zu entschärfen, bevor größere Schäden daraus entstehen können. So senken Sie erheblich das Risiko, dass eine schwere Datenpanne oder ein gravierender Cyber-Vorfall Ihrem Unternehmen teuer zu stehen kommt.
Zum Schluss noch ein Punkt, der mir in der Praxis sehr oft begegnet: Kunden sagen mir, dass sie durch ihr bestehendes Patch-Management „alles im Griff haben“ und sie somit kein Schwachstellen-Management benötigen. Aber leider ist das eine absolut verfehlte Annahme: Patch-Management ist nicht Schwachstellenmanagement! Beide Prozesse liegen nahe beieinander, dürfen aber nicht miteinander verwechselt werden.
Das Schwachstellenmanagement ist ein proaktiver Prozess, welcher im zeitlichen Ablauf dem Patch Management vorgelagert ist, um Schwachstellen zu erkennen. Gute Schwachstellen-Scanner erkennen nicht nur Schwachstellen, für welche ein Patch besteht, sondern identifizieren auch Schwachstellen zeitnah nach deren Bekanntwerden — auch wenn es noch keinen Patch dafür gibt.
Beim Patch Management wird überprüft, inwiefern Patches für Betriebssysteme und die installierten Applikationen zur Verfügung stehen. Vom Bekanntwerden einer Schwachstelle bis zur Verfügbarkeit eines Patches kann es oft Monate dauern. Während dieser Zeit zeigt das Patch Management keinen Handlungsbedarf an, obwohl ein Sicherheitsrisiko besteht.
Patch Management ersetzt also nicht Schwachstellenmanagement und umgekehrt. Beide wirken wechselseitig ergänzend und steigern in geeigneter Kombination die Informationssicherheit Ihrer Organisation erheblich.
Über Dirk Größer
Dirk Größer arbeitet seit rund 30 Jahren in der IT-Branche und beschäftigt sich seit mehr als 15 Jahren ausschließlich mit Informationssicherheit und Datenschutz. Er hat Elektrotechnik mit Schwerpunkt Technische Informatik studiert und berät Kunden aller Branchen und Unternehmensgrößen bei Fragestellungen.
Branchenschwerpunkte sind öffentliche Auftraggeber wie z.B. Bundes- und Landesbehörden, kommunale IT-Dienstleister und Rechenzentren, Bundeswehr und NATO. Die Betreuung privatwirtschaftlicher Kunden umfasst Dienstleistungen im Bereich Informationssicherheit und Datenschutz, wie BSI IT-Grundschutz, ISO 27001 uvm.
Dirk Größer ist zertifiziert als CISSP, Datenschutzbeauftragter und Datenschutz-Auditor. Durch seine Mitgliedschaft in den maßgeblichen Branchen- und Fachverbänden ist er sehr gut vernetzt und fachlich immer auf dem aktuellen Stand der Technik.
Weitere Schwerpunkte sind neben der Einführung und Optimierung von Informationssicherheitsmanagement-Prozessen (ISMS), die Arbeit als Informationssicherheitsbeauftragter, die Bewertung und Risikobetrachtung von IT-Architekturen und Cloud-Lösungen sowie die Erstellung und Fortschreibung von IT-Sicherheitskonzepten, Richtlinien und weiteren Informationssicherheit-Dokumenten.
Mit seinem unabhängigen Beratungsunternehmen und Sachverständigenbüro betreut Herr Größer auch Mandanten als deren bestellter externer Datenschutzbeauftragter oder unterstützt die interne Datenschutzorganisation bei Durchführung ihrer Aufgaben.
1 KRITIS VO: Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz
2 MaRisk: Mindestanforderungen an das Risikomanagement
