Schwachstellen: Verstehen, beheben und verhindern

Log4Shell – dieser Name hat IT-Admins viel Arbeit und Sorgen bereitet. Denn diese Schwachstelle hat uns wieder einmal vor Augen geführt, wie verletzlich digitale Infrastrukturen sind. Und welche Bedeutung dem Thema Schwachstellen-Management zukommt.

Allgemein ist eine Schwachstelle in der Cybersicherheit eine Schwäche oder Lücke in einem Informationssystem oder Prozess einer Organisation, die Cyberkriminelle missbrauchen können. Und damit die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten gefährden.

Schwachstellen sind inhärente Sicherheitslücken in einem System oder Netzwerk, die Cyberkriminelle für ihre Zwecke nutzen können. Sie werden normalerweise nicht durch externe Faktoren wie Malware oder Social-Engineering-Angriffe verursacht.

Nicht immer droht Gefahr

Aber nicht jede Schwachstelle stellt ein Risiko für eine Organisation dar. Aus Sicht von Cyberkriminellen ist eine Sicherheitslücke nur dann wertvoll, wenn sie diese nutzen können und sie mindestens einen Angriffsvektor hat. So können gute Sicherheitspraktiken eines Unternehmens dafür sorgen, dass viele Schwachstellen nicht missbraucht werden können.

Ein Beispiel: Wenn eine Schwachstelle dazu führt, dass eine kundenorientierte Anwendung neu gestartet wird, ohne dass aussagekräftige Informationen preisgegeben werden und ohne dass die Leistung beeinträchtigt wird, sind die Auswirkungen der Schwachstelle vergleichsweise gering. Das Risiko ist auch deutlich niedriger, wenn ein hypothetischer Angreifer sowohl physischen Zugang zu dem betroffenen System als auch administrative Rechte benötigt.

Woher kommen Schwachstellen?

Verschiedene Faktoren können zu Schwachstellen in einem System führen. Dazu zählen etwa Software-Fehler, wenn beim Programmieren versehentlich ausnutzbare Fehler in der Software verbleiben. Aber auch ungesicherte oder unzureichend abgesicherte Betriebssysteme können kriminellen Hackern vollen Zugriff gewähren. Und nicht zuletzt können schwache und wiederverwendete Passwörter Datensicherheitsverletzungen begünstigen. Ausserdem gilt: Je komplexer ein System ist, desto höher ist die Wahrscheinlichkeit von Fehlkonfigurationen, Fehlern oder unbeabsichtigtem Zugriff.

Das 1x1 der Schwachstellen

Es gibt verschiedene Arten von Schwachstellen, die Unternehmen bedrohen:

• Zero-Day-Schwachstellen: Hierbei handelt es sich um spezielle Software-Schwachstellen, die Angreifer gefunden haben, die aber weder dem Hersteller noch der Öffentlichkeit bekannt sind. Für diese Schwachstellen gibt es keine Korrekturen oder Lösungen, bis ein Angriff stattgefunden hat.
• Veraltete oder nicht gepatchte Software: Kriminelle Hacker attackieren Netzwerke mit ungepatchten Systemen, da diese Schwachstellen leicht auszunutzen sind, um ins Firmennetzwerk zu gelangen.
• Fehlkonfigurationen: Wenn Netzwerke uneinheitliche Sicherheitskontrollen oder anfällige Einstellungen aufweisen, kann dies Systemfehlkonfigurationen mit sich bringen, die Cyberkriminelle einfach missbrauchen. Mit der zunehmenden digitalen Transformation treten diese Arten von Schwachstellen immer häufiger auf.
• Problematische Insider-Bedrohungen: Mitarbeiter*innen mit Zugang zu wichtigen Systemen können manchmal Informationen  – absichtlich oder unabsichtlich – weitergeben. Diese nutzen Cyberkriminelle, um in das Netzwerk einzudringen.
• Probleme mit der Datenverschlüsselung: Wenn ein Netz schlecht oder gar nicht verschlüsselt ist, haben es Angreifer leicht, die Kommunikation abzufangen und wichtige Informationen zu extrahieren.
• Probleme mit schwachen Berechtigungsnachweisen: Angreifer setzen häufig auf Brute-Force-Taktiken wie Credential-Spraying oder Credential-Stuffing, um durch das Erraten der Anmeldedaten Zugang zu Systemen und Netzwerken zu erhalten.

Mit Schwachstellen-Management die Gefahr bannen

Schwachstellen-Management bezeichnet den Prozess der Identifizierung, Beseitigung und Entschärfung von Sicherheitslücken. Dabei stehen drei Schlüsselelemente im Mittelpunkt: Erkennung, Bewertung und Behebung.

1. Erkennung: Mit verschiedenen Methoden wie Schwachstellen-Scans, Penetrationstests und Google-Hacking lassen sich Schwachstellen in Computern, Anwendungen oder Netzwerken aufspüren.
2. Bewertung: Ist eine Schwachstelle entdeckt, durchläuft sie einen Bewertungsprozess. Dabei prüfen die Verantwortlichen systematisch die Auswirkungen im Kontext des Geschäftsumfelds. Dabei müssen die Verantwortlichen entscheiden, ob sich die Sicherheitslücke ausnutzen lässt und wie sie sich durch die Entwicklung geeigneter Gegenmassnahmen schwächen lässt. Auch die Messung der Wirksamkeit der getroffenen Massnahmen – sofern kein Update für die Software bereitsteht – sind entscheidend.
3. Behebung: Abschliessend werden bekannte Schwachstellen behoben und entschärft, um das Angriffsrisiko zu senken. Dies gelingt unter anderem durch die Überwachung und Verwaltung des Softwarebestands mithilfe automatisierter Tools, dem Abgleich mit Sicherheitshinweisen sowie einer effektiven und effizienten Lokalisierung und Behebung anfälliger Komponenten.

Prioritäten setzen

Um Schwachstellen effektiv zu beheben, sollten die Verantwortlichen sicherstellen, dass die eingesetzte Software inventarisiert ist und kontinuierlich überwacht wird. So lassen sich im Falle einer Schwachstelle umgehend Massnahmen einleiten. Dabei ist es auch wichtig, Prioritäten zu definieren. So lässt sich das Risiko von Schwachstellen anhand der Systemkonfiguration, der Wahrscheinlichkeit des Auftretens, der Auswirkungen und der bestehenden Sicherheitsmassnahmen bewerten.
Angesichts der steigenden Komplexität und wachsenden Cyberrisiken ist ein aktiver Ansatz für das Management von Schwachstellen unerlässlich. Dazu müssen IT-Verantwortliche stets einen Überblick über die internen und fremden Netzwerk-Ökosysteme haben und deren potenzielle Schwachstellen und Anfälligkeiten sowie deren Auswirkungen kennen. Wichtig ist dabei, Schwachstellen je nach ihrer Kritikalität so schnell wie möglich zu patchen. Letzteres ist eine Herausforderung, die viele Unternehmen und Organisationen immer noch unterschätzen.