Vladislav Kochelaevs - Fotolia

Einsatzszenarien für das Schwachstellen-Management

Wir beschreiben Anwendungsfälle für Schwachstellen-Management und zeigen, wie Unternehmen aller Größen von entsprechenden Tools profitieren.

Hinweis der Redaktion: Dies ist der zweite Artikel in unserer Reihe zum Thema Schwachstellen-Management (Vulnerability-Management). Der erste Beitrag ist eine Einführung in Tools für Schwachstellen-Management.

IT-Sicherheitslücken können weltweit in Unternehmen jeder Größe und jeder Branche massive Schäden verursachen. Der Verizon 2015 Data Breach Investigations Report liefert einige ernüchternde Fakten über Bedrohungen und Angriffe. Dazu gehören folgende Ergebnisse:

  • 23 Prozent der Empfänger von E-Mails öffnen Phishing-Nachrichten und elf Prozent klicken auf die Dateianhänge.
  • Weltweit traten in allen Unternehmen rund 170 Millionen Attacken mit Malware auf, das bedeutet fünf Malware-Ereignisse pro Sekunde.

Der Studie Cost of Data Breach 2015 von IBM zufolge belaufen sich die Gesamtkosten einer Datenschutzverletzung im Schnitt auf 3,79 Millionen US-Dollar – eine Tatsache, die Managern und Führungskräfte die Augen öffnen dürfte. Natürlich reden wir hier nicht von kleinen Unternehmen, die Verluste dürften aber hier gestaffelt und in Relation ein ähnliches Ausmaß erreichen.

Für welche Unternehmen also sind Tools für das Schwachstellen-Management obligatorisch? Wie profitieren sie von diesen Produkten? Dieser Artikel beschreibt einige Anwendungsszenarien für Unternehmen unterschiedlicher Größen, die den großen Wert von Schwachstellen-Management-Tools aufzeigen.

Anwendungsfall 1: Kleine Unternehmen

Beim Lesen von Artikeln über Schwachstellen-Management kommen oft rollenbasierte Mitarbeiterprofile wie Sicherheitsbeauftragter (Security Officer), Eigentümer von Vermögenswerten (Asset Owner) oder IT-Ingenieure ins Spiel. In kleinen Unternehmen sind diese Rollen jedoch sehr selten anzutreffen; allerdings benötigt jedes Unternehmen, auch eine kleine Firma, mit Internetanschluss und Personal, das E-Mails verschickt und empfängt, irgendein Produkt für das Schwachstellen-Management. Dieses wird meist von einem IT-Mitarbeiter verwaltet, der im Unternehmen als Allrounder viele IT-Aufgaben erfüllt.

Warum? Für kleine Unternehmen besteht selbst mit einer anständigen und gut abgestimmten Firewall, Antivirus-Software oder einem Intrusion Detection System (IDS) immer das Risiko, angegriffen zu werden. Typische Firewalls sind nicht so konfiguriert, dass sie Netzwerke oder Systeme vor Schwachstellen schützen; eine falsch konfigurierte Firewall hingegen stellt selbst eine große Schwachstelle dar. Antivirus-Software fängt zwar bekannte Viren, trojanische Pferde und andere Malware ab, ist aber nicht immer in der Lage, bislang unbekannte Bedrohungen zu erkennen. Ein IDS entdeckt die meisten eingehenden Bedrohungen und Angriffe, lässt sich aber auch durch aus der Ferne ausgeführten Code umgehen.

Kleine Unternehmen neigen oft dazu, bei der Einführung und Umsetzung von IT-Sicherheit etwas lax und wenig gewissenhaft zu arbeiten. Zudem besteht ihre IT-Abteilung nur aus wenigen Mitarbeitern, denen zudem oft nur ein geringes Budget zur Verfügung steht – Angreifer wissen das. All diese Gründe unterstreichen den Bedarf für Schwachstellen-Management. Mit Hilfe eines soliden Schwachstellen-Management-Tools kann ein kleines Unternehmen Sicherheitslücken finden und beseitigen, die ihre Business-Systeme potenziell gefährden.

Diese Firmen haben dabei die Wahl zwischen einfachen Scan-Services oder Tools auf Basis von Open-Source-Software. Der Nachteil: Die zuständigen IT-Mitarbeiter könnten zu viel Zeit benötigen, um die Schwachstellen zu priorisieren, sprich herauszufinden, welche Lücke die größte Gefahr darstellt. Besser geeignet sind daher eine kostengünstige Software-as-a-Service-Lösung (SaaS) aus der Cloud oder ein klassisches Softwareprodukt, die regelmäßig Scans durchführen und Berichte erstellen, welche die Sicherheitslücken eindeutig priorisieren.

Anwendungsfall 2: Mittelgroße Unternehmen

Mittelgroße Unternehmen sind im Prinzip denselben Risiken durch dieselben Schwachstellen ausgesetzt wie die kleinen Unternehmen. Die Mittelständler sind aber in der Regel in der Öffentlichkeit bekannter, verfügen über eine gut entwickelte Webpräsenz und bieten viele weitere Angriffsflächen. Daher besteht auch ein höheres Gefahrenpotenzial. Mittelgroße Unternehmen sind dadurch auch anfälliger für gezielte Angriffe wie zum Beispiel Advanced Persistent Threats (APTs) sowie Angriffe, die spezifische Schwachstellen aufspüren wie beispielsweise die Würmer Code Red oder Sasser.

Die Geschäftsleitung in vielen mittelständischen Unternehmen geht davon aus, dass ihre IT-Mitarbeiter fast jedes auftretende Sicherheitsproblem lösen können – doch das ist nicht immer der Fall. Es ist wahrscheinlicher, dass die Mitarbeiter mit ihren Alltagsaufgaben zu stark beansprucht sind oder nicht die Fähigkeiten und die notwendige Erfahrung besitzen, um eine umfassende Sicherheitsstrategie zu entwerfen und umzusetzen. Sie reagieren auf Probleme, anstatt mehrschichtige Sicherheitsvorkehrungen proaktiv zu verwalten.

Ein weiteres Problem: Mittelgroße Unternehmen investieren zwar mehr Zeit und Ressourcen in IT-Sicherheit als ein kleines Unternehmen, aber das Konzept, wie ein größeres Unternehmen auszusehen, führt oft zu einem (zu) schnellen Wachstum. Diese weit verbreitete Situation schafft Herausforderungen, welche die Erfahrung und Fähigkeiten der Mitarbeiter übersteigen. Ein Unternehmen, das plötzlich mit der Verwaltung neuer Geschäftszweige, neuer operativer Prozesse und Interessen beschäftigt ist, kann die notwendige Planung und Umsetzung von Sicherheitsmaßnahmen leicht aus den Augen verlieren.

Daher sind Cloud-Dienste, die etwa Datenspeicherung, Serverinfrastruktur und sogar die komplette IT-Infrastruktur als Service anbieten, bei mittelgroßen, schnell wachsenden Unternehmen zunehmend beliebt – zumal es sich diese Firmen manchmal schlicht und einfach nicht leisten können, jede IT-Aufgabe selbst in die Hand zu nehmen. Doch auch wenn der Service vertraglich zu einer Managed-Services-Vereinbarung gehört, ist immer noch das Unternehmen selbst – und nicht der Provider – für den Schutz aller Daten und Systeme verantwortlich, die sich jetzt außerhalb der eigenen Geschäftsräume befinden. Das stellt eine neue Herausforderung für die Sicherheit dar.

Unternehmen sollten auch beachten, dass der Aufwand und die Kosten, die entstehen, wenn die IT-Mitarbeiter einen Angriff über eine Sicherheitslücke identifizieren und mögliche Schäden beheben müssen, sehr hoch sein können – höher als die Kosten, die im Vorfeld für die Installation eines Tools für das Schwachstellen-Management entstehen.

Anwendungsfall 3: Großunternehmen

Großunternehmen waren schon immer und werden auch künftig die Hauptziele von Angreifern sein. Schließlich bieten sie große Angriffsflächen mit Tausenden von Netzwerkknoten, die sich weltweit über verschiedene Standorte verteilen.

Ein typischer Scan zur Analyse von Schwachstellen kann in einem derart umfangreichen Netzwerk Tausende bis Millionen von Treffern ergeben mit Sicherheitslücken, deren Schweregrade sich von niedrig bis hoch kritisch bewegt. Daher liegt es klar auf der Hand, dass derartige Großunternehmen ein umfassendes Tool für das Schwachstellen-Management benötigen. Dieses reduziert nicht nur die Zahl der Schwachstellen, sondern beseitigt auch die manuelle Konfiguration von Sicherheits-Scans und bietet eine Lösung für das Management umfangreicher Scan-Daten und -Berichte.

Unternehmen jeder Größe sind auch dazu verpflichtet, verschiedene gesetzliche Vorschriften einzuhalten. Viele Regularien wie der PCI-DSS-Standard oder das IT-Sicherheitsgesetz erfordern die Analyse von Schwachstellen, um die Compliance-Anforderungen zu erfüllen. Auch interne Sicherheitsrichtlinien und Audits verlangen die Einhaltung eines Risiko-Management-Plans mit Schwachstellen-Management als Kernprozess.

Sobald der Bedarf an Werkzeugen für Schwachstellen-Management erkannt ist, geht es im nächsten Schritt an die Auswahl eines Produkts, das den geschäftlichen Anforderungen und dem Budget des Unternehmens am besten entspricht.

Der nächste Artikel dieser Serie befasst sich mit Kriterien für die Auswahl und den Kauf der passenden Schwachstellen-Management-Lösung.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close