Die Rolle von IT-Sicherheitsprüfungen im Schwachstellenmanagement
Proaktiver Umgang mit IT-Schwachstellen ist ein essenzieller Bestandteil jedes Informationssicherheits-Managementsystems (ISMS) und Softwareentwicklungsprozesses. Die zentrale Rolle von regelmäßigen Sicherheitsprüfungen wird dabei häufig übersehen.
Schwachstellen treten in verschiedenen Formen auf; Fehlkonfigurationen der Firewall, bekannte Sicherheitslücken in veralteter Software und die Verwendung unsicherer Protokolle sind besonders häufige Beispiele. Die betroffenen Systeme sind dabei divers, denn nicht nur klassische Hard- und Softwareprodukte können Schwachstellen aufweisen, auch smarte Sensoren, Alarmanlagen und andere IoT-Geräte für Industrieanlagen sind betroffen.
Schwachstellen – Zentrales Einfallstor für Angreifer
Trotz zahlreicher Varianten haben Schwachstellen eins gemeinsam: Sie können Ihre gesamte IT-Sicherheitsstrategie torpedieren.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass nahezu alle Angreifer bekannte technische Schwachstellen ausnutzen, um ihr Ziel zu erreichen. Auch Ransomware-Angriffe, aktuell eine der größten Cyberbedrohungen in Deutschland, setzen häufig auf Schwachstellen, um Unternehmensnetzwerke zu infiltrieren.
Effektive Prozesse zum Schwachstellenmanagement im Unternehmen
Um die Bedrohung durch Schwachstellen zu minimieren, sollten Unternehmen Schwachstellenmanagement-Prozesse schaffen, in denen Sicherheitslücken kontinuierlich aufgespürt, priorisiert und behoben werden. Damit unterstützt das Schwachstellenmanagement andere Sicherheitsrelevante Prozesse, wie Threat-Modeling und Risk-Assessments.
Auf der Unternehmensebene sind solche Prozesse idealerweise Teil eines Informationssicherheits-Managementsystems (ISMS) nach ISO/IEC 27001.
Schwachstellenmanagement in Software-Produkten
Schwachstellenmanagement betrifft jedoch nicht nur die eigene IT-Infrastruktur; auch Software-Hersteller sollten ihre Anwendungen regelmäßig auf Schwachstellen untersuchen, insbesondere wenn personenbezogene oder anderweitig schützenswerte Daten verarbeitet werden.
Im Softwareentwicklungsprozess gehört das Schwachstellenmanagement zu einem der wichtigsten Bausteine eines effektiven Security-Development-Lifecycles (SDLC).
Mit etablierten Schwachstellenmanagement-Prozessen in der Softwareentwicklung- und Wartung schützen Software-Hersteller ihre Nutzer, ihr eigenes Knowhow und ihre Geschäftsfähigkeit.
Validierung von Schwachstellenmanagement-Prozessen
Gerade nach einer erfolgreichen ISO 27001-Zertifizierung oder der Etablierung eines SDLC sollten die definierten Prozesse unbedingt durch entsprechende Sicherheitsprüfungen validiert werden.
Eine externe Prüfung, sowohl von einzelnen Anwendungen als auch von größeren IT-Infrastrukturen, unterstützt nicht nur beim Identifizieren von vorhandenen Schwachstellen, sondern dient vor allem der Bewertung von Risiken und der Priorisierung von IT-Sicherheitsmaßnahmen.
Eine schnelle Validierung kann zum Beispiel durch die Durchführung einer externen Schwachstellenanalyse erreicht werden, bei der allgemeine Sicherheitslücken und typische Fehlkonfigurationen automatisiert erkannt werden.
Externe Prüfungen bieten eine kostengünstige Möglichkeit, stets nach dem Stand der Technik geprüft zu werden und gleichzeitig einen neutralen Blick auf die eigenen Systeme und Software zu erhalten.
Schwachstellenanalyse versus Pentests
Im Gegensatz zu einer Schwachstellenanalyse folgen Penetration-Tests, kurz Pentests, einer manuellen, aufwendigen Methodologie, um Schwachstellen zu identifizieren.
Obwohl unabhängige automatisierte Tests die Anwendungssicherheit und die IT-Sicherheit im Unternehmen erhöhen, sollten sie regelmäßig durch vollumfängliche Pentests ergänzt werden. Nur so kann ein der jeweiligen Bedrohungslage entsprechendes Spektrum an potenziellen Schwachstellen gezielt abgedeckt werden.
Seriöse Pentests zeichnen sich durch eine systematische Vorgehensweise aus, die sich auf der Verwendung akzeptierter Standards wie den OWASP Top 10 oder dem Penetration Testing Execution Standard (PTES) basiert.
Ansprechperson
Haben Sie Fragen oder Hinweise zum Thema IT-Sicherheitsprüfungen und Penetrationstests? Wenden Sie sich gerne an Nimrod Briller.