Vulnerability-Scanner: Erkennen Sie Schwachstellen in Ihrer Stadtwerke-IT bevor es andere tun!

PrintMailRate-it

​veröffentlicht am 30. Juni 2020

 

Mit steigender Komplexität in der IT- und Kommunikationstechnik sowie der Vielzahl beteiligter Dienstleister stieg zum Glück auch die Qualität und Funktionalität von Tools, den gleichzeitigen Anstieg von potenziellen Schwachstellen zu bewältigen. Waren früher aufwendige, manuelle Tests notwendig, um die Sicherheitseinstellungen und -zustände von IT-Komponenten zu beurteilen, können diese heute von sogenannten Schwachstellen-Scannern übernommen werden – eine sinnvolle Entwicklung, jedoch mit Schattenseiten.


In der jüngsten Vergangenheit wird die IT-Sicherheit von Stadtwerken wieder recht lebhaft diskutiert. Auslöser sind einerseits folgenschwere Cyber-Attacken auf Stadtwerke und eine – auch infolge der Corona-Pandemie – gestiegene Gefährdungslage. Andererseits sind es gesetzgeberische Initiativen, um ebensolchen Gefährdungen entgegenzuwirken (z.B. KRITIS-Verordnung, ISMS). Zahlreiche Stadtwerke fokussieren bislang den Aufbau eines formalen IT-Sicherheitskonzeptes. Allerdings decken solche eher formalen Konzepte regelmäßig nur Teilbereiche des IT-Systems ab (z.B. Steuerungssysteme für die Energienetze) und auch die konkrete, sich mitunter schnell ändernde Gefährdungslage wird oftmals nicht hinreichend einbezogen. Gerade hier bietet sich in der Praxis der Einsatz digitaler Tools (Ratings und Scanner) an, die die häufigsten (und damit auch potenziellen Angreifern bekannten) Schwachstellen systematisch untersuchen und checklistenartig abarbeiten. In einem ersten Artikel haben wir bereits über das Potenzial von Cyber-Security Ratings berichtet. Cyber-Security Ratings nehmen die Außensicht auf das Unternehmen ein und verwenden primär öffentlich verfügbare Informationsquellen (z.B. Webseiten, IP-Adressen, Protokolle), die auch potenziellen Angreifern problemlos zugänglich sind. Im Unterschied hierzu beleuchten Vulnerability-Scanner das Unternehmen und mögliche Schwachstellen aus der Innensicht des Unternehmens.

Vulnerability-Scanner, zu Deutsch Schwachstellen-Scanner, können Endgeräte wie Desktops, Notebooks oder Server, Netzwerkkomponenten bis hin zu IoT daraufhin untersuchen, ob typische Einrichtungs-, Wartungs- oder Betriebsfehler gemacht wurden und werden. Zudem kann erkannt werden, ob es Hinweise gibt, welche auf einen Angriff hindeuten.

Der Vorteil solcher Scanner ist, dass diese ohne große kapazitative Bindung eine Vielzahl an Systemen (IT-Komponenten), also hoch skalierbar prüfen können – ein Aufwand, welcher manuell von je her gescheut wurde, da in der IT fast immer die Ressourcen gefehlt haben.

Ein Vulnerability-Scanner verfügt in der Regel über ein enorm großes Repertoire an Einzelprüfungsschritten, welche in der Regel in folgende Richtung gehen:

  • Aktualität der eingespielten Patches und Sicherheitsupdates
  • Vorgenommene Einstellungen, welche für die Sicherheit von Bedeutung sind
  • Offene Kommunikationskanäle, welche typischerweise in bestimmter Kombination nicht geöffnet sein sollten
  • Installierte bzw. laufende Services auf den Endgeräten, welche unter normalen Bedingungen nicht vorkommen sollten
  • Erkannte Muster von Spuren oder Verhalten, welche auf einen Angriff hindeuten
  • Etc.

 

Alle diese Findings werden zur besseren Handhabung in mindestens drei, nach Sicherheitsgesichtspunkten erstellten Kategorien eingeteilt: Hohe, mittlere oder niedrige Kritikalität.

So haben es die eigenen Sicherheitsfachleute (aus der IT oder Revision etc.) leichter, sich auf die einzelnen Feststellungen zu konzentrieren, welche aus Erfahrung einen hohen Einfluss auf die Resilienz des geprüften Systems haben können.

Denn, hier wird auch ein Nachteil – wenn man überhaupt von Nachteil sprechen darf – deutlich. Ein Scanner findet in der Regel enorm viele Schwachstellen, welche allein von der Anzahl her auch bearbeitet werden müssen. Bei der Bearbeitung wird man als Sicherheitsfachmann dann zudem Findings vorfinden, welche entweder keine Schwachstellen darstellen (False Positive) oder mit Blick auf das gesamte Sicherheitssystem nicht als Schwachstellen einzuordnen wären, da sie durch andere Sicherheitsmaßnahmen mitigiert wurden.

Hieraus lässt sich folgern, dass der Einsatz – und hier insbesondere der dauerhafte – Einsatz eines solchen Systems wohl überlegt und gut integriert stattfinden sollte. Findings in der Höhe von mehreren Hundert pro System sind nicht unüblich. So ist der Gedanke, mit einem Schwachstellen-Scanner „Zeit“ einzusparen, nicht zutreffend. Deutlich muss sein, dass durch das „Hinsehen“ mittels eines Scanners die Handlungsbedarfe erst deutlich werden – sprich: die Arbeit hierzu auch steigt!

Ein Einsatz sollte daher gut geplant und organisiert werden:

  • Der Scope: Der Einsatz eines Scanners ist in der Regel pro Endgerät zu bezahlen und das kann durchaus kostenintensiv sein. In jedem Fall sollte überlegt werden, welche Endgeräte (Server, Netzwerkkomponenten, Desktops, Notebooks etc.) und in welchem Turnus eingebunden werden sollen.
      • Das Team: Es sollte bedacht werden, dass es zwei Arten von Findings geben wird: Findings, bei welchen Zeit zur Behebung bleibt und solche Findings, welche eine sofortige Reaktion erfordern.
        - Ein entsprechende Organisation sollte angelegt werden, dass bei einer hohen Bedrohung sofort gehandelt werden kann.
        - Die Abarbeitung der Findings muss geordnet und nachvollziehbar sein. Dies erfordert ebenso eine Organisation zwischen prüfendem Team und abarbeitenden Team.
  • Der Erfolg: Ein Scanner lädt dazu ein, die Schwachstellen im Idealfall laufend zu überwachen. Das erfordert jedoch eine gute Organisation der Findings und der zugehörigen Maßnahmen, sodass ein Fortschritt erreicht und auch erkennbar wird. Der Erfolg bleibt auch bei Einsatz eines solchen Systems immer Teamarbeit!
  • Tue Gutes und sprich darüber: Ein solcher Scanner erscheint zunächst als Werkzeug der IT. Aber mit den richtigen Reports ist es ein ideales Werkzeug zur Unternehmenssteuerung. Denn in der Regel sind die Findings immer verschiedenen Systemen und somit Verantwortungsbereichen zuzuordnen. Und die Behebung der Schwachstellen kann oftmals nur dezentral erfolgen. Somit kommt einem Reporting über den Fortschritt der Behebung von Sicherheitslücken bis hoch in das Top-Management eine hohe Bedeutung zu. Aufgrund der Sorgfalts- und Legalitätspflicht der Geschäftsleitung erlangt ein solches System auch Bedeutung, da es als Nachweis für gute Unternehmensführung herangezogen werden kann.

 

Fazit:

Vulnerability-Scanner sind ein mächtiges und wirksames Werkzeug im Kampf gegen IT-Risiken. Doch der konkrete Einsatz will gut geplant sein und sollte an die konkreten Verhältnisse des Stadtwerks angepasst sein. Gerne stellen wir Ihnen den Vulnerability-Scanner anhand eines konkreten Beispiels vor und besprechen mit Ihnen die Pros & Contras für einen Einsatz in Ihrem Unternehmen.

 

Sie haben noch offene Fragen? Kontaktieren Sie uns!

Anrede
Titel
Vorname
Nachname
Branche
Firma
Straße/Hausnummer
PLZ
Ort
Land
Telefon
E-Mail *
Frage *
Einwilligung *
Datenschutzerklärung *


Helfen Sie uns, Spam zu bekämpfen.


Captcha image
Show another codeAnderen Code generieren



Folgen Sie uns!

LinkedIn Banner

Aus dem Newsletter

​​​​​Stadtwerke Kompass
Ausgabe 20/2020

Kontakt

Contact Person Picture

Hannes Hahn

CISA - CSP - DSB, IT-Auditor IDW

Partner, Rödl IT Secure GmbH

+49 221 9499 092 00

Anfrage senden

Contact Person Picture

Falk Hofmann

ISO/IEC27001/KRITIS -Auditor

Partner

+49 30 810 795 84

Anfrage senden

Wir beraten Sie gern!

Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu