Compliance und Risiko
Von „Nutzen Sie dies nicht“ bis Zero Trust
„Nutzen Sie dies nicht!“ ist ein Rat, den Unternehmen heutzutage immer seltener befolgen können. Sie sind oft gezwungen, Sicherheitsrisiken einzugehen. Die Verteidigungsstrategie bedeutet daher, diese zu kennen, einzuschätzen und zu managen.
Es ist der einfachste und sicherste Rat, um bekannten Problemen aus dem Weg zu gehen. Schon früh hören die Kinder „Mach das nicht!“, etwa eine heiße Herdplatte anfassen. Und doch gibt es nach wie vor genügend Brandblasen, denn trotz aller Vermeidungsstrategien gehört die Herdplatte immer noch zum Kochen, und damit bleibt eine Grundgefahr bestehen. Als heiße Herdplatte in der IT könnte das Thema veraltete Software gelten. Und damit sind nicht nur die Betriebssysteme gemeint, sondern auch Applikationen oder Softwarebausteine, die zusammengesetzt werden. All dieser „Code“ kann Fehler enthalten, wobei es sich nicht unbedingt um falsche Programmierung handelt sondern um Möglichkeiten, den Code für unlautere Zwecke zu missbrauchen.
Aufgrund neuer Technik oder Erkenntnisse kann plötzlich ein solider, Jahre alter Code als unsicher gelten. Fragt man dann den Hersteller oder unabhängige Security-Spezialisten um Rat, so lautet die Antwort: „Nutzen Sie den veralteten Code nicht!“. Unabhängig davon, ob zum neuesten Patch geraten wird oder zum Upgrade auf die nächste Versionsnummer – diese Empfehlung ist natürlich richtig. Und dennoch ist es für ein Unternehmen oft gar nicht so einfach dies umzusetzen. Denn das veraltete Betriebssystem gibt es nicht ohne Grund. Gleiches gilt für den Code, der eine wichtige Aufgabe erfüllt, wenn er in einer Applikation verbaut ist. So einfach mal ändern, kann zu anderen Problemen führen. Kommt es aber durch solche Sicherheitslücken zum Ernstfall, heißt es schnell „vermeidbare Fehler“, weil das grundlegende Problem doch längst bekannt ist.
Übersichtlichkeit in der IT
Analysiert ein Team beispielsweise im Rahmen eines Incident Response-Falls die aktiven Systeme eines Netzwerks, findet es nicht selten Überraschendes. So stellt sich etwa heraus, dass der FTP Server, der doch schon vor fünf Jahren abgeschaltet wurde, immer noch aktiv ist. Oder dass eine Abteilung weiter für Cloud Services zahlt, die gar nicht mehr genutzt werden. Auch der eine oder andere Access Point sollte so nicht existieren, aber dokumentiert ist auch nicht, warum er angelegt wurde oder wer dahintersteht.
Dies alles sind Themen, die nicht einzigartig sind, sondern je nach Größe eines Unternehmens in verschiedenen Variationen auftreten. Der „normale“ Mitarbeiter heute kennt sich mit der IT seit Jahren aus, und nicht wenige Menschen haben gute fortgeschrittene Fähigkeiten. Sie sind durchaus in der Lage, sich in IT-Fragen selbst zu helfen. Soweit so gut, aber dadurch entstehen neue Ansätze und Workarounds, die in der Situationsdynamik zwar durchaus sinnvoll sind, aber eben selten dokumentiert oder in Einzelfällen sogar an der internen IT vorbei eingerichtet werden (Stichwort „Schatten IT“). Natürlich sollte das nicht vorkommen… das wird jeder Security-Experte bestätigen.
Menschliche Fehler
Und nun noch der Klassiker: menschliche Fehler. Gemeint sind Konfigurationsfehler von Spezialisten verursacht. Das Einrichten von Cloud-Datenbanken ohne Passwort ist ein Paradebeispiel. Aber auch die Verwendung von leicht zu erratenden Passwörtern oder der Quick&Dirty Workaround, der mangels Zeit eben schnell eingerichtet und dann vergessen wurde. Auch bei der Prüfung der Konfiguration in Sicherheitslösungen gibt es die eine oder andere Überraschung. So werden Einstellungen nicht aktiviert, weil sie in früheren Versionen nicht vorhanden waren und der Anwender erst nachlesen möchte (Onlinehilfe), was sie tun. Dann aber fehlt dafür erst die Zeit und irgendwann ist es vergessen. Oder die sogar teuer angeschaffte Speziallösung bleibt erst einmal im virtuellen Regal, weil gerade die Zeit fehlt, ein vernünftiges Konzept zu bauen. Die Industrie hat dafür sogar ein Fachwort: Shelfware.
Was tun?
Als erstes natürlich hier der Hinweis: „Vermeiden Sie alles oben genannte!“. Doch nun die Praxis: Manche dieser Probleme sind nicht zu vermeiden, und es gibt Risiken, die wir eingehen müssen. Ein paar Tausend Sicherheitslücken werden im Jahr gepatcht. Der überwiegende Teil davon wird nie von irgendeinem Angreifer ausgenützt werden, weil zu komplex oder selten, um relevant zu sein. Das Risiko, das von einer solchen Lücke für ein Unternehmen ausgeht, ist vertretbar. Es kann sich aber, wie bereits angemerkt, im Laufe der Zeit ändern.
Hinzu kommt, dass Unternehmen auch immer mehr Software einsetzen, müssen sie sich doch dynamisch den Marktgegebenheiten anpassen und neue Geschäftsstrategien entwickeln. Quick&Dirty-Lösungen, sowie neue Architekturen sind oft nicht zu umgehen. Und was schnell zusammengesetzt wird, birgt nun mal das Risiko menschlicher Fehler. Eine Fehlervermeidungsstrategie kann nur zu Lasten der Dynamik gehen und wirkt selbst dann nicht immer hundertprozentig.
Die Schlussfolgerung ist klar. Wir müssen anfangen, unsere Risiken zu kennen, einzuschätzen und zu managen.
Erkennen und Einschätzen
So genanntes Secure Posture Management und Schwachstellen-Scanner helfen, die offenen Lücken zu verstehen. Wir erhalten damit zwar einen Überblick über alle offenen Probleme, aber die Bewertung orientiert sich nicht an der tatsächlichen Dringlichkeit, sondern an allgemeinen Werten. Ein Beispiel: Eine neue Sicherheitslücke wird gepatcht. Laut Hersteller erhält sie eine CVSS Score von 7 von 10 und gilt damit als „wichtig“ (Important). Schwachstellen dieser Art haben 2021 den überwiegenden Anteil der entdeckten ausgemacht (mehr als 60%). Da die Lücke von außen nicht direkt angreifbar ist, sondern einen internen Zugriff auf das System voraussetzt, wird sie in der Risikobetrachtung als mittelschweres Risiko eingestuft und hinter den zeitgleich veröffentlichten kritischen Lücken priorisiert. Durch einen Schwachstellen-Scanner wird die Lücke regelmäßig als eine von mehreren 100 als statistisches Risiko geführt.
Für Ransomware-Akteure sind diese Lücken genau deshalb interessant. Sie werden in vielen Unternehmen aufgrund von Zeitmangel schlicht nicht flächendeckend geschlossen, und den internen Zugriff erreicht der Erpresser durch gestohlene Zugangsdaten (z.B. präparierte Mails). Weiß ein Unternehmen, dass diese Sicherheitslücke von bösartigen Akteuren verwendet wird, sollte sie in der Priorität hoch gestellt werden um sie schnellstmöglich zu schließen.
Eindämmen
Auch wenn ein Unternehmen sich des erhöhten Risikos bewusst ist, heißt das nicht, dass genug Personal vorhanden ist, um die notwendigen Aufgaben zu übernehmen oder dass durch den Patch die Funktionsweise unternehmenswichtiger Applikationen unbeeinträchtigt bleibt. Rechtfertigt eine wie oben beschriebene Sicherheitslücke beispielsweise das Abschalten eines wichtigen Servers? Die Antwort ist „nein“, normalerweise nicht! Hier ist das Risiko erhöht, aber kritisch wird es nur, wenn ein Angriff darauf erfolgt.
Eindämmen bedeutet, dass das Sicherheitsteam das Risiko mindert, falls keine Möglichkeit besteht, es zu eliminieren. Eindämmen bezieht sich entweder auf die Auswirkungen oder die Eintrittswahrscheinlichkeit. Optionen wie Backup oder Cyberversicherungen mindern die Auswirkungen einer Cyberattacke, während Technologien/Strategien wie XDR (Extended Detection & Response) oder Zero Trust ihre Eintrittswahrscheinlichkeit verringern. Eine Mischung aus beidem sollte heutzutage in jedem Unternehmen vorhanden sein.
Sicherheitstechnologie ist dabei in der Lage, von sehr offen bis sehr restriktiv zu agieren. Der gewünschte Grad an Kontrolle ist meist von der Wichtigkeit der Daten abhängig und davon, wie schnell das System geschützt werden soll. Ein vollständig umgesetztes Zero Trust-Konzept etwa benötigt bis zu seiner Reife mitunter Jahre, wenn ein Unternehmen nicht in der Lage ist, einfach sein gesamtes Netzwerk komplett neu aufzusetzen. Bei XDR hängt es davon ab, inwieweit man schon durch den Einsatz von Security-Produkten die Basis geschaffen hat. Die Umsetzung eines wirksamen Konzepts inklusive Betreuung durch Fachpersonal (Managed Service) kann innerhalb von Tagen realisiert werden. Beides, Zero Trust und XDR, schließen sich nicht gegenseitig aus. Im Gegenteil, eine wirksame Zero Trust-Strategie enthält XDR um die Vertrauenswürdigkeit eines Systems im laufenden Einsatz zu prüfen.