Ransomware
Windows 11 ein Muss?
Gerade müssen Unternehmen entscheiden, ob sie auf Windows 11 updaten, da der Support für Windows 10 ausläuft. Anlass genug, um über notwendige Möglichkeiten zu sprechen, wenn Systeme aus unterschiedlichen Gründen nicht aktualisiert werden können.
Save to Folio
Einem Bericht von Heise zufolge stagniert der Umzug auf Windows 11. Viele Kunden bleiben bei der Version 10, obwohl deren Support im Oktober ausläuft und dann keine Updates mehr verfügbar sind. Wenn Sie wissen wollen, welche Anreize zu einem Wechsel geboten werden, empfehlen wir die Microsoft-Werbekampagne für Windows 11. Selbstverständlich raten auch wir zu einem Wechsel, schon deshalb weil Sie sonst keine Sicherheits-Updates mehr erhalten und das ein vermeidbares Risiko ist.
Für alle die, die es nicht tun…
Entscheidet sich ein Unternehmen im Einzelfall gegen diesen Schritt, so ist die Begründung Sache der Verantwortlichen. Als Sicherheitsunternehmen ist es unsere Aufgabe, unsere Kunden bestmöglich zu beraten und ansonsten die getroffene Entscheidung zu unterstützen.
Die Abkündigung eines Betriebssystems ist auch ein Anlass dafür, über das Thema „nicht aktualisierte/aktualisierbare Systeme“ zu sprechen, betrifft es doch nicht nur dieses Problem. Oft können Unternehmen aus Kompatibilitätsgründen auch verfügbare Patches nicht einspielen. In anderen Fällen dürfen sie nicht, weil das System möglicherweise einem Dienstleister gehört oder laufende Serviceverträge eine Veränderung nicht erlauben.
Für diese Fälle gibt es Möglichkeiten, die aber natürlich auch auf die neue Windows Debatte anwendbar sind.
Erste Überlegungen
Bevor ein Unternehmen über mögliche Lösungen nachdenkt, gilt es erst einmal zu bestimmen, wie lange die Überbrückungsphase dauert, bevor eine Aktualisierung erfolgen kann. Wird ein Unternehmen beispielsweise von der Abkündigung überrascht und muss nur ein paar wenige Wochen überbrücken, reicht es meist, das relative Risiko zu überwachen (dazu mehr unter „Cyber Risk and Exposure“). Allerdings sollte dies sowieso zum Standard in modernen Unternehmen gehören.
Die Erfahrung zeigt, dass die Kompromisse, die man dabei eingeht, sich oft länger halten als ursprünglich geplant. Ist beispielsweise gerade kein Geld für den Umstieg auf Windows 11 da, so ist das nach einem weiteren problemlosen Jahr wahrscheinlich immer noch nicht oberste Priorität im Unternehmen. Sind die Verantwortlichen nicht in der Lage klarzustellen, wie gefährlich die nicht erfolgte Aktualisierung tatsächlich ist, bleibt ein Umstieg meist ein Diskussionspunkt, der in den Tagesordnungen immer weiter nach hinten rückt.
„Cyber Risk and Exposure“-Management
Die tatsächliche Gefahr bezüglich eines veralteten Systems liegt zum einen in den vorhandenen Sicherheitslücken und zum anderen in seiner Exponiertheit im Netzwerk. Dabei geht es um Fragen, etwa wie Zugriffe erfolgen oder ob die fehlenden Patches überhaupt von Angreifern ausgenutzt werden, aber auch, welche Sicherheitsmaßnahmen existieren, um Schaden zu verhindern. Eine solche Analyse ermöglicht die Einschätzung des tatsächlichen Risikos. Dann kann daraus abgeleitet werden, ob Minderungsmaßnahmen ausreichend verfügbar sind oder zusätzliche zu implementieren sind.
Risikofaktoren in einem Cyber-Risk-and-Exposure (CREM)-Managementverfahren sind nicht nur auf Sicherheitslücken begrenzt, sondern schließen auch Zugriffsverfahren, Konfigurationen und anderes mit ein. Das Risiko kann sich ändern, wenn beispielsweise unsichere Systeme eine Verbindung aufbauen wollen oder Sicherheitslücken neu von Tätern verwendet werden. Entsprechende Minderungsmaßnahmen (z.B. Zero Trust-Verfahren) lassen sich im Vorfeld einrichten und in ihrer relativen Wirksamkeit abschätzen.
CREM-Konzepte sind dazu gedacht, die Eintrittswahrscheinlichkeit eines Cybervorfalls zu minimieren. Sie eigenen sich aber auch dafür, Risiken genauer zu beschreiben und sogar monetär zu bestimmen, was die Einschätzung von Verhältnismäßigkeiten bei der Beschaffung von Minderungsmaßnahmen erleichtert. Die Verfahren sind eng verwandt mit so genannten Extended Detection-und-Response (XDR)-Angeboten und werden häufig mit diesen gekoppelt. Sie sind für ein System nicht belastend und verändern seine Struktur nicht.
Detection & Response
Das Erkennen von Gefahren gefolgt von unmittelbarer Reaktion kommt aus dem Bereich der direkten Verteidigung im Fall eines vorhandenen Angriffs. Anders als beim CREM-Verfahren setzt es erst ein, wenn aufgrund eines existierenden Vorfalls bereits von einem Schaden für das Unternehmen ausgegangen werden muss und soll lediglich das Ausmaß eindämmen. Entsprechend beobachtet das Sicherheitsteam ein System (EDR) oder dessen Netzwerkverbindung (NDR) auf ungewöhnliche Aktivitäten.
Wird verdächtiges Verhalten erkannt, erfolgt eine Meldung an das zentrale Security Operation Center (SOC), das dann vordefinierte Maßnahmen, etwa das Trennen der Verbindung einleiten. Detection & Response-Verfahren sind Notfallmaßnahmen, die das schlimmste, beispielsweise Datenmanipulation/Verschlüsselung verhindern sollen. Sie eignen sich in hoch kritischen Umgebungen vor allem dazu, ein verwundbares System gegen bösartige Verbindungen zu schützen, indem auf gefährdenden Rechnern und deren Verbindungen Detection&Response-Verfahren eingesetzt werden, um möglichst schnell den Vorfall zu bemerken. Erkennt ein Team den Angriff erst auf dem hoch kritischen System, ist das meistens zu spät.
Virtual Patching – Intrusion Prevention (IPS)
Die aus dem Netzwerk stammende Technologie des IPS und seiner Trend Micro-spezifischen Untergattung des „virtuellen Patchen“, überwacht die Verbindungen eines Systems. Anhand der übertragenen Datenpakete lässt sich festgestellt, ob ein bösartiger Datenstrom gefährliche Inhalte transportiert und Schwachstellen in dahinter liegenden Systemen ausnutzen soll. IPS-Technologie ist zwar meist standardmäßig in Next Generation Firewall-Systemen enthalten, wird aber dort oft aufgrund hoher False/Positive-Erkennungen und vor allem übermäßiger Netzwerklast nur in einen Erkennungsmodus geschaltet (Intrusion Detection). Das System gibt es u.a. auch als netzwerkbasierende Detection & Response (NDR)-Technologie.
Das Trend Micro-spezifische „Virtual Patching“ unterscheidet sich technisch von anderen IPS-Systemen, da es Schwachstellen und nicht Exploits direkt betrifft. Damit lassen sich False/Positives minimieren und der Durchsatz optimieren. Zudem können Experten nachweisen, welche Schwachstelle ausgenutzt werden sollte.
Virtual Patching ist besonders dann wichtig, wenn Angreifer Sicherheitslücken neu ausnutzen oder sogar Lücken nutzen, für die es noch keinen Patch gibt (Zero Day). Die Technik erlaubt es, schnell, und für das dahinter liegende System unproblematisch zu reagieren. Virtuelles Patching ist für Endpunkte, als Netzwerk-Appliance und Cloudservice verfügbar. Die Trend Micro Netzwerklösung TippingPoint kann auch viele noch nicht veröffentlichte („undisclosed“) Sicherheitslücken abgedecken. Dies dient der Entdeckung hoch spezialisierter Täter aus dem politischen Umfeld. TippingPoint wurde für Hochgeschwindigkeit- und Hochsicherheitseinrichtungen entwickelt.
Allgemein greifen IPS-Verfahren ebenfalls erst dann, wenn ein existierender Angriff Schaden verursachen soll. Sie schützen die hinter ihnen liegenden Systeme.
Endpoint oder Netzwerk?
Neben der technischen Überlegung, was zu tun ist, spielt die Frage der Umsetzung also des Formfaktors eine mindestens ebenso wichtige Rolle. Alle hier vorgestellten Technologien können sowohl mit Endpunktlösungen als auch mit netzwerkbasierenden Systemen abgebildet werden. Ist, wie im Falle der Windows 10-Abkündigung, die Herstellerunterstützung durch Sicherheitsanbieter noch gegeben, so können vorhandene Architekturen die benötigten Aufgaben weiterhin ausführen und sollten lediglich nach obigen Empfehlungen ergänzt werden.
Bei Fehlern hilft der Anbieter des Agenten meist noch, auch wenn dieser keine Gewähr mehr für Probleme mit dem Betriebssystem übernehmen wird. Abhängig vom Hersteller läuft dieser Support irgendwann aus. Zudem bedeuten endpunktbasierte Scanner auch eine Belastung für das System, die mit zunehmendem Alter ein Risiko darstellt.
Die Alternative ist netzwerkbasierende Technik zu verwenden. Diese belastet die dahinter liegenden Computer deutlich weniger und hält vor allem Angriffe auf, bevor sie auf anfällige Systeme treffen. Der Nachteil von Netzwerksicherheit ist, dass eine Umgehung möglich ist, wenn beispielsweise mit USB-Sticks oder wie bei Supply Chain-Angriffen mit verschlüsselter Kommunikation logische Umgehungen gebaut werden. Auch stellen sie einen „Single Point of Failure“ dar. Ist der Angriff durchgekommen, kann er nicht mehr aufgehalten werden. Im Idealfall wird deshalb beides verwendet, um einen Rundumschutz nicht nur für die verwundbare Infrastruktur zu schaffen.
Fazit
Aus IT-Security-Sicht ist der sicherste Weg immer, alle herstellereigenen Aktualisierungen einzuspielen, was auch den Umstieg auf eine neuere Version beinhaltet. Entscheidet sich ein Unternehmen dagegen, sollte es CREM-Verfahren einsetzen, um das tatsächliche Risiko einzuschätzen, zu beobachten sowie Minderungsmaßnahmen zu definieren und umzusetzen.
Die weitere Absicherung des Systems ist abhängig von seiner Kritikalität und seiner Belastbarkeit. Netzwerklösungen sind dabei schonender für das Objekt und vor allem bei langfristigem Einsetzen ein Muss. Sie sind aber auch etwas teurer. Endpunktbasierte Investitionen sollten auf ihre Zukunftstauglichkeit, besonders bei veralteten Systemen, untersucht werden.
Handelt es sich um temporäre Maßnahmen zur Überbrückung weniger Monate, sind sie aber meist die präferierte Wahl. Je länger Systeme nicht mehr aktualisiert werden (können), desto höher wird das Risiko, so dass die Überlegung, wie lange ein Verfahren bestehen muss und ob weitere Verzögerungen erwartbar sind, zuerst erfolgen sollte.
Die IT-Sicherheitstechnik gestattet theoretisch unbegrenzten Einsatz existierender Lösungen, aber je älter die Software wird, desto höher das Risiko und teurer die Gegenmaßnahmen. Wenn möglich, ist eine Kombination verschiedener Netzwerk- und Endpoint-basierter Technologien empfehlenswert. Idealerweise als Plattformansatz, weil Maßnahmen von der Planung bis zum Notfall zentral gesteuert und überwacht werden können. Sprechen Sie mit IT-Sicherheitsfachleuten um individuelle Lösungen zu finden. Und sehen Sie sich interessante Technologien einmal im Betrieb an.