Richtig patchen: 12 Tipps für Ihr Schwachstellen-Management

Foto: Novikov Aleksey – shutterstock.com

Wie wichtig es ist, Schwachstellen in IT-Umgebungen zu beheben, wird zunehmend auch Führungskräften bewusst. Vor allem die Zunahme an eklatanten Sicherheitslücken, die sich häufig als Folgen ungepatchter Systeme aufgetan haben, hat dazu beigetragen.

Die Sicherheitsverantwortlichen, mit denen wir für die CSO gesprochen haben, sind sich einig, dass das Schwachstellenmanagement nicht ad hoc oder mal schnell zwischendurch aus dem Handgelenk gehandhabt werden sollte. Vielmehr ist eine klare Struktur gefragt, damit Unternehmen schnell handeln können, sollten Sicherheitslücken auftauchen. Befolgen Sie diese 12 Tipps, können Sie sich ein erstklassiges Vulnerability-Management aufbauen:

1. Die Aufgaben verteilen

“Bevor Sie Lösungen einkaufen, Prozesse einziehen oder Verfahren definieren, müssen Sie ein Team aufbauen”, sagt Daniel Floyd, CISO von Blackcloak. Seiner Erfahrung nach brauchen CISOs nicht nur eigene Mitarbeiter, die sich um das Patching kümmern, sondern sollten auch andere Abteilungen mit einbeziehen. Damit meint er Kollegen, die sich um die interne und externe Kommunikation kümmern. Sie sollten nach außen über die Auswirkungen berichten können, mit denen das Unternehmen aufgrund einer Sicherheitslücke konfrontiert sein könnte, und die eigenen Mitarbeiter aufklären, wie sich die Maßnahmen auf ihre Arbeit auswirken werden.

2. Die IT-Assets sichten

Ein weiteres grundlegendes Element für jedes effektive Schwachstellen-Management ist ein aktuelles Asset-Inventar. “Insbesondere in den heutigen modernen IT-Umgebungen mit verschiedensten Komponenten, Remote-Mitarbeiterverbindungen und IoT-Bestandteilen ist es schwer, den Überblick über alle Teile zu behalten”, sagt Floyd. Dazu kämen außerdem Cloud-, SaaS- und Open-Source-Elemente. Sich diese Arbeit zu machen, sei jedoch entscheidend, wie Alex Holden, CISO bei Hold Security und Mitglied der Information Systems Audit and Control Association (ISACA), berichtet. Denn nur wenn Unternehmen ihr IT-Inventar kennen, seien sie in der Lage, Sicherheitslücken ausfindig zu machen, egal wo diese auch auftreten. Holden betont, dass hierbei nicht nur bestehende, sondern auch neu hinzukommende Komponenten in der IT-Umgebung beachtet und erfasst werden müssen.

3. Die IT-Landschaft verstehen

Haben CISOs nun ein Asset-Inventar geschaffen, sollten sie einen “obsessiven Fokus auf Transparenz” legen, sagt William MacMillan, Senior Vice President of Information Security bei Salesforce. “Sie müssen verstehen, wie Ihre Umgebung vernetzt ist, wo die Daten entlangfließen und welche Integrationen wie ineinander greifen.” Für MacMillan ist das Verständnis für die eigene IT-Landschaft das Fundament eines effektiven Vulnerability-Managements.

4. Gründlicher Scannen

Den Experten zufolge, würden Unternehmen zwar regelmäßig Schwachstellen-Scans durchführen, seien dabei allerdings nicht gründlich genug. Deshalb empfehlen sie aggressivere Scan-Praktiken, die mehrere Stufen enthalten. So sollten die Sicherheitsteams Floyds Meinung nach nicht nur ihre Netzwerke regelmäßig scannen, sondern beispielsweise auch speziell in Anmeldeinformationen nach schwachen Passwörtern oder fehlenden Patches in bestimmter Software suchen.

5. Klare Workflows

“Ausgereifte, gut etablierte Programme für das Schwachstellen-Management verfügen über eindeutige Workflows, die dokumentiert sind und festlegen, was wann passiert und wer für was verantwortlich ist”, sagt MacMillan. Seiner Meinung nach haben vor allem große Unternehmen bereits verstanden, dass Sicherheitslücken eine existenzielle Bedrohung für sie sein können, und dass sie fokussiert vorgehen müssen, um die Gefahr zu bannen. Er empfiehlt, Best Practices zu befolgen und Automatisierungslösungen einzusetzen.

Darüber hinaus sollten alle Mitarbeiter, die am Schwachstellen-Management beteiligt sind, Zugriff zu den gleichen Daten und Bedrohungsinformationen haben, um ein “gemeinsames Betriebsbild” zu entwickeln.

6. KPIs festlegen und verfolgen

“Um die Wirksamkeit Ihrer Kontrollen zu validieren und dem Management zu beweisen, dass Ihr Schwachstellen-Management effektiv ist, sollten Sie Metriken nutzen, die über die Leistung berichten”, sagt Niel Harper, Vorstand der ISACA. Zum Bespiel könnten CISOs den Prozentsatz der kritischen Schwachstellen, die rechtzeitig behoben wurden, und den Prozentsatz der kritischen Schwachstellen, die nicht rechtzeitig behoben wurden, vergleichen. Dadurch können sie den aktuellen Status Quo messen und Verbesserungen im Laufe der Zeit verfolgen.

Weitere KPIs könnten sein:

der Prozentsatz der inventarisierten Assetsdie Zeit bis zur Erkennung von Sicherheitslückendie durchschnittliche Reparaturzeitdie Anzahl der Vorfälle aufgrund von Schwachstellen

“All diese Kennzahlen geben dem Management eine Vorstellung davon, wie gut Ihr Schwachstellen-Management-Programm funktioniert”, erklärt Harper.

Lesetipp: So überzeugen Sie Ihre Geschäftsführer von Security-Investitionen

7. Benchmarks erstellen

“Tracking-KPIs können anzeigen, ob sich Ihr eigenes Schwachstellen-Management-Programm im Laufe der Zeit verbessert. Aber Sie müssen sich auch an den Bemühungen anderer Unternehmen messen lassen, um festzustellen, ob Ihr Programm im Vergleich zum Wettbewerber effektiv ist”, so Harper weiter. Mithilfe von Benchmarks könnten Unternehmen sich sogar Alleinstellungsmerkmale erarbeiten, die sich positiv auf den Umsatz auswirken. Er gibt CISOs den Tipp, sich an Managed Services Provider zu wenden, da diese oft über die Daten für Benchmarks verfügen.

8. Einen Verantwortlichen haben

Um ein Schwachstellen-Management-Programm erfolgreich zu machen, brauchen Organisationen jemanden, der dafür verantwortlich zeichnet und sowohl für Erfolge wie auch für Misserfolge zur Rechenschaft gezogen wird. “Es muss eine klar definierte Position sein, jemand mit Führungsqualitäten. Aber es sollte nicht der CISO sein, weil der CISO nicht die Zeit hat, ständig KPIs nachzuverfolgen”, empfiehlt Frank Kim, Gründer von ThinkSec, einem Sicherheitsberatungsunternehmen.

Vor allem größere Unternehmen haben seiner Erfahrung nach genug Arbeit mit dem Schwachstellen-Management, um jemanden als Vollzeitkraft dafür einzustellen. Kleinere und mittlere Unternehmen, die für diese Aufgaben keinen Vollzeit-Manager benötigen, sollten sie dennoch zu einem offiziellen Teil der Position des Verantwortlichen machen. “Haben Sie keinen Verantwortlichen für das Schwachstellen-Management, werden alle nur mit dem Finger aufeinander zeigen.”

9. Anreize schaffen

Auch wenn die Verantwortung für das Auffinden und Beseitigen von Sicherheitslücken bei einer Person liegen sollte, empfehlen die Sicherheitsexperten Anreize für alle zu schaffen, um die KPIs dauerhaft zu verbessern. Egal ob die Boni zusätzliche Urlaubstage darstellen, mehr Vergütung oder anderweitige Anerkennung: Sie sollten für alle Mitarbeiter des Unternehmens gelten und verdeutlichen, dass es sich lohnt, aufmerksam gegenüber Sicherheitslücken zu sein.

10. Ein Bug-Bounty-Programm erstellen

Passend zu Tipp neun, können sich auch sogenannte Bug-Bounty-Programme lohnen. Hierbei zahlen Unternehmen Prämien an externe Hacker, wenn diese Sicherheitslücken melden. Für MacMillan ist diese Methode ein wichtiger Teil der Sicherheitsstrategie von Salesforce. Der SVP empfiehlt CISOs, Bug-Bounty-Programme als Teil ihres Schwachstellen-Managements zu implementieren. Auch kleinere Unternehmen können ein internes Bug-Bounty-Programm einrichten, das Mitarbeiter belohnt, die Schwachstellen finden oder mit externen Parteien zusammenarbeiten, die solche Dienste anbieten.

11. Klare Prioritäten

Die Anzahl der öffentlich bekannt gegebenen Sicherheitslücken auf der CVE-Liste (Common Vulnerabilities and Exposures) wächst und wächst. Im Jahr 2011 gab es 4.813 CVEs, neun Jahre später waren es laut einer Analyse von Kenna Security bereits 11.463. Angesichts dieser hohen Zahlen sind sich die Experten einig, dass Unternehmen priorisieren müssen, welche Schwachstellen die größten Risiken für sie darstellen, damit sie diese zuerst angehen können.

Peter Chestna, CISO bei Checkmarx, stimmt dem zu, sagt aber auch, dass Unternehmen klare Erwartungen haben müssen. Sie sollten sich nur auf die Schwachstellen konzentrieren, die sie tatsächlich angehen wollen: “Wenn ein Unternehmen beispielsweise nur plant, Schwachstellen zu beheben, die als hoch eingestuft werden, warum sollte man dann überhaupt nach risikoarmen Schwachstellen suchen?” Verfolgen die Sicherheitsteams die falschen Prioritäten, verschwenden sie damit Ressourcen und laufen Gefahr, kritische Probleme zu übersehen.

“Legen Sie stattdessen Regeln für die Schwachstellen fest, denen Sie folgern möchten und tatsächlich auch folgen können”, sagt Chestna. “Und dann halten Sie sich daran.” Klare Prioritäten würden Organisationen helfen, sich besser auf die Vermeidung von Risiken zu konzentrieren.

12. An den Vorstand berichten

Hier schließt sich der Kreis zum ersten Tipp: Nicht nur alle Mitarbeiter des Unternehmens sollten über gefundene Schwachstellen und deren Auswirkungen Bescheid wissen. Auch alle Stakeholder und der Vorstand sollten über die Patching-Arbeiten auf dem Laufenden gehalten werden. Die Experten mahnen: CISOs sollten ihr Management laufend über das Risiko, welchem das eigene Unternehmen durch Schwachstellen ausgesetzt ist, informieren. (ms)

Lesetipp: Die 6 besten Vulnerability-Management-Tools

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.