Gefühlt häufen sich die Meldungen über Hackerangriffe, die bei namhaften Unternehmen erfolgreich bekannte Schwachstellen ausgenutzt haben. So geschehen Anfang des Jahres bei WhatsApp: Eine Schwachstelle in der App ermöglichte es Hackern, mit einem einfachen SMS-Text auf Dateien der Opfer zuzugreifen.
Bei solchen klaffenden Sicherheitslücken stellt sich die Frage, was diese Unternehmen sonst noch alles bisher übersehen haben und wieso diese Unmengen an Nutzern und Nutzerdaten nicht besser geschützt sind.
Auch wenn WhatsApp diese Lücke geschlossen hat, macht der Vorfall eine Diskussion über die richtige Strategie beim Schwachstellenmanagement nötig. Ein kürzlich veröffentlichter Gartner-Bericht untersuchte die Verbreitung von Bugs seit Anfang der 2000er Jahre. Darin wurde festgestellt, dass die Zahl der öffentlich bekannt gemachten Schwachstellen von 2006 bis 2016 um über 30 Prozent gestiegen ist. Für die IT-Infrastruktur stellen viele dieser bekannten Sicherheitslücken eine massive Gefahr dar.
Risiko abschätzen
IT-Teams haben häufig den Ehrgeiz, „immer und überall alles zu patchen“. Dieser Ansatz ist zwar lobenswert und birgt ein inhärentes Risiko: Indem man versucht alle erkannten Schwachstellen gleichrangig zu beheben, bleiben kritische Lücken deutlich länger offen. Aber gerade solche, allgemein bekannten, aber nicht gepatchten Schwachstellen sind ein vorrangiges Ziel von Cyberangriffen.
Eine deutlich effektivere und kostengünstigere Patching-Strategie besteht darin, sich zuerst auf die größten Risiken zu konzentrieren. Laut der Gartner Studie gibt es etwa 50 bis 300 Hochrisiko-Schwachstellen pro Jahr, wie sie das Common Vulnerability Scoring System (CVSS) definiert. Auf Basis dieser Informationen, sollten IT-Teams dann untersuchen, welche dieser aufgeführten Schwachstellen in ihrem Unternehmen am ehesten ausgenutzt werden können. Als Ergebnis erhält man dann die Fälle, denen sich das Team mit Hochdruck widmen sollte.
Leichter gesagt als getan
Diese ziemlich offensichtliche Lösung ist den meisten IT-Teams bereits bekannt. Mit der Umsetzung ist es aber leichter gesagt als getan: Ebenso wie die „Alles Patchen“ Strategie ist auch die Auseinandersetzung mit der CVSS-Einstufung zeitaufwändig und für kleine IT-Teams nicht immer möglich. Hinzu kommt, dass Patches an kritischen Systemen nicht nur verteilt, sondern vorher auch auf ihre Kompatibilität getestet werden sollten. Ein großflächiges Patch Roll Out, das die Office IT lahmlegt, kann sonst leicht mehr Schaden anrichten, als es verhindert.
Security Automation durch UEM
Gegen diesen Zeitmangel kann ein Unified Endpoint Management (UEM) Abhilfe schaffen. Durch Automatisierung beim Finden von Schwachstellen und Verteilen der entsprechenden Patches kann die benötigte Zeit für die Risikoabschätzung und das Testen der Patches gewonnen werden. Im Idealfall ist es damit dann auch möglich, alle nicht-kritischen Bugs zeitnah zu patchen.
Durch Schwachstellenmanagement mit einem risikobasierten Ansatz und einer UEM-Lösung sind Organisationen so angemessen gegen zukünftige Angriffe gewappnet.