Verweise auf die Bedeutung des Patch-Prozesses sowie Schwachstellen-Scanning & Co. kommen regelmäßig wieder – gleich einem IT-Security-Evergreen. Dennoch ist ein effektiver Prozess in den meisten Unternehmen nicht vorhanden. Ein Kommentar von Richard Werner, Business Consultant bei Trend Micro.
Im Lagebericht 2023 des BSI ist festgehalten, dass eine regelrechte Flut an neuen Schwachstellen aufgedeckt werden konnte. Das spiegelt die tägliche und stetig wachsende Aufgabe für IT-Security-Teams wider. Dieser ewig junge Security-Evergreen bleibt für IT-Experten demnach auch in Zukunft auf der ToDo-Liste: Routinemäßige Patch-Prozesse sowie Vulnerability Scanning & Co. durchzuführen und wo nötig veraltete Systeme auszutauschen, wenn keine Updates und Patches mehr zur Verfügung gestellt werden. Denn die am meisten von Cyberkriminellen verwendeten Sicherheitslücken sind älterer Bauart. Außerdem sollte nicht vergessen werden, veraltete Systeme auszutauschen, für die es kein Update mehr gibt. Hinzukommt, dass das BSI eine Beschleunigung im Patchmanagement dringend empfiehlt.
Diese Empfehlung wiederholt sich meist jährlich und fehlt in keinem Compliance-Update wie auch in keiner Gesetzesvorlage mit IT-Bezug, wie der NIS2-Direktive der EU für die Sicherheit von Netzwerk- und Informationssystemen. Trotzdem funktionieren die entsprechenden Prozesse häufig nicht reibungslos, weswegen Kriminelle mit Angriffen über diese Schwachstellen erfolgreich sind.
Wieso ist eine so bekannte Problematik noch nicht gelöst?
Patch-Prozesse gibt es in den meisten Unternehmen, sind diese doch häufig vorgeschrieben. Jedoch bezieht sich dieser Prozess in vielen Fällen ausschließlich auf Microsoft-Systeme. Bedingt durch seinen Quasi-Monopol-Charakter steht Microsoft traditionell im Fokus von Kriminellen. Vor allem Massenangriffe können deshalb wirksam durch entsprechende Prozesse gestoppt werden. Bei anderen Betriebssystemen oder Applikationen ist ein echter Prozess oft schwierig umzusetzen, da das Fachwissen fehlt und teuer eingekauft werden muss.
Im vergangenen Jahr hat Trend Micros Zero Day Initiative (ZDI) 1913 neue Hinweise („Advisories“) auf einzelne Schwachstellen in IT-Produkten veröffentlicht. Darüber hinaus sind aktuell über 1000 Sicherheitslücken bekannt, die aktiv von Kriminellen ausgenutzt werden. Microsoft sind dabei 296 (Stand 11.01.2024) zugeordnet. Betrachtet ein Patch-Prozess nur Windows & Co., deckt er also nur knapp 30 Prozent des Problems ab.
Software, Infrastrukturen und die Angriffe darauf werden komplexer
Hersteller sind dabei oft gezwungen, schnell zu patchen, vor allem, wenn Angriffe bereits bekannt werden (wie bei Zero Days). Bei einem normalen Patch-Zyklus von ca. 90 Tagen (mit Qualitätssicherung) steigt der Druck, wenn ein Angriff schon unterwegs ist. Das Problem dabei ist, dass die Qualität der Updates darunter leidet. Ein Patch deckt oft nicht alle Verwundbarkeiten ab und muss ständig nachgebessert werden. Auf der anderen Seite bedeutet eine verkürzte Qualitätssicherung auch, dass Kompatibilität sogar mit Standardsoftware nicht garantiert ist. Kunden erleben dadurch eine Flut an Patches, die nicht immer problemlos laufen. Wenn ein Patch hakt, sollte eigentlich das Risikomanagement des Unternehmens über die nächsten Schritte entscheiden, in der Realität übernimmt das häufig die IT-Abteilung. Diese entscheidet sich meist gegen die Installation und für den Regelbetrieb, der ansonsten unterbrochen werden müsste.
Gefährlichkeit von Schwachstellen
Für Unternehmen bedeutet dies, dass immer mehr, immer schlechtere Patches auf immer komplexere Umgebungen angewandt werden. Das eigentlich hilfreiche „Common Vulnerability Scoring System“ (CVSS) hat dabei nur bedingte Aussagekraft, da es nur eine allgemeine Bewertung der Kritikalität einer Verwundbarkeit darstellt. Über die individuelle Gefährlichkeit für das einzelne Unternehmen kann der Score naturgemäß keine Aussage treffen.
Kriminelle sind darauf spezialisiert, sich den Zugang zu Unternehmen zu verschaffen. Dazu reicht eine klassische Phishing-Mail, um Zugang zum System zu erlangen. Dann entscheidet häufig das Vorhandensein von EoP-Schwachstellen (Elevation of Privilege) über den Erfolg oder das Scheitern. Aber auch RCE-Sicherheitslücken (Remote Code Execution), die nur gegen Ausnutzung von außen geblockt wurden, nutzen Angreifer gern. Unternehmen, die in Zeitnot oder unter Verfügbarkeitsdruck stehen, müssen sich oft entscheiden, welche Softwarelücken sie priorisieren. Das wissen auch die Kriminellen und suchen ganz gezielt diese Schwachstellen, die ihnen höhere Privilegien ermöglichen bis sie auf der Domain-Admin Ebene angekommen sind.
Was ist zu tun?
Neben dem Security-Evergreen – Patchen und veraltete Software ersetzten – haben Unternehmen zusätzliche Möglichkeiten, sich zu schützen. Dabei kommt es nicht zuletzt auf die Priorisierung an. Die Gefährlichkeit von Sicherheitslücken kann sich im Laufe der Zeit auch ändern. Möglicherweise wird eine zunächst als nicht kritisch eingestufte Lücke durch neue Entwicklungen brandgefährlich. Andererseits häufen sich auch die Vorfälle um Schwachstellen in Anwender-Software (z.B. MoveIT) oder sogar in Unterapplikationen (Log4Shell). Ein Überblick über die vorhandenen Lücken im Unternehmen ist wichtig. Auch solche Verwundbarkeiten, die erst einmal nicht behoben werden, müssen unter Beobachtung bleiben. Nicht jede Spezialsoftware, nicht jedes Softwarepaket kann gepatcht werden, und nicht jedes kritische System läuft bei Updates problemlos. Für diese Fälle bedarf es einer engmaschigen Überwachung und zeitnaher Reaktionsmöglichkeiten für den Fall, dass sich der Zustand ändert oder Gefahr im Verzug ist.
Mit „virtuellem Patching“ gibt es eine leichter verträgliche Alternative zur Installation vieler Fixes. Dieses unterstützt die Risikoanalyse, die Einschätzung und Priorisierung von Aufgaben sowie die engmaschige Überwachung noch offener Lücken. Hierfür gibt es auch Lösungen, die ausschließlich im Netzwerk arbeiten, für den Fall, dass Endpunkte nicht verändert werden können oder dürfen.