Beispiel Equifax

Warum ein funktionierendes ITAM unverzichtbar ist

Ohne ein wirksames IT Asset Management (ITAM) sind Unternehmen extrem verwundbar. Der Angriff auf die amerikanische Wirtschaftsauskunftei Equifax im Jahr 2017 hat gezeigt, was schlimmstenfalls passieren kann.
Von  und
CSO | 29. September 2022 06:04 Uhr
IT-Asset Management (ITAM) kann CISOs bei ihrer Arbeit unterstützen.
IT-Asset Management (ITAM) kann CISOs bei ihrer Arbeit unterstützen.
Foto: Alfa Photo - shutterstock.com

Es ist unmöglich, etwas zu schützen, das man nicht kennt oder von dessen Existenz man nichts weiß. Hier kommt IT-Asset Management (ITAM) ins Spiel, ein Verfahren zur Nachverfolgung und Verwaltung von IT-Assets. Unternehmen führen ITAM in der Regel aus einer Kombination von drei Motiven ein: Es geht darum Kosten zu senken, Risiken zu minimieren und alle IT-Funktionen gleichermaßen gut zu unterstützen.

In der Vergangenheit lagen die Motive für eine ITAM-Einführung vor allem im Vermeiden von Unternutzung (Shelfware & Ausschuss) und Übernutzung (Risiko der Unterlizensierung). Der Fokus lag also darauf, die Kosten zu reduzieren und die Risiken im Zusammenhang mit der Softwarenutzung zu senken.

Inzwischen implementieren Firmen ITAM aber auch, um besser zu überblicken, welche IT-Assets sie besitzen, wo sich diese befinden, wie sie konfiguriert sind und wer sie wofür nutzt. Diese Informationen helfen, um den IT-Betrieb insgesamt zu verbessern. Cybersecurity, Geschäftskontinuität und diverse IT-Funktionen sind von diesen Bestandsinformationen abhängig.

ITAM und Security-Governance-Frameworks

ITAM beinhaltet aber weit mehr als nur das Führen eines vollständigen Bestandsverzeichnisses. Ebenso werden damit die Ziele von anderen Funktionen unterstützt - durch Richtlinien, Verfahren und Prozesse sowie durch Technologie, Sensibilisierungs- und Kommunikationsmaßnahmen.

ITAM wird durch folgende Normen und Best-Practice Verfahren geregelt:

  • ISO 19770-1: ein Framework für IT-Asset Management, das für die gemeinsame Umsetzung mit dem ISO Management System Standard (MSS) für Informationssicherheit ISO 27001 entwickelt wurde. Informationssicherheit ist eine Kernanforderung innerhalb von ISO 19770-1. Die Zusammenarbeit der beiden Interessengruppen wird darin ausdrücklich gefordert. Die beiden Standards verwenden übereinstimmende Anforderungen, beispielsweise den Ansatz für das Risikomanagement, die Auswahl von Prozessen, die Dokumentation der Evaluierung (Statement of Applicability) und andere. ISO 27002 (Information Security Controls), deren neueste Ausgabe gerade veröffentlicht wurde (Februar 2022), beinhaltet mehrere konkrete Verweise auf ISO 19770-1.

  • SCF (Security Controls Framework): Die meisten der 32 SCF-Domains stützen sich auf eine vollständige und funktionierende Inventarisierung und Kontrolle von Hardware und Software.

  • COBIT 2019 (Control Objectives for Information Technology) enthält ITAM als eines seiner Ziele (# BAI09)

  • EU -DSGVO (Datenschutzgrundverordnung der Europäischen Union) befasst sich mit dem Schutz personenbezogener Daten. Grundlage dafür ist der Schutz der IT-Assets, auf denen sich personenbezogene Daten befinden. Die Erreichung dieses Ziels erfordert mindestens eine Bestandsaufnahme der vorhandenen Ressourcen, wie und von wem sie genutzt werden, wo sie sich befinden und wie sie konfiguriert sind.

Die Vorteile von ITAM

ITAM ermöglicht es Sicherheitsverantwortlichen, zeitnah vollständige und detaillierte Daten über alle IT-Assets zur Verfügung zu haben. Unabhängig davon, ob es sich um Hardware, Software oder einen als Service genutzten Dienst handelt, ob sie physisch oder virtuell sind, ob sie sich vor Ort oder in der Cloud befinden.

ITAM verwaltet diese Informationen in allen Phasen des Lebenszyklus eines Assets, von der Planung und Anforderung bis zur Stilllegung und Entsorgung. Diese Informationen sind für viele Cybersecurity-Prozesse von elementarer Bedeutung. ITAM bietet folgende Möglichkeiten:

  • Identifizierung von nicht autorisierten Assets,

  • Identifizierung von Assets, die manipuliert wurden,

  • Identifizierung von Assets, die ihr Lebensende erreicht haben und eine Bedrohung für die Unternehmensinfrastruktur darstellen, weil sie keine Sicherheitsupdates mehr von ihren Herstellern erhalten,

  • Erleichterung der Reaktion auf Incidents und

  • Erleichterung des Patch-Managements.

Somit kann ITAM die Cybersecurity auf jeden Fall bei der Durchführung von Risk-Assessments und Planungen zur Risikominderung unterstützen.

ITAM liefert vollständige und detaillierte Daten über alle IT-Assets.
ITAM liefert vollständige und detaillierte Daten über alle IT-Assets.
Foto: Anglepoint

Dabei können folgende Richtlinien und Aktivitäten berücksichtigt werden:

  • Richtlinie zur zulässigen Nutzung

  • BYOD-Richtlinie (Bring Your Own Device)

  • Richtlinie zum Erwerb von Vermögenswerten (Assets)

  • Richtlinien für die Entsorgung von Vermögenswerten (Assets)

  • Schulung und Sensibilisierung der Mitarbeiter in Bezug auf IT-Ressourcen

ITAM und Cybersecurity - ein Symbiose

Während sich IT-Sicherheit schwerpunktmäßig mit dem Implementieren und Durchführen der technischen Aspekte von Abwehrmechanismen konzentriert, ist ITAM in der Lage die Rahmenbedingungen zu schaffen. ITAM kann Genehmigungsprozesse für Non-Standard-Software definieren und vorschreiben und so potenzielle Schwachstellen insgesamt reduzieren, indem die Anzahl der Nicht-Standard-Assets im gesamten Unternehmen begrenzt wird. Zudem kann sicherstellt werden, dass Geräte, auf denen sich Daten befinden, die aber das Ende ihrer Lebensdauer erreicht haben, sicher entsorgt werden.

ITAM sorgt dafür, dass die Security ihre eigenen Governance-Anforderungen erfüllt. Denn ITAM-bezogene Anforderungen sind direkt oder indirekt Bestandteil der meisten sicherheitsbezogenen Standards, Governance-Frameworks, Gesetzen und Vorschriften.

Cyberattacke auf Equifax als Weckruf für ITAM

Equifax ist ein US-Scoring-Unternehmen, vergleichbar mit der SCHUFA in Deutschland. Im Jahr 2017 wurde Equifax Opfer eines Hackerangriffs, bei dem die persönlichsten und sensibelsten Daten von über 140 Millionen US-Amerikanern gestohlen wurden. In dessen Folge wurde Equifax zu Strafzahlungen in Höhe von rund einer Milliarde US-Dollar an geschädigte Kunden, US-Bundesstaaten und in einen Fonds zur Finanzierung von Kreditüberwachungsdiensten verpflichtet.

Der Angriff erwies sich als Weckruf in Bezug auf die Abhängigkeit der Cybersecurity von ITAM. Die Hacker nutzten eine Schwachstelle in einem von Equifax verwendeten OpenSource-Produkt namens Apache Struts, um sich ungestört Zugang zu den Daten des Unternehmens zu verschaffen.

Die Details des Angriffs

Aber was genau geschah bei dem Angriff auf Equifax? Um das zu verstehen und den Zusammenhang mit einem ineffektivem ITAM zu begreifen, sollten wir einen Blick auf die Zeitachse werfen. Die Sicherheitslücke in Apache Struts wurde am 7. März 2017 öffentlich bekannt. Zwei Tage später hatte Equifax bereits den erforderlichen Patch besorgt und diesen sogar intern in einer dringenden E-Mail an über 400 Mitarbeiter der IT-Abteilung von Equifax zur Verfügung gestellt.

Leider wurde der Patch dann aber in den folgenden Wochen nicht flächendeckend installiert. Das lag daran, dass Equifax viele Tausende von Servern in seiner Umgebung hatte, die nicht über ein effektives ITAM erfasst worden waren. Equifax wusste einfach nicht, auf welchen ihrer Server Apache Struts lief, geschweige denn, wo die Server sich befanden.

Im Mai desselben Jahres, also mehr als zwei Monate nachdem Equifax den Patch hätte aufspielen können, wurde das Unternehmen über genau diese Sicherheitslücke gehackt. In den darauffolgenden zweieinhalb Monaten hatten die Hacker in aller Ruhe über 50 verschiedene Datenbanken von Equifax heruntergeladen, bis diese Aktivitäten am 30. Juli entdeckt und eingestellt wurden.

Konsequenzen aus dem Cyberangriff auf Equifax

Zwei Monate nach der Entdeckung des Datendiebstals wurden der CEO, der CIO und der CISO von Equifax entlassen. Neben den bereits erwähnten unmittelbaren monetären Folgen, erlitt das Unternehmen einen Reputationsverlust, der nur schwer wieder wettzumachen ist.

Das Wichtigste an dieser Stelle ist der Zeitraum von über zwei Monaten, in dem Equifax von der Schwachstelle wusste, über den erforderlichen Patch zur Behebung der Schwachstelle verfügte und diesen Patch hätte verwenden können. Aufgrund eines ineffektiven ITAM war man dazu nicht in der Lage.

Aufgrund des Ausmaßes und der Auswirkungen dieser Sicherheitsverletzung wurde vom US-Kongress eine formelle Untersuchung vorgenommen. Der Kongressbericht kam zu dem Schluss, dass das ineffektive IT-Asset Management der "Schlüsselfaktor" gewesen sei, der zu der Sicherheitsverletzung führte.

Fazit

Es gibt keine effektive Cybersecurity ohne ein gutes ITAM. Man kann nicht schützen, was man nicht kennt. Gartner prognostiziert, dass mehr als 50 Prozent aller künftigen ITAM-Initiativen in erster Linie durch die Anforderungen und Bedenken der Cybersicherheit angetrieben werden. Wenn Sie sich nicht mit ITAM beschäftigen oder wenn Ihr ITAM-Programm nur auf die Einhaltung von Lizenz-Compliance ausgerichtet ist und nicht auf die Unterstützung der Security, sind Sie definitiv gefährdet. (jm)

Ron Brill ist Vorsitzender von Anglepoint und stellvertretender Vorsitzender des Kuratoriums des ITAM Forums.
Kerstin Tammling ist Key Account Manager bei Anglepoint.