Zehn typische Fehler beim Schwachstellen-Management

Die Zahl der Software-Schwachstellen ist in den vergangenen Jahren enorm gestiegen. Deshalb ist es umso wichtiger, dass Unternehmen in der Lage sind, Sicherheitslücken zu identifizieren und zu beheben. Sicherheitsteams sind jedoch häufig überlastet: Notorisch unterbesetzt, müssen sie sich seit Ausbruch der Pandemie mit zusätzlichen Aufgaben beschäftigen, etwa der Absicherung von Remote-Arbeitsplätzen. Infolgedessen hat die Verbesserung des Vulnerability-Managements nicht immer oberste Priorität.

Nach der Meinung erfahrener Sicherheitschefs sollten Unternehmen die folgenden Fehler vermeiden, um ihr Schwachstellen-Management zu stärken:

1. Geschäftsführung nicht an Bord

Die Arbeiten, die für ein gutes Vulnerability-Management-Programm erforderlich sind, gehen weit über die Aufgaben des Sicherheitsteams hinaus. Entscheidungen rund um Unternehmensrisiken bedürfen der Zustimmung der Geschäftsleitung. Geht es um Patches, müssen IT und Entwickler einbezogen werden. Zudem wirken sich unumgängliche Ausfallzeiten für Updates auf Geschäftsfunktionen aus.

"CISOs benötigen Unterstützung von unterschiedlichen Akteuren im Unternehmen, um das Schwachstellen-Management zu optimieren", betont Michael Gray, CTO des Managed Services Providers Thrive. Dabei seien vor allem die obersten Führungskräfte entscheidend. Sicherheitsverantwortliche müssten wissen, welche Risiken akzeptabel sind und wann Gegenwind aus den IT- und Geschäftsbereichen zu erwarten ist, wenn sie Patches und Systemausfallzeiten planen.

Gray und andere Experten beobachten allerdings, dass , dass CISOs diese Unterstützung der Geschäftsleitungen zunehmend erhalten. Da hilft es, dass Cybersicherheit zu einem Anliegen auf Vorstandsebene geworden ist. Die Zahlen des Marktforschungsunternehmens Gartner bestätigen diesen Trend: Eine Umfrage unter Geschäftsführern im Jahr 2021 ergab, dass 88 Prozent der Vorstände Cyberbedrohungen als Geschäftsrisiko betrachten.

2. Jeder kämpft für sich allein

Normalerweise tragen CISOs die Verantwortung und auch das Risiko für das Vulnerability Management - Alex Attumalil, CISO bei Under Armour, findet das nicht richtig. Die Sicherheitsverantwortlichen seien nicht die Eigentümer der Systeme und Geschäftsfunktionen. Sie hätten auch nicht die Befugnis, allein zu entscheiden, welche Risiken ein Unternehmen in Kauf nehmen will.

Aufgabe der CISOs sei es, die anderen Führungskräfte über Risiken aufzuklären, ihnen Aufwand und Folgen des Schwachstellen-Managements deutlich zu machen und sie in die Lage zu versetzen mitzubestimmen. "Sie müssen wissen, dass sie für die Schwachstellen, die ihre Systeme verursachen, verantwortlich sind", betont Attumalil. Ein solcher Ansatz fördere die Zusammenarbeit der Führungskräften und vereinfache beispielsweise die Planung von Systemausfallzeiten für Patches.

3. Risiken werden nicht individuell bewertet

Eine Studie des Sicherheitsanbieters Vulcan Cyber hat kürzlich gezeigt, dass die überwiegende Mehrheit der über 200 befragten IT- und Sicherheitsverantwortlichen Schwachstellen nicht auf der Grundlage eines individuellen Risikoprofils ihres Unternehmens priorisieren. So verlassen sich 86 Prozent der Befragten hierbei auf Daten von Drittanbietern. Bei 70 Prozent trifft das auch auf Threat-Intelligence-Daten zu.

CISOs, die so vorgehen, riskieren, dass sie sich mit ihren begrenzten Ressourcen auf die falschen Bedrohungen konzentrieren. CISOs und ihre Teams müssen die Technologieumgebung ihres Unternehmens verstehen und den aktuellen Bestand genau kennen. Ebenso müssen sie über die Risikotoleranz Bescheid wissen, damit sie die richtigen Prioritäten bei der bekämpfung von Bedrohungen setzen können.

4. Es fehlt an der Mitarbeiterschulung

"Teams brauchen die richtigen Trainings, um Verantwortung übernehmen zu können", sagt Bryan Willett, CISO von Lexmark International. Beispielsweise unterschieden sich die Fähigkeiten, um Linux-Systeme zu patchen, von denen, um Windows-Systeme auf den aktuellen Stand zu bringen. Hinzu kämen viele andere Aufgaben im Rahmen des Schwachstellen-Managements, die ebenfalls eigene Skills benötigten.

Hinzu komme, dass Software-Patches im Zuge eines Vulnerability Managements von Sicherheitsexperten andere Fähigkeiten verlangten als von IT-Mitarbeitern. Willett beobachtet, dass nicht alle Unternehmen eine kontinuierliche Weiterbildung ihrer Mitarbeiter gewährleisten, obwohl das für ein robustes Schwachstellen-Management unabdingbar sei. Insbesondere der Grad der erforderlichen Spezialisierung werde unterschätzt.

5. Der Code ist nicht ausreichend bekannt

Untersuchungen der Linux Foundation zeigen, dass immer mehr Unternehmen eine Software-Stückliste (Software Bill of Materials = SBOM) verwenden, um den gesamten Code in ihren Systemen besser zu verstehen. Demnach verwenden 47 Prozent der befragten Betriebe SBOMs, eine Zahl die schon bald kräftig wachsen dürfte. .

Kyle Lai, Präsident und CISO von KLC Consulting, schließt daraus, dass viele viele Unternehmen derzeit im Blindflug unterwegs sind und den Code ihrer IT-Umgebung nicht ausreichend kennen. "Dieser Mangel an Transparenz schränkt die Fähigkeit ein zu erkennen, ob es Schwachstellen gibt, die behoben werden müssen", so Lai. Nur wer wisse, welcher Code und welche Open-Source-Komponenten im Einsatz seien, könne sich auf Schwachstellen wie Log4j vorbereiten.

6. Legacy-Anwendungen bleiben in Betrieb

Joe Nocera vom Beratungsunternehmen PwC empfiehlt die Modernisierung von Legacy-Anwendungen und die Konsolidierung auf der Basis eines Standard-Stacks, um den künftigen Aufwand für das Schwachstellen-Managements zu senken. Zwar seien die Ausmusterung von Altsystemen und das Beseitigen technischer Schulden noch kein Garant für weniger Schwachstellen, doch sie bedeuteten eine gewisse Arbeitserleichterung. Außerdem könne sich das Unternehmen von Systemen befreien, die nicht mehr gepatcht werden können, was die Risiken verringere.

"Dann können sich die Sicherheitsteams zusammen mit ihren IT-Kollegen auf die verbleibenden Prioritäten konzentrieren, wodurch das Vulnerability Management effektiver und wirkungsvoller wird", so der PwC-Experte.

7. Neue Bedrohungen werden zu lange ignoriert

Oft erreichen erste Warnungen zu neuen Schwachstellen oder Bedrohungen die Sicherheitsteams in Form von kurzen Bulletins, denen es an Details fehlt. Umso gefährlicher ist es, wenn die Verantwortlichen diese Nachrichten nicht ernst nehmen. Die richtige Reaktion ist es, den nachrichten auf den Grund zu gehen und möglichst alle relevanten Sicherheitsquellen zu checken, um herauszufinden, was sich am Horizont abzeichnet.

8. Falsche Priorisierung neuer Bedrohungen

"Viele CISOs sind noch dabei zu lernen, wie sie mit Zero Day Exploits und Schwachstellen umgehen sollen", beobachtet Erik Nost, Senior Analyst bei Forrester Research. Die Herausforderung bestehe darin herauszufinden, welche Schwachstellungen medial aufgebauscht würden und welche eine tatsächliche Bedrohung für das eigene Unternehmen darstellten. Von den Teams zu verlangen, alle Schwachstellen mit höchster Priorität zu beheben, sei kein realistischer Ansatz.

Der Analyst verweist auf eine Studie der Cornell University, aus der hervorgeht, dass Advanced Persistent Threats (APTs) mit höherer Wahrscheinlichkeit bekannte Schwachstellen ausnutzen als Zero Days. CISOs sollten laut Nost genauer auf die Bedrohungsakteure blicken und sich überlegen, ob APTs ihr Unternehmen angreifen werden. Der Forrester-Mann glaubt, dass aktive Exploits für Sicherheitsteams einen besseren Priorisierungsfaktor darstellen als irgendwelche Medienberichte.

"Die Teams stehen unter Zeitdruck. Wenn sie auf jede Schwachstelle reagieren, die bei Twitter auftaucht, bewerten sie nicht aktiv die für ihre Organisation spezifischen Risiken", fügt Nost hinzu. "Wenn ein Zero-Day Exploit oder eine Schwachstelle Schlagzeilen machen, müssen die Teams über Verfahren verfügen, mit denen sie die Bedrohung bewerten können. Denken Sie immer daran, sich an das Ihr Regelwerk, Ihre festgelegte Risikotoleranz und die vorliegenden Verfahren zur Bedrohungsanalyse zu halten."

9. Auf dem neuesten Stand bleiben

Der "Directors Survey" von Gartner zeigt, dass Vorstände die Cybersicherheit inzwischen zu den größten Unternehmensrisken zählen. Die Mehrheit (57 Prozent) geht davon aus, die diesbezügliche Risikobereitschaft erhöhen zu müssen. Gleichzeitig nimmt die Zahl der jährlich neu entdeckten Sicherheitslücken ständig zu. Und die IT-Umgebungen der Unternehmen entwickeln sich hochdynamisch weiter.

CISOs müssen deshalb Prozesse entwickeln, die sicherstellen, dass Schwachstellenerkannt und in der richtigen Reihenfolge behoben werden. Das klingt lapidar, aber viele Unternehmen haben ein Problem darin, den Lebenszyklus von Schwachstellen zu verwalten. Je nach Wachstumsdynamik und Veränderung der Geschäftsmodelle im Zuge der Digitalisierung, fällt es ihnne schwer, diese Aufgabe zu managen.

10. Software-Entwickler vernachlässigen Sicherheit

Laut Nocera von PwC wird im Entwicklungsprozess das Thema Security by Design oft vernachlässigt. Das führe dazu, dass CISOs und CIOs die Chance verpassten, gemeinsam ein robusteres Schwachstellenmanagement-Programm für ihre Unternehmen aufzubauen.

Gelingt es, Sicherheitsaspekte früh in den Entwicklungsprozess einzubinden, können CISOs Sicherheitsprobleme adressieren, bevor der Code produktiv geht, erklärt Nocera. Durch "Shifting Left" werde zwar der Arbeitsaufwand für das Schwachstellen-Management nicht zwangsläufig verringert, so der PwC-Experte, aber es würden - wie bei der Modernisierung von Altsystemen und der Beseitigung technischer Schulden - Ressourcen freigeschaufelt, so dass die Teams mehr Zeit in das Schwachstellen-Management investieren könnten. (jm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.