Sicherheit

Den Hackern die Tür zuschlagen

©stokkete - stock.adobe.com

Die Zahl an Cyberangriffen und Daten-Hacks steigt seit Jahren. Immer stärker im Visier: Öffentliche Infrastrukturen und Behörden. Besonders gern werden dabei Softwareschwachstellen in End-of-Life -Anwendungen ausgenutzt.

Ja, auch Betriebssysteme und Anwendungen haben so etwas wie ein Verfallsdatum. End-of-Life (EOL) heißt dabei über kurz oder lang auch ein End-of-Support (EOS). Für die IT-Assets stehen damit keine Patches, Upgrades oder Services von Seiten des Herstellers zur Verfügung. Wer also weiter seine Systeme schützen und unbesorgt digital arbeiten will, muss rechtzeitig auf eine neue Version umstellen.

Dass das nicht immer der Fall ist, zeigt ein Blick auf Windows 7. Das Betriebssystem ist seit 2020 EOL und sollte daher schon längst von den Rechnern verschwunden sein. Doch laut einer Erhebungen des Statistischen Bundesamts, Statcounter und ESET setzen tatsächlich noch 4 Millionen Anwender in Deutschland auf die Betriebssystemversion. Weltweit sind es sogar 20%, denen die Windows 7 Sicherheitsrisiken anscheinenden nicht den Schlaf rauben.

Dabei sind es keinesfalls nur unbedarfte Privatanwender. Auch in vielen Unternehmen und Organisationen sind veraltete Computer, Betriebssysteme und Anwendungen noch häufig im Einsatz. Nach einem Report von Flexera finden sich in zwei Dritteln (67%) der Unternehmen noch Hardware, die bereits ihr EOL/EOS erreicht hat. Auf Software-Seite sind in es sogar noch 73% der Unternehmen.

 

Mut zur Lücke ist keine Lösung

Warum sich freiwillig diesem Sicherheitsrisiko aussetzen? Dafür gibt es viele Gründe. EOL/EOS-Angaben sind nicht automatisch in einer Software hinterlegt. Fehlt es an automatisierten IT-Managementtools, müssen IT- und Security Manager die Daten erst aufwändig erfassen und in eine zentrale Ansicht bringen. Es gilt, Millionen von Benennungskonventionen für Millionen von Hardware- und Softwareprodukte verschiedener Anbieter zu sichten und auf den neuesten Stand zu halten. Einheitliche und saubere IT-Asset-Daten, auf deren Grundlage die meisten Managementtools arbeiten, sind jedoch eher die Ausnahme.  

Schatten-IT, die an der IT vorbei und ohne explizite Autorisierung auf Rechnern installiert wird, stellt einen zusätzlichen weißen Fleck auf der IT-Landkarte dar. Und schließlich gibt es Nachholbedarf, was das Common Vulnerability Scoring System (CVSS) angeht. CVSS bewertet bekannte Sicherheitslücken hinsichtlich ihres Risikos und ist Ausgangspunkt für die Priorisierung von Patches. Viel zu häufig werden diese Informationen jedoch ignoriert. Tatsächlich gehören zu den am häufigsten von Cyberkriminellen ausgenutzten Sicherheitslücke, Common Vulnerabilities and Exposures (CVEs), die bereits seit 10 bis 15 Jahre bekannt sind.

Ende ohne Schrecken in vier Schritten

Grundsätzlich lässt sich ein effektives Management von End-of-Life-Anwendungen im Rahmen des ITAMs in vier Best Practices zusammenfassen:

 

  1. Einsicht gewinnen und Überblick behalten

Ein effektives Management von Sicherheitslücken setzt eine genaue Kenntnis der IT-Assets voraus: Wo sind Upgrades und Patches nötig? Welche Anwendungen erreichen in naher Zukunft ihr EOL? Und welche haben es bereits erreicht? Eine Bestandsaufnahme von EOL/EOS-Assets innerhalb der gesamten vernetzten Hard- und Software schärft das Risikobewusstsein und hilft, unangenehme Überraschungen zu vermeiden. 



 

  1. Schatten-IT bekämpfen

Das Problem der Schatten-IT hat sich in Zeiten von Home-Office und Digital Workspace deutlich verschärft. Nach einem Bericht von Symantec finden sich in Organisationen und Unternehmen viermal mehr Anwendungen als den IT-Verantwortlichen bekannt ist. Die von Mitarbeitern auf eigene Faust heruntergeladene Software stellt dabei nicht nur ein Sicherheitsrisiko dar, sondern kann auch in Sachen Compliance ernste Probleme verursachen. Auch hier gilt es Inventur zu machen: Welche Anwendungen wurden genehmigt und sind der IT-Sicherheit bekannt? Und wo verstecken sich potenziell tickende Zeitbomben?

 

  1. Schwachstellen bewerten und priorisieren

Besteht intern Klarheit bei den IT-Assets, können im nächsten Schritt externe Quellen hinzugezogen werden, um das Risikopotenzial von Sicherheitslücken zu bewerten. Das Computer Emergency Response Team der Bundesverwaltung (CERT-Bund) beispielsweise bietet registrierten Nutzern einen Warn- und Informationsdienst (WID). Neben neuen Schwachstellen werden auch aktuelle Bedrohungen für IT-Systeme sowie Advisories veröffentlicht. So lässt sich entscheiden, wie sich Ressourcen am effektivsten zur Risikominimierung steuern lassen.

 

  1. EOL- und CVSS-Daten verknüpfen

Um potenzielle Sicherheitsrisiken schnell und proaktiv schnell zu entschärfen sowie Gegenmaßnahmen einzuleiten, heißt es, EOL- und CVSS-Daten miteinander zu verknüpfen. Idealerweise läuft dies automatisiert über ein Tool ab, das darüber hinaus Empfehlungen für weitere Maßnahmen liefert. So erkennen IT-Verantwortliche unmittelbar, welche Anwendungen nicht mehr unterstützt werden und wo Handlungsbedarf besteht.

Angriffsziel: Energieversorger, Universitäten, Kliniken

Ein ganzheitliches und automatisiertes EOL- und Schwachstellenmanagement gewinnt angesichts der steigenden Zahlen an Cyberangriffen an Dringlichkeit. Erst im Mai 2021 hat US-Präsident Biden mit einer Executive Order (EO) neue Richtlinien in Bezug auf Cybersecurity festgelegt, um den Einsatz von Software in staatlichen Einrichtungen und Behörden Unternehmen sicherer zu machen. Dazu gehört unter anderem die Implementierung von automatisierten Tools und Prozessen im Rahmen des Software Vulnerability Managements.

Die Verordnung ist Antwort auf eine Reihe von Cyberangriffen auf sicherheitskritische Infrastrukturen und öffentlichen Einrichtungen in den USA, darunter die Ransomware-Attacke auf die US-Pipeline Colonial. In Florida gelangten Hacker Anfang des Jahres in die Aufbereitungsanlage für Trinkwasser und verhundertfachten den Anteil von gefährlichem Natriumhydroxid im Wasser. Auch in Deutschland ist die Zahl von Cyberangriffen – insbesondere Ransomware – stark gestiegen. Das Düsseldorfer Uniklinikum konnte nach einem Angriff im vergangenen Jahr nur noch die Hälfte der etwa 1.000 Patienten versorgen. Auch die IT-Systeme der TU Berlin sind nach dem Hackerangriff im April noch immer gestört.

Kugelsichere Weste für das U.S. Department of Energy

Um solche Vorfälle im Vorfeld zu verhindern und Sicherheitslücken in EOD-Assets zu schließen, machte sich das U.S. Energieministerium an die Automatisierung des IT-Asset-Managements (ITAM). Ziel war es, veraltete und verwundbare Software und Hardware zu identifizieren und damit verbundene Risiken proaktiv zu entschärfen.

Die größte Herausforderung stellte dabei die Inventarisierung des IT-Estates dar. Herkömmliche Methoden konnten die Menge an komplexen IT-Asset-Daten nicht mehr managen. Es fehlte an Datenqualität und -konsistenz. Ein und dieselbe Anwendung wurde unter verschiedenen Namen mehrfach aufgeführt. Wichtige Marktdaten lagen unvollständig oder gar nicht vor. Dazu zählen beispielsweise Informationen über Lizenzierungs-/Paketierungsoptionen, Versionsnummer, bekannte Schwachstellen, Kompatibilität mit neuen Versionen von Windows sowie EOL oder EOS. Diese Bestandsdaten zu prüfen, zu aktualisieren und zu vervollständigen, kostet das IT-Team viel Zeit und ließ sich manuell nicht mehr bewerkstelligen.

Die Behörde setzte schließlich auf ein automatisiertes ITAM-Tool von Flexera, um IT-Asset-Daten über verschiedene Discovery-Lösungen, Beschaffungslösungen und Bereitstellungssysteme hinweg zu aggregieren, zu normalisieren und in einer einheitlichen Ansicht zu verknüpfen. IT-Asset-Daten werden dabei automatisch bereinigt. Neben den Bestandsdaten erhält die Behörde zudem Zugang zu Metadaten und dynamische Marktinformationen in Technopedia, der weltweit größten Datenbank für IT-Assetdaten. Das hilft Bestandsdaten über unterschiedliche Versionen und Updates aktuell zu halten, Konflikte bei der Inventarisierung zu lösen und Duplikate zu filtern. Durchschnittlich lassen sich so bis zu 60% an Zeit für die Validierung und Recherche von Daten einsparen. Das U.S. Energieministerium konnte auf dieser Grundlage das ITAM automatisieren, proaktiv EOL- und EOS-Anwendungen identifizieren und deutlich schneller und gezielter gegen Schwachstellen vorgehen.