Das IT-Systemhaus Bechtle hat ein kostenlos erhältliches Whitepaper über Vulnerability Management veröffentlicht. Es erklärt darin ausführlich, wie Unternehmen mit einem strukturierten Vorgehen Schwachstellen in drei Schritten bekämpfen können.
„Vulnerability Management unterstützt dabei, Angriffsflächen und Risiken im IT-Netzwerk eines Unternehmens oder einer Institution zu minimieren, sensible Daten zu schützen und Compliance-Vorgaben zu erfüllen“, schreibt Bechtle in der Einleitung des Whitepapers. „Gefragt ist eine Strategie, die hilft, kritische Situationen zu vermeiden oder sie schnellstmöglich zu beheben, sollten sie doch einmal eintreten.“
Schritt 1: Schwachstellen finden
Bechtle betont im Anschluss, dass es keinen „Königsweg“ geben kann, der zu allen Systemen passt, schlägt aber ein grundsätzliches Vorgehen in drei Schritten vor. Der erste Schritt besteht im Aufspüren von eigenen Schwachstellen. Sprich: Es ist wichtig, präventiv zu handeln – und nicht erst dann, wenn es zu spät ist. Die Verantwortlichen brauchen einen Überblick über Schwachstellen entweder durch Vulnerability Scanning oder den Abgleich von Softwareständen auf Metadatenebene. „Vulnerability Scanning beschreibt das meist automatisierte Scannen der Systeme, um bekannte Schwachstellen in Betriebssystemen, Software und Konfigurationen zu finden“, schreibt Bechtle. „Als Quelle dienen diesen Programmen unter anderem Datenbanken, in denen Informationen über bekannte Sicherheitsprobleme hinterlegt sind.“ Beim Abgleich von Softwareständen auf Metadatenebene „werden unter anderem die Versionen, Konfigurationen und Patch-Level von genutzter Software ausgelesen, um potenzielle oder bereits öffentlich bekannte Bedrohungen zu identifizieren“, so die Autoren des Whitepapers.
Schritt 2: Prozesse etablieren
Nun kommt es zur Risikobewertung der identifizierten Schwachpunkte. Bechtle empfiehlt dafür eine Checkliste, die elementare Fragen stellt. Etwa: „Wie groß ist die Gefahr, die von der Schwachstelle ausgehen kann oder ausgeht?“ Oder: „Wie hoch ist ihre Eintrittswahrscheinlichkeit?“ Gerade bei schlimmen Schwachstellen stellt sich immer auch die Frage, wie man sie beheben kann. Wobei der Schweregrad und die Gefahr immer auch subjektiv sind: „Die IT beziehungsweise das Management müssen eine eigene Bewertung aus der Perspektive des Unternehmens treffen. Sie entscheiden, welche Risiken sie eingehen wollen und welche nicht.“ Helfen kann dabei zum Beispiel das sogenannte „Risk Scoring“, bei dem Risikofaktoren berechnet und in Form einer Punktzahl auf den Punkt gebracht werden.
Worin Schritt 3 besteht, wie sich Vulnerability Management weiterentwickeln lässt und wie Bechtle dabei helfen kann, das erfahren Sie im weiteren Verlauf des Whitepapers.
