Gefährlicher Irrglaube: „Wir haben keine IT-Schwachstellen“

Beitrag teilen

„Wir haben gut vorgesorgt und ich glaube, dass wir gut abgesichert sind“. Dieser oft ausgesprochene Satz täuscht eine trügerische Sicherheit vor. Denn viele Unternehmen haben zwar in die Cybersicherheit investiert, erfahren allerdings erst im Ernstfall, ob die Sicherheitsresilienz tatsächlich an allen Stellen hält, was sie verspricht. Schwachstellenbewertungen und Penetrationstests der  IT-Security sind wichtiger denn je.

Studien wie der aktuelle Sophos Threat Report zeigen, dass trotz aller Anstrengungen noch zu viele Schlupflöcher für die Cyberkriminellen vorhanden sind. Fast 50 Prozent aller analysierten Schadsoftwarefälle hatten es auf kleine und mittlere Unternehmen abgesehen und 90 Prozent aller Cyberangriffe beinhalten Daten- oder Identitätsdiebstahl. Cyberkriminelle nutzen diese entwendeten Informationen später für weitere Aktionen wie unautorisierten Fernzugriff, Erpressung oder das Installieren von Ransomware. Darüber hinaus sind nicht selten unsichere IoT-Geräte ein Einfallstor für die Cyberkriminellen.

Unerkannte Schwachstellen in der IT-Infrastruktur

Das Problem sind selten die Sicherheitslösungen, sondern unerkannte Schwachstellen in der IT-Infrastruktur, die ohne eine eindeutige Identifizierung nicht abgesichert werden können. Daher sind regelmäßige Schwachstellenbewertungen als auch Penetrationstests wichtig. Erst sie liefern verlässliche Rückmeldungen über den tatsächlichen Stand der Sicherheit und Cyberresilienz im Unternehmen.

Schwachstellenbewertungen und Penetrationstests haben unterschiedliche Ziele. Laut NIST bieten Schwachstellenbewertungen eine „formale Beschreibung und Bewertung der Schwachstellen eines Informationssystems“, während Penetrationstests eine Methodik verwenden, „bei der Prüfer, die in der Regel unter bestimmten Einschränkungen arbeiten, versuchen, die Sicherheitsmerkmale eines Systems zu umgehen oder zu überwinden“. Erst die Ergebnisse beider Maßnahmen geben Unternehmen Aufschluss über die existierenden Risiken und lassen Rückschlüsse zu, welche Prioritäten bei der Beseitigung dieser Risiken gesetzt werden sollten.

Die Frequenz beider Maßnahmen hängt vom IT-Verhalten des Unternehmens und von gesetzlichen Regeln (z. B. Payment Card Industry) ab. Unternehmen mit geringer technologischer Fluktuation (z. B. Code-Änderungen, Hardware-Upgrades, Personalwechsel, Topologieänderungen usw.) kommen zwar keinesfalls ohne Tests, allerdings mit einer niedrigeren Frequenz aus. Organisationen mit hohem technologischem Wandel steigern ihre Cyberresilienz mit häufigeren Tests.

Stufen der Schwachstellenbewertungen und Penetrationstests

🔎 Kommentar von John Shier, Field CTO Commercial bei Sophos (Bild: Sophos).

Die Durchführung von Schwachstellenbewertungen und Penetrationstests umfasst zwölf wichtige Schritte – von der Suche über die Bewertung bis hin zur Abhilfe und einer abschließenden Berichterstattung:

  • Definition des Umfangs: Klare Definition des Umfangs, einschließlich der zu prüfenden Systeme, Netze und Anwendungen sowie aller spezifischen Ziele oder Vorgaben.
  • Erkundung: Sammeln von Informationen über die Zielsysteme, -netzwerke und -anwendungen mit passiven Mitteln, wie öffentlich zugänglichen Informationen und Social-Engineering-Techniken.
  • Scannen auf Schwachstellen: Einsatz automatisierter Tools, um die Zielsysteme auf bekannte Schwachstellen, Fehlkonfigurationen und Schwachstellen zu überprüfen. Dies kann sowohl interne als auch externe Scans umfassen.
  • Bewertung der Schwachstellen: Analyse der Ergebnisse der Schwachstellen-Scans, um Schwachstellen zu identifizieren und nach Schweregrad, Auswirkung und Wahrscheinlichkeit der Ausnutzung zu priorisieren.
  • Manuelle Tests: Durchführung manueller Tests, um die Ergebnisse der automatisierten Scans zu validieren und zu verifizieren und um zusätzliche Schwachstellen zu identifizieren, die von den automatisierten Tools nicht erkannt wurden.
  • Penetrationstests: Aktives Ausnutzen von Schwachstellen, um die Sicherheitslage der Zielsysteme, -netze und -anwendungen zu bewerten. Dabei können verschiedene Techniken zum Einsatz kommen, z. B. die Ausnutzung von Netzwerken, Angriffe auf Webanwendungen und Social Engineering.
  • Post-Exploitation: Sobald in der Zielumgebung Fuß gefasst wurde, wird die Umgebung weiter erkundet und die Berechtigungen erweitert, um das Ausmaß des potenziellen Schadens zu ermitteln, den ein echter Angreifer verursachen könnte.
  • Dokumentation: Erfassen und Zusammenstellen alle Ergebnisse, einschließlich der entdeckten Schwachstellen, der angewandten Ausnutzungstechniken und aller Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
  • Berichterstattung: Erstellen eines umfassenden Berichts sowohl für Sicherheitsverantwortliche als auch das Management mit den Ergebnissen der Bewertung, einschließlich einer Zusammenfassung, technischen Details der Schwachstellen, Risikobewertungen und Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
  • Planung von Abhilfemaßnahmen: Festlegung von Prioritäten und der Planung von Abhilfemaßnahmen auf der Grundlage der Ergebnisse der Bewertung sowie der Risikotoleranz und der geschäftlichen Prioritäten des Unternehmens.
  • Erneute Bewertung: Durchführung von Folgebewertungen, um zu überprüfen, ob die Schwachstellen wirksam behoben wurden und um sicherzustellen, dass sich die Sicherheitslage der Systeme, Netzwerke und Anwendungen des Unternehmens verbessert hat.
  • Kontinuierliche Überwachung: Implementieren von regelmäßigen Überwachungs- und Testprozessen, um neue Sicherheitslücken zu erkennen und zu beheben, sobald sie auftreten.
Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen