Gefährlicher Irrglaube: “Wir haben keine IT-Schwachstellen”

9. April 2024
| Keine Kommentare

Beitrag teilen

„Wir haben gut vorgesorgt und ich glaube, dass wir gut abgesichert sind“. Dieser oft ausgesprochene Satz täuscht eine trügerische Sicherheit vor. Denn viele Unternehmen haben zwar in die Cybersicherheit investiert, erfahren allerdings erst im Ernstfall, ob die Sicherheitsresilienz tatsächlich an allen Stellen hält, was sie verspricht. Schwachstellenbewertungen und Penetrationstests der  IT-Security sind wichtiger denn je.

Studien wie der aktuelle Sophos Threat Report zeigen, dass trotz aller Anstrengungen noch zu viele Schlupflöcher für die Cyberkriminellen vorhanden sind. Fast 50 Prozent aller analysierten Schadsoftwarefälle hatten es auf kleine und mittlere Unternehmen abgesehen und 90 Prozent aller Cyberangriffe beinhalten Daten- oder Identitätsdiebstahl. Cyberkriminelle nutzen diese entwendeten Informationen später für weitere Aktionen wie unautorisierten Fernzugriff, Erpressung oder das Installieren von Ransomware. Darüber hinaus sind nicht selten unsichere IoT-Geräte ein Einfallstor für die Cyberkriminellen.

Unerkannte Schwachstellen in der IT-Infrastruktur

Das Problem sind selten die Sicherheitslösungen, sondern unerkannte Schwachstellen in der IT-Infrastruktur, die ohne eine eindeutige Identifizierung nicht abgesichert werden können. Daher sind regelmäßige Schwachstellenbewertungen als auch Penetrationstests wichtig. Erst sie liefern verlässliche Rückmeldungen über den tatsächlichen Stand der Sicherheit und Cyberresilienz im Unternehmen.

Schwachstellenbewertungen und Penetrationstests haben unterschiedliche Ziele. Laut NIST bieten Schwachstellenbewertungen eine „formale Beschreibung und Bewertung der Schwachstellen eines Informationssystems“, während Penetrationstests eine Methodik verwenden, „bei der Prüfer, die in der Regel unter bestimmten Einschränkungen arbeiten, versuchen, die Sicherheitsmerkmale eines Systems zu umgehen oder zu überwinden“. Erst die Ergebnisse beider Maßnahmen geben Unternehmen Aufschluss über die existierenden Risiken und lassen Rückschlüsse zu, welche Prioritäten bei der Beseitigung dieser Risiken gesetzt werden sollten.

Die Frequenz beider Maßnahmen hängt vom IT-Verhalten des Unternehmens und von gesetzlichen Regeln (z. B. Payment Card Industry) ab. Unternehmen mit geringer technologischer Fluktuation (z. B. Code-Änderungen, Hardware-Upgrades, Personalwechsel, Topologieänderungen usw.) kommen zwar keinesfalls ohne Tests, allerdings mit einer niedrigeren Frequenz aus. Organisationen mit hohem technologischem Wandel steigern ihre Cyberresilienz mit häufigeren Tests.

Stufen der Schwachstellenbewertungen und Penetrationstests

🔎 Kommentar von John Shier, Field CTO Commercial bei Sophos (Bild: Sophos).

Die Durchführung von Schwachstellenbewertungen und Penetrationstests umfasst zwölf wichtige Schritte – von der Suche über die Bewertung bis hin zur Abhilfe und einer abschließenden Berichterstattung:

  • Definition des Umfangs: Klare Definition des Umfangs, einschließlich der zu prüfenden Systeme, Netze und Anwendungen sowie aller spezifischen Ziele oder Vorgaben.
  • Erkundung: Sammeln von Informationen über die Zielsysteme, -netzwerke und -anwendungen mit passiven Mitteln, wie öffentlich zugänglichen Informationen und Social-Engineering-Techniken.
  • Scannen auf Schwachstellen: Einsatz automatisierter Tools, um die Zielsysteme auf bekannte Schwachstellen, Fehlkonfigurationen und Schwachstellen zu überprüfen. Dies kann sowohl interne als auch externe Scans umfassen.
  • Bewertung der Schwachstellen: Analyse der Ergebnisse der Schwachstellen-Scans, um Schwachstellen zu identifizieren und nach Schweregrad, Auswirkung und Wahrscheinlichkeit der Ausnutzung zu priorisieren.
  • Manuelle Tests: Durchführung manueller Tests, um die Ergebnisse der automatisierten Scans zu validieren und zu verifizieren und um zusätzliche Schwachstellen zu identifizieren, die von den automatisierten Tools nicht erkannt wurden.
  • Penetrationstests: Aktives Ausnutzen von Schwachstellen, um die Sicherheitslage der Zielsysteme, -netze und -anwendungen zu bewerten. Dabei können verschiedene Techniken zum Einsatz kommen, z. B. die Ausnutzung von Netzwerken, Angriffe auf Webanwendungen und Social Engineering.
  • Post-Exploitation: Sobald in der Zielumgebung Fuß gefasst wurde, wird die Umgebung weiter erkundet und die Berechtigungen erweitert, um das Ausmaß des potenziellen Schadens zu ermitteln, den ein echter Angreifer verursachen könnte.
  • Dokumentation: Erfassen und Zusammenstellen alle Ergebnisse, einschließlich der entdeckten Schwachstellen, der angewandten Ausnutzungstechniken und aller Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
  • Berichterstattung: Erstellen eines umfassenden Berichts sowohl für Sicherheitsverantwortliche als auch das Management mit den Ergebnissen der Bewertung, einschließlich einer Zusammenfassung, technischen Details der Schwachstellen, Risikobewertungen und Empfehlungen für Abhilfemaßnahmen oder Schadensbegrenzung.
  • Planung von Abhilfemaßnahmen: Festlegung von Prioritäten und der Planung von Abhilfemaßnahmen auf der Grundlage der Ergebnisse der Bewertung sowie der Risikotoleranz und der geschäftlichen Prioritäten des Unternehmens.
  • Erneute Bewertung: Durchführung von Folgebewertungen, um zu überprüfen, ob die Schwachstellen wirksam behoben wurden und um sicherzustellen, dass sich die Sicherheitslage der Systeme, Netzwerke und Anwendungen des Unternehmens verbessert hat.
  • Kontinuierliche Überwachung: Implementieren von regelmäßigen Überwachungs- und Testprozessen, um neue Sicherheitslücken zu erkennen und zu beheben, sobald sie auftreten.
Mehr bei Sophos.com

 

Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.

 

Passende Artikel zum Thema

Gefährlicher Irrglaube: “Wir haben keine IT-Schwachstellen”

„Wir haben gut vorgesorgt und ich glaube, dass wir gut abgesichert sind“. Dieser oft ausgesprochene Satz täuscht eine trügerische Sicherheit ➡ Weiterlesen

Dynamische Angriffsflächen in der Cloud schützen

Immer mehr Unternehmen verlagern digitale Assets in die Cloud. In der Folge erweitert sich die Angriffsfläche der IT und wird, ➡ Weiterlesen

Phishing: So entgehen Mitarbeiter den Fallen der Cyberkriminellen​

Bei Phishing-Angriffen kann schon ein falscher Mausklick einen Millionenschaden verursachen. Damit Mitarbeitende im Fall der Fälle die richtige Entscheidung treffen, ➡ Weiterlesen

Deutsche Unternehmen: Platz 4 der weltweiten Ransomware-Opfer

Threat Intelligence-Abteilung Research von Check Point (CPR) hat seinen jährlichen Cyber Security Report 2024 veröffentlicht. Die diesjährige Ausgabe nimmt den ➡ Weiterlesen

Apple-Malware auf dem Vormarsch

In seinem jährlichen Security 360 Report für das Jahr 2023 zeigt Jamf, dass die Bedrohungen in Form von Malware für ➡ Weiterlesen

Report zeigt KMUs im Fadenkreuz

Der Diebstahl von Daten und Identitäten sind die größten Bedrohungen für kleine und mittelgroße Unternehmen - KMUs. Fast 50 Prozent ➡ Weiterlesen

Cyberbedrohungen: Weiteres Rekordhoch in 2023

Die Zahl der Cyberbedrohungen erreichte 2023 ein Rekordhoch. Das zeigt der Annual Cybersecurity Report von Trend Micro. Mehr als 161 ➡ Weiterlesen

BSI: Tausende MS-Exchange-Server mit kritischen Schwachstellen

Das BSI - Bundesamts für Sicherheit in der Informationstechnik - hat in der Vergangenheit mehrfach zu Schwachstellen in Exchange gewarnt ➡ Weiterlesen

PR-Meldungen, Sophos
, , , ,