Für Unternehmen sind regelmäßige IT-Sicherheitsaudits unabdingbar, wenn sie im Umgang mit Kunden oder Lieferanten die Ziele der Informationssicherheit (Verfügbarkeit, Vertraulichkeit und Integrität) gewährleisten wollen. Konstante Veränderungen innerhalb der IT-Landschaft durch Softwareupdates, Konfigurationsänderungen und Erweiterungen durch neue IT-Komponenten bieten immer neue Schwachstellen. Als Basis eines IT-Sicherheitsaudits identifiziert ein Schwachstellenscan automatisiert Lücken und bietet der Unternehmens-IT die Möglichkeit, diese zeitnah und gezielt zu beheben.
Während ein Schwachstellenscan (Vulnerability-Scan) automatisiert Schwachstellen in Software-Produkten bzw. Konfigurationen identifiziert, wird ein Penetrationstest (Pentest) darauf aufbauend gezielt auf bestimmte IT-Systeme/Schwachstellen angesetzt. Hier ist das Ziel „Übernahme des Systems“ bzw. „größtmögliche missbräuchliche Nutzung des Systems“. Der Pentester setzt gezielt sein Expertenwissen und eine Vielzahl an Tools ein, die auch von Hackern verwendet werden.
Eine Starthilfe für Unternehmen – so gelingt der Schwachstellenscan ganz sicher!
1. Rechtzeitig mit der Planung beginnen
Notwendige Rahmenbedingungen für einen reibungslosen Ablauf schaffen. Erforderliche Ressourcen frühzeitig einbinden. Externe Dienstleister benötigen ebenfalls Planungsvorlauf.
2. Permission-to-attack der Systemeigentümer einholen
Externe Dienstleister fordern eine Genehmigung ein, die IT-Systeme und das Netzwerk eines Auftraggebers auf mögliche Schwachstellen zu untersuchen. Sind Cloud-Komponenten Bestandteil des Tests, muss zusätzlich eine Genehmigung des Cloud-Anbieters eingeholt werden. Ohne Genehmigungen drohen u. U. juristische Konsequenzen.
3. Festlegen der Prüfziele / Netzwerke
Art und Umfang des Scans muss festgelegt werden. Wird aus dem Internet oder aus dem internen Netz gescannt? Werden alle Systeme in allen Netzen gescannt? Gibt es auszuschließende Systeme? Gibt es unterschiedliche Standorte? Welche Sicherheitsmaßnahmen bleiben aktiv, welche ausgeschaltet?
4. Konfigurieren des Schwachstellenscanners
Schwachstellenscanner arbeiten vollautomatisiert mit großer Datenbasis an bekannten Schwachstellen. Prüfziele und Umfang des Scans muss individuell im Schwachstellenscanner angepasst werden. Hier ist auch festzulegen, wie invasiv die Scans durchgeführt werden dürfen.
5. Durchführung des Scans zu unkritischen Zeiten
Zur Vermeidung eines unnötigen IT-Security Incident sollte ein Schwachstellenscan genehmigt und auf einen definierten Zeitraum festgelegt werden. Während des Schwachstellenscans kann die Auslastung der IT-Systeme und des Netzwerks erheblich ansteigen und Einfluss auf weitere Geschäftstätigkeiten haben.
6. Klassifizieren und Priorisieren der gefundenen Schwachstellen
Die Mischung macht’s! Zunächst werden die Ergebnisse intern bewertet. Empfohlen wird, gefundene Schwachstellen gemeinsam mit Experten zu analysieren und zu priorisieren.
7. Der Ergebnisbericht wird an das Management für Informationssicherheit und Datenschutz übergeben
Der Bericht wird zur Risikobewertung an die Fachabteilungen weitergeleitet werden. Jetzt können Maßnahmen abgeleitet werden, die die Schwachstellen schließen oder das Risiko verringern.
8. Wiederholung des Schwachstellenscans in regelmäßigen Zyklen
IT-Systeme und Netzwerk sind konstanten Änderungen ausgesetzt. Ein Schwachstellenscan stellt lediglich eine Momentaufnahme dar, die in den nächsten Minuten schon wieder veraltet sein kann. Mit regelmäßigen Scans wird die digitale Angriffsfläche permanent klein gehalten. IT-Systeme werden mit den notwendigen Sicherheitsupdates versorgt.
Mit Kontinuität das Netzwerk im Griff
Effektives Schwachstellenmanagement ist wichtig. Eine Integration in das Risikomanagement ist erforderlich und nutzt so die bereits etablierten Vorgehensweisen der Risikobehandlung.
Um das Sicherheitsniveau kontinuierlich zu steigern und immer weniger Schwachstellen auftreten zu lassen, empfehlen wir: #Vulnerability-Scans in regelmäßigen Intervallen durchführen! Unsere Kunden integrieren Ihren Schwachstellenscan in den Servicevertrag und erhalten einmal monatlich eine aktuelle Übersicht.
Immer daran denken: 100%ige Sicherheit gibt es nicht. Bedrohungslagen ändern sich fortlaufend. Ihr Unternehmen braucht Schutz. SAR schützt Ihre Werte.