In nur sechs Schritten zum sicheren System

Pascal Mittner ist CEO und Inhaber der Churer Astalavista IT Engineering.

Wer schläft verliert! Eine Regel, die nicht nur im Wettbewerb mit der Konkurrenz, sondern auch für das Stopfen von Schwachstellen in Softwarepro-dukten und Diensten gilt. Denn diese können nicht nur Systemausfälle oder Daten--verluste verursachen, welche den Geschäfts-betrieb -empfindlich stören und hohe finanzielle Verluste nach sich ziehen. Schwachstellen öffnen auch Angreifern, die es auf sensible Firmendaten abgesehen haben, Tür und Tor. Wobei die Angreifer neu entdeckte Schwachstellen immer rascher für Angriffe nutzen und die Mehrheit der erfolgreichen Attacken über Schwachstellen erfolgt, für die längst ein Flicken bereit steht.

Damit wird klar: Soll die Sicherheit des Systems jederzeit gewährleistet werden, müssen Schwachstellen unmittelbar nach ihrer Entdeckung gestopft werden. Ein cleveres Vulnerability-, respektive Schwachstellen-Management hilft, dass alle Flicken auch wirklich angebracht werden.

Zur effektiven Implementierung eines Vulnerability-Management-Prozesses sollte der Einsatz standardisierter IT-Konfigurationen in Betracht gezogen werden. So können notwendige Tests zur Klärung der Auswirkungen von Patches oder Konfigurationsänderungen auf wenigen Referenzsystemen durchgeführt werden.

Danach sollte eine Patch- und Vulnerability-Gruppe gegründet werden, die sich aus Personen zusammensetzt, welche über Kenntnisse aus unterschiedlichen Sicherheits- oder Administrationsbereichen verfügen. Die Grösse der Gruppe ist dabei abhängig von der Organisationsgrösse, deren Budget und der Komplexität des Netzwerks. Die Kernpunkte der Gruppe für die Umsetzung des Vulnerability-Management-Prozesses werden in den folgenden Schritten detailliert erläutert.

Diese Bestandsaufnahme kann mit entsprechender Software grösstenteils automatisiert erfolgen, lediglich einzelne Daten wie etwa der Standort müssen manuell eingegeben werden. Welche Details erfasst werden müssen, ist von der Organisation und der Verwendung der gesammelten Informationen betreffend Vulnerability-Management abhängig. Zudem muss definiert werden, für welche IT-Systeme die Gruppe zuständig ist und welche Systeme von den jeweiligen lokalen Administratoren verwaltet und überprüft werden müssen.

Für die zugeteilten IT-Ressourcen müssen sämtliche möglichen Schwachstellen identifiziert werden. Sogenannte «Vulnerability-Scanner» erledigen diese Aufgabe automatisch. Überdies sollten weitere Quellen für Security-Informationen, wie beispielsweise die Webseiten der Software-Hersteller, Schwachstellen-Datenbanken und Security-Mailing-Listen regelmässig gescannt respektive beobachtet werden.

Anhand einer Risikoanalyse wird die Schwachstellenbehebung priorisiert. Dabei ist neben der Wichtigkeit der Ressource für den Betrieb der Organisation auch ein möglicher Image-Verlust sowie ein eventueller Produktionsausfall durch Datendiebstahl oder Systemausfall zu berücksichtigen.

Eine einfache Bestimmung des Risikos für jede IT-Ressource kann mittels folgender Formel durchgeführt werden:

Dabei errechnet sich das Risiko als Produkt der Faktoren «Bedrohung», «Schwachstelle» und «Wert», wobei die Faktoren die Werte 1 bis 5 (sehr klein bis sehr hoch) gemäss Einschätzung haben. Für die «Bedrohung» bezieht sich der Faktor auf die Auswirkungen von Integrität, Verfügbarkeit oder Vertraulichkeit der IT-Ressource.

Je höher das Produkt für eine bestimmte IT-Ressource ist, umso höhere Priorität geniesst diese bei der Schwachstellenbehebung. Über erweiterte qualitati-ve oder quantitative Ansätze zur Risiko-analyse lassen sich die Einzelrisiken noch exakter bestimmen.

Durch den Einsatz standardisierter IT-Konfigurationen kann getestet werden, welche Auswirkungen die Behebung einer Schwach-stelle durch einen Patch hat. Genauso lässt sich überprüfen, was passiert, wenn die Schwachstelle nicht behoben wird oder wie sich eine Änderung an der Konfiguration auswirken wird. Dies gilt natürlich nur für die von der Vulnerability-Gruppe unterstützten IT-Systeme. Alle weiteren müssen von den lokalen Administratoren selbst vorher auf mögliche System-änderungen geprüft werden.

Zur Gewährleistung der Integrität und Sicherheit der Patches sind vor der Installation folgende Massnahmen nötig: Die Prüfung mittels Virenscanner und ein Integritätscheck, etwa durch die Verfahren MD5 (Message-Digest Algorithm 5) und SHA-1 (Secure Hash Algorithm). Danach kann die Installation des Patches, die Konfigurationsänderung oder die Deinstallation der betroffenen Software auf einem Testsystem durchgeführt werden.

Bei grösseren Organisationen empfiehlt es sich, eine Datenbank mit den Patches und sämtlichen dazugehörigen, detaillierten Informationen zu betreiben. Durch dieses zusätzliche Verwalten der Patches ist die Behebung von Schwachstellen auch dann möglich, wenn der Internetzugang ausfällt oder falls Probleme beim Patch-Anbieter auftreten.

Sind alle Tests erfolgreich abgeschlossen kann die Behebung der Schwachstellen erfolgen. Die Installation der Patches erfolgt dabei vorzugsweise automatisch, beispielsweise mittels Patch-Management-Software. Dabei ist zu berücksichtigen, dass viele Anwendungen die Möglichkeit bieten, selbstständig Prüfungen auf Upgrades oder Patches durchzuführen, was den Aufwand für Identifikation, Verteilung und Installation der Patches deutlich reduziert.

Abschliessend sind die Schwachstellen auch bei jenen Systemen zu beheben, die aktuell nicht zur höchsten Risikogruppe gehören. Ansonsten kann das spätere Aktivieren eines eventuell betroffenen Dienstes zum markanten Risiko werden.

Im letzten Schritt kommen erneut die Vulnerability-Scanner zum Einsatz. Dabei werden die Patch-Log-Dateien auf korrekte Installation geprüft oder ein Penetrationstest durchgeführt. Die so gewonnenen Informationen zeigen einen aktuellen Zustand der Sicherheit der IT-Infrastrukturen auf und belegen diesen.

Regelmässiges Vulnerability Management bietet somit wirksamen und adäquaten Schutz gegen bekannte Schwachstellen. Der Zyklus des Prozesses ist - je nach Schutzbedarf - quartalsweise oder wöchentlich festzulegen. Da aber auf eventuelle Zero-Day-Exploits oder andere unvorhergesehene Ereignisse keine Vorbereitung möglich ist, muss zusätzlich ein durchdachter Notfall-Plan vorhanden sein.

Begriffserklärung

Message-Digest Algorithm 5ist eine kryptographische Hash-Funktion, die einen 128-Bit-Hashwert erzeugt. MD5 wurde 1991 von Ronald L. Rivest am Massachusetts Institute of Technology entwickelt. MD5-Summen werden zur Integritätsprüfung von Dateien eingesetzt. Dabei wird die aktuelle MD5-Summe der zu prüfenden Datei mit einer bekannten früheren Summe verglichen. So kann festgestellt werden, ob die Datei verändert oder beschädigt wurde.

Secure Hash Algorithm ist eine Gruppe standardisierter kryptographischer Hash-Funktionen mit einem Hash-Wert von 160 zur Berechnung eines eindeutigen Prüfwerts für beliebige elektronische Daten. Im August 2006 wurde auf der Kryptografie-Konferenz Crypto 2006 eine wesentliche Schwäche dieses Algorithmus aufgedeckt.