Sie möchten den IT Grundschutz umsetzen und sich vor Cyberkriminellen und Ransomware schützen? Ohne großen Aufwand alle kritischen Schwachstellen in Ihren Applikationen schließen? Aber Sie meinen, das können nur große Konzerne mit hohem Ressourceneinsatz und geschulten Spezialisten? Aber in Ihrem Unternehmen geht das nicht? Wetten, dass!
BSI: Besser – Schneller – Informierter – im IT Grundschutz
Informationsbeschaffung über Sicherheitslücken des Systems
Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) ist es Teil des IT-Grundschutzes, Informationen über Sicherheitslücken des Systems zu beschaffen. Dort heißt es: „Gegen bekannt gewordene und durch Veröffentlichungen zugänglich gemachte Sicherheitslücken müssen die erforderlichen organisatorischen und administrativen Maßnahmen ergriffen werden.“
Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates
An anderer Stelle heißt es: „Diese Schwachstellen müssen so schnell wie möglich behoben werden, damit sie nicht durch interne oder externe Angreifer ausgenutzt werden können.“
Und etwas weiter: „Sicherheitsupdates oder Patches dürfen jedoch nicht voreilig eingespielt werden, sondern müssen vor dem Einspielen getestet werden.“
Also: Informieren, Testen, Beheben!
Wer? Wie? Was?
Der Auftrag, also was getan werden muss, ist eindeutig, Wer die Verantwortung dafür übernehmen sollte, wird ebenfalls vom BSI beschrieben. Das sind IT-Sicherheitsbeauftragter und IT-Administrator – oder anders ausgedrückt: IT-Security und IT-Operations. Offen ist also noch das Wie. Und wie so oft ist die Antwort eine Prozessbeschreibung.
Kurzer Prozess!
Aber vielen Unternehmen fällt es schwer, einen reibungslosen Prozess hierfür aufzusetzen, der den Anforderungen an den IT-Grundschutz gerecht wird.
IT-Security benötigt Informationen über die Schwachstellen der im Unternehmen eingesetzten Software und muss diese nach potentiellen Gefahren priorisieren. IT-Operations bekommt einen entsprechenden Bericht und plant daraufhin den zeitlichen Ablauf mit Test und dem eigentlichen Patch.
Das kann dauern – riesiges Risikofenster!
Trotz eines kurzen Prozesses gibt es ein riesiges Risikofenster. Im Durchschnitt dauert es über ein halbes Jahr bis die Patches installiert sind. Das liegt zum einen daran, dass insbesondere für die Nicht-Microsoft Produkte ein hoher Aufwand betrieben werden muss, um die relevanten Informationen zu den Schwachstellen zu recherchieren. Zum anderen daran, dass oftmals viel zu viel gepatcht wird und so eine Vielzahl an Tests durchzuführen sind.
„False Positives“ – erhöhter Aufwand für IT Operations!
Rund ein Drittel der gemeldeten Schwachstellen sind gar nicht sicherheitsrelevant. Aber viele Unternehmen haben keine ausreichenden Informationen, um das zu beurteilen. Und genau hier bietet der Software Vulnerability Manager (SVM) von Flexera mit den Informationen von Secunia Research einen einzigartigen Vorteil. Zu allen gemeldeten Schwachstellen werden Kritikalität, Angriffsvektoren und mögliche Auswirkungen ergänzt, sodass die IT-Security auf einen Blick erkennen kann, was überhaupt gepatcht werden muss und so IT-Operation deutlich entlastet.
IT Grundschutz – einfach, schnell, sicher und compliant!
Unternehmen, die eine professionelle Sicherheitssoftware bzw. Patch-Management-Software wie den SVM einsetzen, können damit den gesamten Prozess lückenlos durchlaufen und beschleunigen. So kann das Risikofenster von sechs Monaten auf einen Monat gesenkt und die potentielle Gefahr drastisch gemindert werden. Darüber hinaus lassen sich die Berichte für vorhandene Compliance Management Systeme nutzen, um auch den Anforderungen von DSGVO, SOX oder KRITIS gerecht zu werden.
Die Empfehlungen des BSIs zum IT Grundschutz lassen sich mit der entsprechenden Unterstützung also sehr gut umsetzen – einfach, schnell, sicher und compliant!
Vulnerability Review – Die wichtigsten Informationen für eine sichere IT
Entscheidend sind also lückenlose Informationen zu den Schwachstellen und ein lückenloser und kurzer Prozess. Letzterer wurde oben anhand des BSI Maßnahmenkataloges beschrieben. Etwas ausführlicher noch in diesem Blog {Link auf ersten SVM-Blog}.
Die maßgeschneiderten Informationen zu der eigenen Infrastruktur und die Patch-Automatismen liefert der Software Vulnerability Manager. Darüber hinaus fasst die Secunia Research Abteilung von Flexera aktuelle Statistiken und Analysen zu den Schwachstellen regelmäßig zu dem „Vulnerability Review“ zusammen. Die aktuelle Ausgabe bekommen Sie hier.
- Audite Auditoren – den ganzen Eisberg ISO 27001 zertifizieren! - 30. Januar 2019
- Jeder kann schnell und sicher patchen – Wetten, dass…? - 23. Januar 2019
- Gefährliche Schwachstellen – wie intelligentes Patch-Management Sicherheitslücken schließt! - 27. November 2018