Malware verbreitet sich nur selten per Zufall.
Meist wird sie über ganz bestimmte Sicherheitslücken eingeschleppt, etwa über nicht aktualisierte Software, falsch konfigurierte Server oder ungesicherte Logins. Manche Varianten kommen über präparierte E-Mail-Anhänge auf das System, andere über Lücken in Webanwendungen oder offene Netzwerkdienste, die von außen einsehbar sind. Wer weiß, wo die Einstiegslöcher sind, kann sie schließen, bevor ein Angriff stattfindet.
Genau hier setzt die technische Sicherheitsprüfung an. Sie macht Lücken sichtbar, die sonst erst durch einen erfolgreichen Angriff auffallen würden, und damit die Basis für die richtigen Gegenmaßnahmen.
Wie Schadsoftware Schwachstellen findet
Angreifer und Scanner suchen gezielt nach offenen Ports, alten Bibliotheken und nach Schwachstellen, die in öffentlichen Datenbanken wie der CVE-Liste aufgelistet sind.
Jede dort gelistete Lücke hat einen CVSS-Wert, der anzeigt, wie kritisch diese Schwachstelle einzuschätzen ist und wie wahrscheinlich es ist, dass Angreifer diese Schwachstelle bevorzugt angreifen. Die von 2021 noch gut bekannte Lücke in Microsoft Exchange, deren Ausnutzung in CVE-2021-26855 dokumentiert ist, zeigt, wie schnell aus einer Lücke eine kleine Epidemie werden kann: Fast über Nacht litten tausende Server unter der gleichen Lücke, kaum dass sie bekannt geworden war.
Entsprechende Fälle folgten in der Folge bei jeder neuen Lücke in verbreiteter Server- und Netzwerk-Software, bei der Wellen automatisierter Angriffe gelegentlich binnen Stunden nach der Veröffentlichung eines entsprechenden Exploits zu verzeichnen waren.
Systematische Tests als Gegenmaßnahme
Um solche Lücken rechtzeitig zu finden, setzen Unternehmen auf systematische Sicherheitsleistung.
Dabei simulieren geschulte Tester oder automatisierte Verfahren unter Laborbedingungen reale Angriffsszenarien. Mit geeigneten Pentest Tools lassen sich Netzwerke, Webanwendungen und Endgeräte ohne Betriebsunterbrechungen auf bekannte und unbekannte Schwachstellen testen.
Die Ergebnisse werden in einem Bericht zusammengefasst, der in priorisierter Form Maßnahmen empfiehlt. Statt eines vagen Sicherheitsgefühls entsteht eine Basis für die nächsten Schritte.
Standards und Methoden zur Schwachstellenanalyse
Bei der Durchführung von Schwachstellenanalysen stehen verschiedene anerkannte Rahmenwerke zur Verfügung.
Der Penetration Testing Execution Standard (PTES) beschreibt sieben zentrale Schritte, die von der Vorbereitung und Informationsbeschaffung bis hin zur abschließenden Berichterstattung reichen.
Speziell für Webanwendungen ist der OWASP Testing Guide von Bedeutung, der Prüfkriterien in Bereichen wie Authentifizierung, Sitzungsmanagement und Eingabevalidierung bereitstellt.
In Deutschland orientieren sich zahlreiche Organisationen außerdem an den IT-Grundschutz-Kriterien des Bundesamts für Sicherheit in der Informationstechnik, die grundlegende Anforderungen an die Informationssicherheit festlegen.
Diese Rahmenwerke garantieren, dass die Tests nachvollziehbar und reproduzierbar sind; Zufallsentdeckungen alleine sind nicht ausreichend für eine robuste Sicherheitsstrategie.
Unterschiedliche Testmethoden je nach Zielsetzung
Nicht jeder Sicherheitstest folgt dem gleichen Verfahren.
Bei einem Black-Box-Test haben die Prüfer keinen Zugang zu internen Informationen des Zielsystems und simulieren somit das Vorgehen eines externen Angreifers. Im Gegensatz dazu verfügt man bei einem White-Box-Test über Quellcodes, Netzwerkpläne und Konfigurationsdetails, was eine tiefere und gezieltere Analyse ermöglicht. Der Grey-Box-Ansatz vereint beide Methoden und basiert auf einem begrenzten Informationsniveau, das in etwa dem Wissen eines internen Mitarbeiters entspricht.
Die Entscheidung für ein bestimmtes Verfahren hängt davon ab, ob der Schwerpunkt auf der Außenwirkung eines Systems oder dessen interner Struktur liegt.
Bei Webanwendungen kommen oft automatisierte Scanner zum Einsatz, die in regelmäßigen Abständen laufen und erste Hinweise liefern, bevor ein umfassender, manueller Test durchgeführt wird.
Vom Testergebnis zur Umsetzung
Ein Test bringt nur dann einen echten Mehrwert, wenn die entdeckten Schwachstellen auch tatsächlich behoben werden.
In der Praxis erfordert dies ein strukturiertes Patch-Management. Zuerst werden kritische Sicherheitslücken geschlossen, gefolgt von weniger dringenden Problemen innerhalb eines definierten Zeitrahmens. Viele Organisationen haben dabei feste Reaktionszeiten festgelegt, beispielsweise 24 bis 72 Stunden für kritische Befunde und mehrere Wochen für weniger priorisierte Risiken.
Zahlreiche Organisationen lassen ihre Systeme mindestens einmal pro Jahr, nach größeren Änderungen ihrer IT-Infrastruktur oder aber auch noch häufiger prüfen. Immer wieder werden neue Schwachstellen bekannt. So verlangt auch die Norm ISO/IEC 27001, dass für den Umgang mit identifizierten Risiken ein dokumentierter Prozess existiert, der auch Verantwortlichkeiten und Fristen enthält.
Halten Sie Ihre Software und Betriebssystem auf den aktuellsten Stand. Installieren Sie zeitnah neue Service Packs und Sicherheitsupdates.
Seien Sie aufmerksam beim Umgang mit E-Mails. Öffnen Sie keine unbekannten Dateiänhange und nehmen Sie sich in Acht vor
Verwenden Sie ein
Verwenden Sie eine Firewall, die den Netzwerkverkehr überwacht.
Hinterlasse einen Kommentar