28
SCHWERPUNKT
HOCHVERFÜGBARKEIT UND SECURITY
MIDRANGE
MAGAZIN · 10/2016
Das Risiko kennen und gezielt handeln
Vulnerability Management
Im Unterschied zu den meisten Sicherheitslösungen wirft Vulnerability Management (VM)
einen anderen – von außen nach innen gerichteten – Blick auf die IT-Infrastruktur.
Das Ziel dabei ist es, Schwachstellen zu erkennen und diese zu bewerten. Auf diesem
Weg lässt sich die Angriffsfläche für Cyber-Attacken um bis zu 99,9 Prozent reduzieren.
M
eldungen über Schwachstellen
und Sicherheitslücken sind häu-
fig – auch bei brandaktueller Software.
Ein bekannter Vertreter: Windows 10.
Bei dieser Microsoft-Version fiel die
100-Tage-Bilanz äußerst ernüchternd
aus. Im Vergleich mit den Vorgänger-
produkten schnitt Microsofts jüngster
Windows-Spross alarmierend schwach
ab. Allein in den ersten drei Monaten
musste Microsoft 28 Sicherheitslücken
der Kategorie „hoher Schweregrad“
einräumen. Sie steht für Einstufung 7
oder höher auf der von 0 bis 10 reichen-
den CVSS-Skala nach dem Common-
Vulnerability-Scoring-System.
Wie können sich Anwender und
Unternehmen vor diesem Sicherheits
risiko schützen? Ein Weg: Vulnerability
Management als präventive Ergänzung
zu den reaktiven Komponenten wie An-
tivirus, Firewall, Intrusion Detection
oder Intrusion Prevention. Im Unter-
schied zu den vorgenannten Lösungen
richtet Vulnerability Management den
Blick von außen auf die IT-Infrastruk-
tur des Unternehmens. Dadurch lassen
7. Maßgeschneiderte Konfiguration
ist gefordert
Das mag eine rein technische Maß-
nahme sein, die allerdings erhebliche
Auswirkungen auf das Unternehmen
haben kann. Wird das Loglevel zu nied-
rig angesetzt, läuft das Unternehmen
Gefahr, nicht das „one signal in the
noise“, also den entscheidenden IT-Si-
cherheitsvorfall, wahrzunehmen – der
Einsatz des SIEM würde seinen Zweck
nicht erfüllen.
Ist das Loglevel zu hoch angesetzt
und skaliert die Infrastruktur nicht
entsprechend, ist es möglich, dass das
Unternehmen erst deutlich später Zu-
griff auf Daten erhält, die das SIEM
tatsächlich in Echtzeit erzeugt hat – bis
zum Flaschenhals der vorhandenen In-
frastruktur, wo die Daten dann stecken-
bleiben, weil die Ressourcen zu knapp
bemessen sind. Auch in diesem Fall hät-
te das SIEM seinen Zweck nicht erfüllt.
Nicht vergessen: Ein hohes Loglevel be-
deutet immer einen höheren Bedarf an
Ressourcen, CPU-Last, Speicherkapazi-
täten und Netzwerkbandbreiten. Dies
ist bei der Einführung eines SIEM in
der Kapazitätenplanung auf jeden Fall
entsprechend zu berücksichtigen.
Datenschutz und Mitarbeiterrechte
wahren. Ist eine weitgehend lückenlo-
se Protokollierung vorgesehen, könnte
ein SIEM-System die Tätigkeiten von
Mitarbeitern recht exakt sammeln und
auswerten. Bei der Einrichtung des
Systems müssen die informationellen
Grundrechte der Mitarbeiter gewahrt
bleiben.
Es gibt technische als auch organi-
satorische Möglichkeiten, den gläser-
nen Mitarbeiter zu verhindern, unter
anderem mit Log Policies, die dem
Prinzip der Datensparsamkeit bzw.
Datenvermeidung aus dem Bundesda-
tenschutzgesetz (BDSG) entsprechen.
Deshalb: bei der Einführung oder Im-
plementierung von SIEM-Systemen
frühzeitig den Datenschutzbeauftrag-
ten und den Betriebsrat einbeziehen.
Angesichts immer ausgeklügelte-
rer Cyber-Attacken ist Security Intelli-
gence heute wichtiger denn je. Neben
der Erfüllung regulativer und vertrag-
licher Anforderungen bzw. Compliance
bietet eine professionelle Security In-
telligence die Möglichkeit, den hohen
Stellenwert der Informationssicherheit
im Unternehmen gegenüber Dritten
transparent nachzuweisen. Darüber
hinaus leistet diese Methodik wertvol-
le Unterstützung bei der Identifikation
von Sicherheitsvorfällen, kann die Re-
aktionszeit bei unerwünschten Zustän-
den hinsichtlich Suche, Troubleshoo-
ting und Forensik erheblich verkürzen
und ist eine wichtige Grundlage für das
Reporting, wenn es um die Auswertung
der operativen Sicherheitslage geht.
Thomas Mörwald
ó
