IT-Schwachstellen beseitigen: technische Mittel sind nicht genug

Der Druck, der auf der Softwareentwicklungsabteilung lastet, ist hoch. Daher wird gerne nach probaten “schnellen Mitteln” Ausschau gehalten. Warum das zwar verständlich, im Grunde aber keine gute Idee aus Sicht der Sicherheit ist, erläutert Laurie Mercer, Security Engineer bei HackerOne.

„Hacker sind letztlich eine zusätzliche Ressource für Unternehmen, um Lücken in ihrem Wissen über Cybersicherheit und Angriffsflächen zu identifizieren“, erläutert Laurie Mercer.

Beinahe täglich kann man über Cyberattacken lesen, die ganze Unternehmen oder Verwaltungen lahmlegen. Insbesondere Ransomware erfreut sich wachsender Beliebtheit unter Cyberkriminellen, weil eine gelungene Attacke sehr häufig zu kommerziellem Gewinn führt. Darüber hinaus bleiben staatlich geförderte Gruppen von Cyberkriminellen gefährlich, die sich insbesondere auf Industriespionage kaprizieren. Während sie mit einer erfolgreichen Sensibilisierung der Belegschaft bereits einen Sicherheitsgewinn erzielen können, dürfen Organisationen die Absicherung der IT-Infrastruktur nicht vernachlässigen. Insbesondere staatlich geförderte Cyberkriminelle sind häufig technisch versiert und verfügen über geeignete Tools, Sicherheitslücken zu finden und auszunutzen.

Standardlösungen sind gefährlich

Eine besondere Herausforderung für die IT-Sicherheit stellt der zunehmende Einsatz von weit verbreiteten Softwarebibliotheken dar. Viele Organisationen wollen das Rad nicht neu erfinden und greifen darum auf verbreitete Softwarebibliotheken zurück, mit deren Hilfe sich Funktionen realisieren lassen, die nicht spezifisch für eine bestimmte Organisation sind. So verständlich es ist, dass Organisationen verstärkt auf diese Bibliotheken zurückgreifen, so viel Vorsicht ist bei ihrer Nutzung geboten. Die besondere Gefahr dieser Bibliotheken besteht nicht nur darin, dass sich eventuelle enthaltene Sicherheitslücken sehr weit verbreiten, sondern auch darin, dass es sich im Falle von Schwachstellen nicht selten um Zero-Day-Lücken handelt, für die es bei Bekanntwerden keine Lösung gibt. Folglich fokussiert sich ein großer Teil der Cyberkriminellen auf genau diese Lücke, wie es beispielsweise bei der „Log4J“ genannten Sicherheitslücke der Fall war.

Umsicht bei der Implementierung

Die Nutzung dieser Bibliotheken sollte darum mit besonderer Umsicht erfolgen. Es gilt, die Bibliotheken im Vorfeld auf Herz und Nieren zu prüfen. Eine Code-Review durch nicht an der Entwicklung beteiligte Kollegen sollte ebenso zum Repertoire gehören wie der Einsatz entsprechender automatisierter Werkzeuge. Auf diese Weise lassen sich einige Schwachstellen identifizieren. Je umfangreicher und komplexer eine Software-Komponente allerdings wird, desto schwieriger und langwieriger wird es, potenzielle Sicherheitslücken zu finden. Und je später dies im Entwicklungsprozess passiert, desto aufwändiger wird die Beseitigung.

Zudem hat sich durch die moderne, agile Software-Entwicklung mit Continuous Development (CD) und Continuous Integration (CI) die Bereitstellung neuer Komponenten erheblich beschleunigt. Das lässt keine Zeit mehr für lange Prüfzyklen neuer Software.

Tools zur Kontrolle

IT-Sicherheitsverantwortliche können auf eine Reihe von Tools zurückgreifen, die Ihnen helfen Sicherheitslücken zu entdecken und zu patchen. Schwachstellen-Scanner erkennen und klassifizieren Schwachstellen, sodass die IT-Sicherheitsverantwortlichen ihre Behebung entsprechend priorisieren können. Einige Tools können auch helfen, die Wirksamkeit von Gegenmaßnahmen einzuschätzen. In der Regel vergleichen diese Tools die Details der Infrastruktur und Software einer Organisation mit einer Datenbank, die Informationen über bekannte Sicherheitslücken in Diensten und Ports sowie Anomalien im Paketaufbau und Pfade zu ausnutzbaren Programmen oder Skripten enthält. Organisationen können sich auch entschließen, die Sicherheitskontrolle teilweise auszulagern und einen Anbieter mit einem klassischen Penetrationstest zu beauftragen. Die Anbieter dieser Penetrationstest nutzen in der Regel Standardverfahren und ihre eigenen Tools für die Tests, die in ihrer Funktionsweise kaum von den Schwachstellen-Scannern abweichen, mit denen Organisationen selbst Sicherheitslücken auffinden können.

Dein Freund der Hacker

Schwachstellen-Scanner und Penetrationstests haben allerdings einen entscheidenden Nachteil: Sie folgen einem weitgehend standardisierten Verfahren und verfügen nicht über die Kreativität und kriminelle Energie eines Cyberkriminellen. Idealerweise sollten Menschen mit der Kreativität eines Cyberkriminellen die Suche nach Schwachstellen übernehmen. Das scheinen aber per Definition Menschen zu sein, denen man nicht vertrauen kann. Tatsächlich gibt es aber ethische Hacker, deren Know-how und Kreativität beim Aufspüren von Sicherheitslücken für Organisationen einen wertvollen Beitrag leisten können.

Organisationen fehlen oft die Ressourcen und Fähigkeiten, um ihre Angriffsfläche vollständig zu überwachen. Hacker sind letztlich eine zusätzliche Ressource für Unternehmen, um Lücken in ihrem Wissen über Cybersicherheit und Angriffsflächen zu identifizieren und so ihr Risiko zu minimieren. Sie helfen Unternehmen, die potenziellen Einfallstore für Cyberkriminelle in ihrer IT-Infrastruktur zu finden, die ihnen bisher entgangen sind.

Zu finden sind diese ethischen Hacker über Bug-Bounty-Plattformen wie HackerOne, die als Mittler zwischen Organisationen und diesen Hackern fungieren. Zudem tragen sie dafür Sorge, dass alle Beteiligten aus der gemeinsamen Arbeit einen Nutzen ziehen, indem sie als Berater fungieren, die den Erfolg des Programms und die Kommunikation der Beteiligten optimieren. Haben sich die Verantwortlichen einer Organisation für eine Zusammenarbeit mit Hackern entschieden, wird letzteren erlaubt – abhängig von der jeweiligen Vereinbarung und den Zielen – z.B. in Konfigurationen von Anwendungen, Webseiten, Apps oder Infrastrukturen nach Sicherheitslücken zu suchen.

Unternehmen benötigen im Prinzip jemanden „mit krimineller Energie“.

Die Bezahlung der Hacker basiert auf einem zuvor vereinbarten Prämienmodell. Kosten entstehen dem Unternehmen also nur dann, wenn die Hacker Sicherheitslücken finden und die für den Prozess vorgesehenen Verfahrensweisen einhalten. Gewöhnlich unterscheidet sich die Höhe der Prämie je nachdem, wie gravierend die gefundene Schwachstelle ist. Je schwerwiegender eine Sicherheitslücke ist, desto höher fällt die Prämie aus.

Organisationen profitieren dabei von einem skalierbaren Prozess, um Ausgaben und Kosten immer nachvollziehen und überblicken zu können. Darüber hinaus besteht keine Notwendigkeit, zusätzliche Mitarbeiter einzustellen, sondern externe Sicherheitsprofis kümmern sich um das Auffinden von Schwachstellen.

Da jedoch das Vorgehen der Hacker, also das Eindringen in fremde Systeme, im Grunde illegal ist, müssen sich beide Seiten zunächst rechtlich absichern und vereinbaren, was zulässig ist und was nicht. Dies geschieht mittels sogenannter VDPs (Vulnerability Disclosure Program), die ein zentrales Element des Vertrags zwischen den Hackern und der Organisation darstellen. Auf diese Weise sparen sich die Unternehmen die Zeit, einen solchen Vertrag mit jedem Hacker einzeln abzuschließen. Darum kümmert sich an ihrer Stelle die Bug-Bounty-Plattform.

Fazit

Cybergefahren kennen auch künftig nur eine Entwicklung: ihre Anzahl und ihre Bedrohlichkeit werden weiter zunehmen. Für Organisationen ist es wichtig, den richtigen Mix aus Sensibilisierung ihrer Belegschaft, technischen Mitteln wie Schwachstellen-Scannern und dem Know-how und der Kreativität ethischer Hacker zu finden. Letztlich kann nur der menschliche Faktor den menschlichen Faktoren kriminelle Energie (der kriminellen Hacker) und Verführbarkeit (der Belegschaft) genug entgegensetzen, um die Sicherheit der Unternehmensressourcen zu gewährleisten.


Creative Commons Lizenz CC BY-ND 4.0

Sie dürfen:

Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten und zwar für beliebige Zwecke, sogar kommerziell.

Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.


Unter folgenden Bedingungen:

Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

Keine Bearbeitungen — Wenn Sie das Material remixen, verändern oder darauf anderweitig direkt aufbauen, dürfen Sie die bearbeitete Fassung des Materials nicht verbreiten.