Patch-Management: Schließen Sie Sicherheitslücken auf Knopfdruck!
Inhaltsverzeichnis
Was fordert die DSGVO bei Sicherheitslücken?
Wie funktioniert Patch-Management?
Welche Schritte gehören zum Patch-Management?
Wie lassen sich Schwachstellen klassifizieren und die Behebung priorisieren?
Was tun, wenn es (noch) keine Patches gibt?
Was ist beim Patch-Management jetzt zu tun?
Was fordert die DSGVO bei Sicherheitslücken?
Grundsätze für die Datenverarbeitung personenbezogener Daten
Artikel 5 DSGVO fordert: Verantwortliche müssen personenbezogene Daten in einer Weise verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.
Außerdem muss er sorgen für den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung.
Mittel der Wahl sind „geeignete technische und organisatorische Maßnahmen“.
Das bedeutet übertragen auf die Praxis: Haben IT-Systeme, die personenbezogene Daten verarbeiten, Schwachstellen oder Sicherheitslücken, besteht das Risiko, dass Angreifer die Daten ausspähen, missbrauchen und zerstören. Auch ein Datenverlust ist möglich.
Unternehmen müssen Schwachstellen deshalb durch Patches oder Fehler-Behebungen schnellstmöglich schließen. Dies erfolgt durch ein Patch-Management.
Sicherheit der Verarbeitung
Darüber hinaus fordert die Datenschutz-Grundverordnung in Artikel 32 die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
Zu dieser Fähigkeit gehört es, Schwachstellen in den Systemen und Diensten zu erkennen. Dann gilt es, sie zu bewerten und entsprechend der Priorität zu schließen oder anderweitig zu verhindern, dass Angreifer die Schwachstellen ausnutzen.
Wie funktioniert Patch-Management?
Programm-Fehler gehören in der IT zum Alltag. Trotzdem darf sie ein Unternehmen nicht hinnehmen. Denn sie machen Software zu einem leichten Angriffsziel für Hacker und Datendiebe.
Eine regelmäßige Aktualisierung (Updaten) und die Installation von Fehler-Behebungen (Patchen) sind daher Pflicht.
Probleme beim Patchen
Leider ist das Patchen ohne ein Patch-Management nicht einfach. Zu vielfältig sind die Wege:
- So gibt es zum Beispiel für das Betriebssystem Windows und für die Microsoft-Office-Produkte die Windows-Update-Funktion.
- Für viele andere Produkte muss man die jeweiligen Updates von den Hersteller-Seiten herunterladen.
- Eine weitere Variante: Die Updates sind innerhalb des Programms manuell zu suchen und zu installieren.
Das ist in der Praxis kaum umsetzbar. Diesen Aufwand können viele Unternehmen nicht leisten.
Besonders kritisch: Internet of Things
Besonders problematisch ist die Situation bei Geräten im IoT (Internet of Things), also vernetzten Geräten jenseits der klassischen IT.
Hier gibt es häufig gar keine Fehler-Behebungen, die Unternehmen installieren könnten.
Für die meisten anderen Anwendungen ist ein Schwachstellen- und Patch-Management aber möglich.
Was macht ein Patch-Management-Tool genau?
- Eine Patch-Management-Lösung prüft die Aktualität und damit den Patch-Stand mehrerer Tausend Applikationen.
- Der Anwender erhält Berichte zum Patch-Stand der untersuchten Endgeräte und Programme im Netzwerk. Er kann dann in Verbindung mit Diensten wie Microsoft Windows Server Update Services (WSUS) auf Knopfdruck die fehlenden Patches einspielen.
- Dazu werden die jeweiligen Patches bei den Softwareherstellern automatisch heruntergeladen und zu einem Paket zusammengestellt.
- Es lässt sich dann über das Netzwerk auf den betroffenen Geräten installieren. Im Prinzip erweitert eine solche Lösung die Funktion von Windows Update auf Programme von Drittanbietern.
- Die Schwachstellen- und Patch-Suche kann On-Demand, also nach Bedarf, oder nach einem definierten Zeitplan erfolgen.
- Als Ergebnis liefert eine Patch-Management-Lösung eine Inventarliste für die Softwarelösungen auf den untersuchten Systemen.
- Zu jeder gefundenen Software werden die Version, der Patch-Stand und eine Einstufung zu dem Sicherheitsstatus geliefert.
- Ist eine Software-Installation veraltet, erhält der Anwender Hinweise zu den Risiken, die mit der Schwachstelle verbunden sind, und zu Gegenmaßnahmen.
Achtung: Kein Ersatz für einen Viren-Scan!
Ein Patch-Management-System verfügt über einen sogenannten Schwachstellen-Scanner, sucht also aktiv nach IT-Sicherheitslücken. Das ist nicht verwechseln mit einem Viren-Scanner.
Ein Patch-Management-System prüft nicht, ob bestimmte Programme mit Viren infiziert sind. Es prüft, ob der Patch-Stand, den die Metadaten der Programme enthalten, aktuell ist.
Welche Schritte gehören zum Patch-Management?
Zu einem erfolgreichen Patch-Management gehören insbesondere Maßnahmen wie
- Inventur der IT-Assets (Endgeräte, Betriebssysteme, Anwendungen, Datenbanken)
- Nutzung der Auto-Update-Funktionen der IT-Assets, wo immer möglich
- Zusammenstellung der Quellen für Patches von Systemen ohne Auto-Update-Funktion
- Abonnieren von Schwachstellen-Warnungen, bei Herstellern und unter https://www.cert-bund.de/
- Priorisieren der notwendigen Patches entsprechend der Einstufung durch Hersteller oder CERT-Bund
- Test der Patch-Einspielung
- Verteilung der Patches auf alle betroffenen Systeme
- Prüfung des Erfolgs durch Abgleich des neuen Patch-Stands mit den Angaben des Anbieters
- Implementierung der oben genannten Schritte als regelmäßigen Prozess
- Alternativ: Einsatz einer umfassenden Schwachstellen- und Patch-Management-Lösung
Wie lassen sich Schwachstellen klassifizieren und die Behebung priorisieren?
Taucht eine Sicherheitslücke auf, stellt sich stets die Frage, welche Schutzmaßnahmen nun erforderlich sind und welche Priorität die Behebung bekommen muss.
Geringes, mittleres oder großes Datenrisiko?
Ein Maßstab ist sicherlich das Risiko, das für die jeweils betroffenen personenbezogenen Daten besteht.
Nun ist ein Risiko generell zu verstehen als das Produkt aus der Eintrittswahrscheinlichkeit und der möglichen Schadenshöhe.
Dies ist jedoch für Sicherheitslücken in der IT erst einmal wenig konkret. Doch es gibt Bewertungssysteme für Schwachstellen, die Ihnen helfen können.
CWSS liefert Unterstützung
Unter den Bewertungs-Systemen für Schwachstellen hat das CWSS (Common Weakness Scoring System) im Vergleich zu anderen Systemen wie dem CVSS (Common Vulnerability Scoring System) deutliche Vorteile.
So berücksichtigt das CWSS auch den Typ der möglicherweise betroffenen Daten und die Geschäftsprozesse, bei denen die Schwachstelle eine Rolle spielen könnte.
Schritt für Schritt zur Bewertung mit CWSS
Zuerst einmal unterscheidet CWSS
- Schwachstellen, die bei einer speziellen Software auftreten (Targeted),
- Schwachstellen, die ihr Risiko unabhängig von der jeweiligen Software entfalten (Generalized) und
- Schwachstellen, die das Risiko bei bestimmten Geschäftsprozessen verstärken (Context-adjusted).
- Zudem bewertet CWSS das Zusammenwirken der Schwachstelle mit anderen Sicherheitslücken (Aggregated).
Die Priorität einer Schwachstelle bestimmt CWSS anhand von 18 verschiedenen Faktoren, die in drei Gruppen unterteilt werden:
- die Basisgruppe, die das Risikopotenzial der Schwachstelle, die Zuverlässigkeit der Entdeckung und die Stärke der Kontrollmaßnahmen berücksichtigt
- die Angriffspotenzial-Gruppe, die die Barrieren berücksichtigt, die ein Angreifer überwinden muss, um die Schwachstelle auszunutzen
- die Umgebungsgruppe, die die geschäftliche Bedeutung der Schwachstelle, die Wahrscheinlichkeit der Ausnutzung und das Vorhandensein externer Kontrollen beschreibt
Schwachstellen-Scanner bieten ergänzend eine automatische Bewertung
Neben der eher manuellen Bewertung und Priorisierung von Sicherheitslücken über CWSS stehen als Unterstützung auch die sogenannten Schwachstellen-Scanner zur Verfügung.
Oftmals sind sie bereits Teil der Anti-Malware-Lösungen, die auf jedem Endgerät installiert sein sollten. Zusätzlich gibt es auch zentrale Schwachstellen-Scanner, die über das Netzwerk nach Sicherheitslücken suchen und diese bewerten.
Letztlich nutzen solche Schwachstellen-Scanner ähnliche Konzepte wie CWSS, um Schwachstellen zu bewerten. Meist lassen sie jedoch den geschäftlichen Zusammenhang, in dem die Schwachstelle gefunden wird (etwa Bewerberdaten-Management, Kundendaten-Verwaltung) außer Acht.
Hier ist ein System wie CWSS deshalb in jedem Fall eine gute und wichtige Ergänzung zur Priorisierung von Schwachstellen und ihrer Behebung.
Was tun, wenn es (noch) keine Patches gibt?
Eine zentrale Sicherheitsempfehlung lautet, alle IT-Systeme regelmäßig mit Fehlerbehebungen, also Patches zu versehen. Gibt es aktuell keine Patches, kann das sogenannte Virtual Patching helfen. Ein Allheilmittel ist es aber nicht.
Gründe, warum kein Patching stattfindet
Es sind nicht nur Gründe wie das Supportende für ein Betriebssystem und das entsprechende Fehlen von Patches, warum Patching nicht durchgeführt wird. Gerade in Branchen wie der Industrie ist es bisher nicht immer möglich, zeitnah Fehlerbehebungen einzuspielen.
Teilweise dauert die Bereitstellung der Patches auch sehr lange, das Einspielen ist kompliziert oder die Fehlerbehebung erscheint zu teuer. Das kann gerade bei Individual-Software ohne entsprechenden Wartungsvertrag der Fall sein.
Es gibt also viele Gründe, warum Schwachstellen länger offen bleiben, obwohl IT-Sicherheits- oder Datenschutzbeauftragte auf die regelmäßige Aktualisierung und das Patching mehr als einmal hinweisen.
Die Idee des virtuellen Patching
All die Gründe, warum es kein Patching gibt, ändern nichts daran, dass gefährliche Sicherheitslücken bestehen bleiben. Da kommen Lösungen, die ein sogenanntes Virtual Patching anbieten, gerade recht.
Tatsächlich kann eine solche Lösung hilfreich sein, wenn sich keine Patches einspielen lassen.
Die Idee hinter Virtual Patching ist, dass die Schwachstelle nicht geflickt, aber gegen bösartige Zugriffe abgeschirmt wird. Bei Webanwendungen, für die es keine Patches gibt, kommt in der Regel für das virtuelle Patchen eine Web Application Firewall (WAF) zum Einsatz.
Damit lässt sich genau regeln, wer wie auf die zu schützende Applikation zugreifen kann.
Virtual Patching: Hilfreich, aber kein völliger Ersatz
Man könnte auf die Idee kommen, das oftmals als lästig empfundene Patching ganz durch Virtual Patching abzulösen. Das ist jedoch nicht zu empfehlen: Grundsätzlich besteht die Gefahr, dass die WAF nicht alle betroffenen Systeme abschirmt.
Zudem sollte klar sein, dass Virtual Patching eigentlich eine Notfall-Maßnahme ist, um die Zeit bis zum Patching zu überbrücken.
Die Sicherheitslücke und der mögliche Fehler in der Anwendung werden nicht wirklich behoben, nur der Missbrauch soll verhindert werden.
Was ist fürs Patch-Management jetzt zu tun?
Überprüfen Sie, ob das Patch-Management in Ihrem Unternehmen dafür sorgt, dass Schwachstellen vollständig und zeitnah behoben oder zumindest abgeschirmt werden.
Nur so lassen sich die nach DSGVO geforderte Vertraulichkeit, Verfügbarkeit und Integrität personenbezogener Daten gewährleisten, obwohl IT-Systeme und IT-Dienste immer wieder mit Fehlern behaftet sind.