Drei Fragen und Antworten: Schwachstellen patchen? Oder ignorieren?
Alle Sicherheitslücken in den Griff zu bekommen, scheint unmöglich. Daher müssen Unternehmen ein Schwachstellenmanagement betreiben. Das steckt dahinter.
(Bild: iX)
IT-Verantwortliche müssen sich einer zunehmenden Flut an Security-Bedrohungen stellen – und rennen den Patches oft nur noch hinterher. Damit Kriminelle trotzdem kein zu leichtes Spiel haben, etabliert sich in vielen Unternehmen das Schwachstellenmanagement. Wie man damit das Sicherheitschaos in den Griff bekommen kann, erklärt iX-Autor Leonard Frank im Interview.
Fangen wir doch direkt mit dem beliebten Beispiel Log4Shell an: Das war doch vor mehreren Jahren und das haben wir problemlos überstanden. Warum ist diese Einstellung so verbreitet wie gefährlich?
Das ist für mich eine andere Version der beliebten Ausrede „andere investieren auch nicht in Sicherheit und die werden ja auch nicht gehackt“. Aus meiner Sicht ein gefährlicher Trugschluss, denn es ist keineswegs so, dass alle Unternehmen einen Angriff über Log4Shell verhindern konnten. Nur weil es dieses Mal bei einem selbst nicht geknallt hat, heißt das nicht, dass man sich auch in Zukunft in Sicherheit wiegen kann. Sicher ist hier nur eines: Die nächste Schwachstelle dieses Kalibers wird früher oder später kommen. Außerdem ist das Thema noch lange nicht komplett vom Tisch: Vor ziemlich genau sechs Monaten habe ich noch einen Incident betreut, bei dem Log4Shell eine zentrale Rolle spielte.
Security-Lücken gibt es schon immer, Wege mit ihnen umzugehen auch. Was versteckt sich denn jetzt hinter dem Schwachstellenmanagement?
Schwachstellenmanagement bezeichnet ganz allgemein den Prozess der strukturierten Erfassung und Behandlung von Schwachstellen. Wie das ganze abläuft, hat sich über die Jahre deutlich verändert. Anfangs wollte man vor allem neue Schwachstellen finden – die Behandlung war nur der logische Schluss. Log4Shell zeigt zwar, dass es auch heute noch schwer sein kann zu sagen, ob man selbst von einer Schwachstelle betroffen ist oder nicht. Weil aber mittlerweile jedes Jahr mehr Schwachstellen gefunden werden als im Vorjahr, steigt auch die Nummer der Schwachstellen im Unternehmen zwangsläufig an. Dadurch ist es in der Regel gar nicht mehr möglich, alle Schwachstellen zu behandeln und der Fokus verlagert sich immer mehr auf die Frage, welche Schwachstellen denn nun am dringendsten behandelt werden müssen.
Neben dem Titelthema Schwachstellenmanagement geht es in der neuen Dezember-iX unter anderem um die neue Oracle-Datenbank 23c, wir stellen die Neuerungen detailliert vor. Außerdem erklärt ein meinungsstarker Artikel, warum sich SAP mit dem Weg in die Cloud so schwer tut – und die Kunden einfach nicht mitziehen wollen. Einen Überblick aller Themen findet sich hier.
Welche Arten Tools gibt es für das Schwachstellenmanagement denn und wie unterscheiden sie sich?
Ich würde hier nach der Aufgabe unterscheiden: Identifikation der Schwachstellen und ihre Behandlung. Während einige Produkte beides umfassen, konzentrieren sich viele der Tools da draußen leider nur auf die Identifikation. Das reicht aber nicht aus, denn bei der Menge der Schwachstellen verliert man schnell den Überblick und dann bleiben Schwachstellen gerne mal lange bestehen. Außerdem gibt es noch ein kleines, aber wachsendes Segment von Tools, die sich ausschließlich auf die Behandlung konzentrieren und sich für die Identifikation auf andere Tools stützen.
Herr Frank, vielen Dank für die Antworten! Einen detaillierten Überblick zum Schwachstellenmanagement sowie eine Marktübersicht zu den Werkzeugen finden Interessierte in der neuen iX, die ab heute im heise Shop und am Kiosk erhältlich ist.
In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.
(fo)