Swapan - Fotolia

Sicherheits-Schwachstellen im Unternehmensnetzwerk bewerten

Risiko-Management-Programme liefern massiv Daten zu Sicherheits-Anfälligkeiten des Netzwerks. Vor Maßnahmen müssen Security-Profis priorisieren.

Unternehmen werden nach dem Start eines Programms zum Schwachstellen-Management von Informationen über Schwachstellen im Netzwerk regelrecht überflutet. Netzwerk-Scans ergeben häufig Hunderte oder sogar Tausende von Schwachstellen, die über eine Vielzahl von Systemen und Anwendungen verteilt sind.

Wie können Sicherheitsexperten diesen Berg an Risiken angehen? Dieser Artikel beschreibt ein dreistufiges Programm für die Priorisierung von Risiken. Es geht darum, den Schweregrad von Bedrohungen zu ermitteln, Daten gemäß ihrer kritischen Bedeutung für das Unternehmen zu klassifizieren und die vorhandene Kontrollumgebung zu bewerten. Firmen können dadurch die Schwachstellen erfolgreich beurteilen und damit ihre konkreten Sicherheitsmaßnahmen priorisieren.

Dieser dreistufige Prozess geht davon aus, dass Firmen Informationen zu den Sicherheits-Schwachstellen in ihrem Netzwerk besitzen, zur Sensibilität der Daten, die von Systemen und Anwendungen verarbeitetet werden, sowie zum Status der bestehenden Sicherheitskontrollen in der IT-Infrastruktur. Diese können aus einer Vielzahl von Quellen des Vulnerability-Management-Programms stammen, darunter Schwachstellen-Scanner für das Web oder Netzwerk, Systeme für Data Loss Prevention (DLP) oder Software für das Konfigurations-Management.

Schritt 1: Schweregrad der Schwachstellen ermitteln

Im ersten Schritt geht es darum, den Schweregrad der Schwachstellen in der bestehenden IT-Umgebung einzuschätzen. In vielen Fällen stellen die Anbieter von Vulnerability Management Tools entsprechende Informationen über Daten-Feeds bereit.

Die Bewertung des Risikos sollte auf dem potenziellen Schaden beruhen, den ein erfolgreicher Exploit verursachen könnte. Zum Beispiel ist eine Schwachstelle, die es einem Angreifer ermöglicht, administrativen Zugriff auf ein System zu erlangen, viel gefährlicher als eine Lücke, die einen Denial-of-Service (DoS) verursacht. Dabei wird auch die realistische Existenz von Exploits berücksichtigt; eine eher theoretische Verwundbarkeit ohne bisher bekannte Exploits wiegt weniger schwer wie eine Lücke, die bereits von Malware ausgenutzt wurde.

Für unser Modell gehen wir davon aus, dass Firmen ein Produkt verwenden, das für sein Schwachstellen-Rating-System eine Skala mit fünf Bewertungspunkten einsetzt; Schwachstellen, die das höchste Risiko eines schädlichen Exploits haben, werden dabei mit fünf Punkten bewertet.

Schritt 2: Klassifizierung der Daten nach ihrer Bedeutung für das Unternehmen

Das Risiko, das eine Schwachstelle in sich birgt, wird durch die Sensitivität der Informationen verstärkt, die auf Systemen verarbeitet werden, die von dieser Schwachstelle betroffen sind. Beispielsweise sollten Systeme, die Sozialversicherungsnummern oder Kreditkartendaten enthalten, in der Regel mit viel mehr Sorgfalt behandelt werden als Systeme, die ausschließlich öffentlich verfügbare Informationen speichern.

Dies bedeutet nicht, dass Firmen nur Systeme mit sensiblen Informationen gut verwalten sollten; schließlich kann der erfolgreiche Hacker-Angriff auf die öffentlich zugängliche Website die Reputation eines Unternehmens genauso schädigen wie die Veröffentlichung sensibler Informationen. Grundsätzlich gilt aber: Angriffe wirken sich stärker aus, wenn sensible Informationen davon betroffen sind.

Das Sammeln von Informationen zur kritischen Bedeutung von Daten kann sich als schwierig erweisen; es hängt davon ab, wie reif das System für die Klassifizierung von Daten in einem Unternehmen ist und wie effizient es arbeitet. Firmen, die gerade erst damit beginnen, können ein relativ einfaches Modell nutzen, das Daten auf Basis ihrer unternehmenskritischen Bedeutung und Sensibilität kategorisiert:

  • Hochsensible Informationen sind entweder stark reguliert oder verursachen extreme Schäden im Unternehmen, wenn sie versehentlich freigegeben wurden. Zu den Kronjuwelen der Informationssicherheit gehören Datenelemente wie Kreditkartennummern, geschützte Gesundheitsinformationen und Details zu Bankkonten.
  • Interne Daten umfassen Information, die zwar nicht hochsensibel sind, aber trotzdem nicht öffentlich zugänglich sein sollten. Diese Kategorie mag übermäßig breit erscheinen; sie ist auch am schwersten zu definieren. Wenn Sie kein Programm für die Datenklassifizierung besitzen, sollten Sie all diese Daten zunächst unter einer allgemeinen Kategorie zusammenfassen. Wenn es aber von den geschäftlichen Anforderungen her notwendig wird, können Sie diese Kategorie zu einem späteren Zeitpunkt weiter unterteilen und spezifizieren.
  • Öffentliche Informationen sind alle Daten, die ein Unternehmen veröffentlichen will oder kann. Dazu gehören Produktinformationen, Daten auf der öffentlichen Website oder Finanzberichte.

Um die Systeme und Daten entsprechend ihrer unternehmenskritischen Bedeutung zu kategorisieren, sollten Firmen mit den vertraulichsten Informationen beginnen, die von einem System gespeichert oder verarbeitet werden. Systeme, die hochsensible Informationen verarbeiten, erhalten die Bewertung 5, während die Verarbeitung von internen Informationen je nach Empfindlichkeit eine Bewertung von 2, 3 oder 4 erhalten kann. Alle anderen Systeme mit öffentlich verfügbaren Daten sind mit dem Faktor 1 bewertet.

Schritt 3: Bestehende Sicherheitskontrollen evaluieren

Im dritten und letzten Schritt sollten Firmen ihre bestehenden Kontrollmechanismen evaluieren, die potenziell anfällige Systeme vor Angriffen schützen. Die Methoden für diese Bewertungen hängen von den jeweiligen Kontrollelementen ab, die ein Unternehmen benötigt. Ein Beispiel: Wenn Firmen ein hoch gesichertes Netzwerk für extrem sensible Systeme betreiben, können sie diese Systeme auf einer fünfstufigen Kontrollskala mit dem Faktor 5 bewerten. Ein System, das eine Webanwendung hostet und über eine öffentliche IP-Adresse vom Internet aus zugänglich ist, aber nicht durch eine Web Application Firewall (WAF) geschützt ist, wird mit 1 oder 2 bewertet. Wählen Sie eine Bewertungsskala, die die erwarteten Kontrollelemente Ihrer Umgebung genau widerspiegelt und stufen Sie diejenigen Systeme höher ein, die starke Sicherheitskontrollen bieten.

Synthese: Informationen zusammenführen

Mit all diesen Informationen können Unternehmen jetzt die Schwachstellen beurteilen, die ihre Berichte anzeigen. Sobald sie diese Daten an einem Ort konsolidiert haben, können sie mit folgender einfacher Formel die Sicherheitsanfälligkeit eines Systems berechnen:

Wenn Firmen für jede Maßnahme eine Fünf-Punkte-Skalen gewählt haben, werden die Gesamtwerte für die Schwachstellen von minimal 0,2 (für eine Schwachstelle mit niedrigem Risiko auf einem gut kontrollierten System, das ausschließlich öffentliche Informationen enthält) bis zu einem Maximum von 25 reichen (für eine Schwachstelle mit höchstem Risiko auf einem System ohne Sicherheitskontrollen, das hochsensible Informationen speichert).

Das alles klingt nach einer Menge an Daten und Mathematik; es gibt aber Wege, diesen Prozess zu automatisieren und damit die Priorisierung von Schwachstellen zu vereinfachen. So können Firmen zum Beispiel eine Datenbank erstellen, die Informationen zur Sensibilität von Daten und Statusinformationen zu allen Serverkomponenten enthält.

Zudem können Skripte die Berichte der Anbieter analysieren, um die Schwachstelleninformationen automatisch zu extrahieren, relevante Informationen aus der Datenbank zu ziehen und den Risikowert zu berechnen.

Es gibt viele Möglichkeiten, ein System für die Priorisierung von Sicherheitsschwachstellen im Netzwerk für ein Unternehmen individuell anzupassen. Ein effektives Schwachstellen-Management-Programm, das auf risikoorientierten Priorisierungsentscheidungen basiert, ist ein Muss für jedes Unternehmen, das seine IT-Sicherheitsrisiken verringern will. Wenn Sie die Prozesse für die Analyse der Schwachstellen vereinfachen, wird es auch viel einfacher, ein derartiges Programm zu starten nachhaltig weiter zu betreiben.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Risikobewertung für kleine und mittelständische Unternehmen (KMUs)

Cloud Computing: Wie sich Risikobewertungen leichter durchführen lassen

ISO31000: Die drei Stufen des Risikobewertungsprozesses

Risiko-Management: Restrisiken in fünf Schritten bewerten und ausschalten

 

Artikel wurde zuletzt im August 2017 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Sicherheitsanalyse

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close