Ransomware
Sicherheitsmythos: Kritische Lücken zuerst schließen
Dass kritische Lücken mit absoluter Priorität zu behandeln sind, klingt zwar logisch, ist aber dennoch zum Teil "Aberglaube". Denn es gibt auch gute Gründe im Unternehmen, die Reihenfolge der Patches anders zu setzen. Wie macht man es richtig?
Save to Folio
Kritische Lücken zuerst zu schließen, lässt sich nicht als eindeutiger Mythos abtun, klingt die Forderung doch logisch, und häufig besagt eine Sicherheitsrichtlinie in Unternehmen genau das und auch durchaus begründet. Aber wie so oft ist Sicherheit eben nur relativ, und gerade was das „Patchen“ von Softwarelücken angeht, sind auch logische Sicherheitsregeln oft nur beschränkt anwendbar.
2025 werden wir vermutlich erstmals in der Geschichte die 50.000er Marke beim Fund von Softwarelücken in einem Jahr knacken. Nicht alle sind aus IT-Sicherheitssicht relevant. Im Prinzip zählen nur diejenigen, die auch von Cyberakteuren verwendet werden. Das sind im Jahr etwa 130 bis 150 neue. Das Problem dabei ist, dass wir zum Zeitpunkt der Veröffentlichung einer Lücke meist noch nicht wissen, ob sie Angreifer nutzen, und auch nicht wann dies der Fall sein könnte (Ausnahmen nennt man Zero Days).
Deshalb gibt es die Bewertung nach Kritikalität im CVSS (Common Vulnerability Scoring System) auf einer Skala zwischen 0 (niedrig) und 10 (kritisch). Bei dieser vom betroffenen Hersteller vorgenommenen Einschätzung, die sich im Laufe der Zeit anpassen kann, werden verschiedene Kriterien berücksichtigt, etwa wie einfach es ist sie auszunutzen, und was dadurch erreicht werden kann. Am kritischsten sind dabei Lücken, die ohne fundierte technische Kenntnisse und ohne Interaktion anderer Menschen Zugriff auf wichtige Computersysteme zum Zwecke der Ausführung von Schadcode (so genanntes Remote Code Execution oder RCE) erlauben.
Vielfach gibt es die Regelung, vor allem die als hoch oder kritisch eingestuften Lücken ab CVSS 8 so schnell es geht zu schließen. Knapp 11.000 gab es davon 2024 - immer noch zu viele für gestresste Abteilungen, die das Patchen dann mitunter auch in Notfall-Prozessen nachts oder Wochenendarbeit erledigen. Andererseits gibt es gerade für RCE–Lücken sehr oft vernünftige alternative Optionen aus dem Bereich Intrusion Prevention (IPS). Trend Micro bietet hier beispielsweise die Option „Virtual Patching“. Diese Alternativen sind als Notfallmaßnahmen dafür gedacht, so schnell wie möglich einen Schutz zu liefern, ohne die Notwendigkeit, die Konfiguration und damit die Funktionsweise betroffener Systeme zu beeinträchtigen.
Also wieso spricht man dann von einem Mythos? Natürlich nutzen Cyberangreifer RCE-Lücken aus, wenn sie diese finden können. Aber dieses Geschäftsmodell wäre in hohem Maße abhängig vom Zufall und der Unfähigkeit der Opfer, schneller Sicherheitslösungen zu implementieren, als es den Angreifern gelingt, entsprechende Exploits zu erzeugen.
Die „normalen“ Cyberkriminellen verlassen sich aber nicht darauf, dass ihnen dieses Glück in die Hände fällt. Sie nutzen RCEs, wenn sie können, verwenden Sicherheitslücken aber größtenteils, nachdem sie in ein Unternehmen eingedrungen sind, und es nun darum geht, sich lateral weiterzubewegen.
Lücken im Innenverhältnis
Hier sind verschiedene Kategorien interessant. Unternehmen patchen RCE-Schwachstellen so schnell wie möglich als Schutz nach außen. Im Innenverhältnis sind diese Lücken dagegen oft sträflich vernachlässigt. Cyberangreifer nutzen diese dann, um sich intern auszubreiten. Dazu braucht man allerdings sehr oft Privilegien, die einfache Nutzer nicht haben. Beliebt sind deshalb „Elevation/Escalation of Privilege“ (EoP)-Schwachstellen. Das ultimative Ziel des Täters sind administrative Berechtigungen, mit denen dann das Netzwerk kontrolliert werden kann.
EoP-Schwachstellen werden selten als kritisch eingeschätzt. Sie sind meist mit CVSS 5 – 7.9 als wichtig (important) bewertet. Der Hauptgrund ist, dass ein Angreifer sie nicht von außerhalb ansteuern kann, sondern immer eine Person innerhalb eines Unternehmens eine Aktion durchführen muss. Das bedeutet, dass viele Unternehmen diese Lücken, wenn überhaupt, erst im Rahmen eines regelmäßigen Patch-Zyklus schließen. Cyberangreifer haben also eine gute Chance, sie auch Monate und Jahre nach Bekanntgabe noch auszunutzen. Entsprechende Exploits sind oft kostenlos verfügbar.
Risiko- und Patchmanagement
Nicht die Kritikalität ist entscheidend für das Schließen einer Lücke, sondern das Hauptkriterium ist die Ausnutzung (Exploit) oder wahrscheinliche Ausnutzung (EPSS – Exploit Prediction Scoring System) durch Kriminelle sowie das Risiko, das dadurch zu erwarten ist. Diese Einschätzung kann allerdings nur durch Sicherheitsexperten und den betroffenen Kunden erfolgen.
Bei bereits genutzten Lücken tut man sich dabei relativ leicht. Trend Micro beispielsweise betrachtet die Vorgehensweise der Angreifer und kann das daraus resultierende Risiko mit der Exponiertheit des betroffenen Systems und seiner Kritikalität verrechnen, woraus sich das Risiko sowie mögliche Minderungsmaßnahmen ermitteln lassen.
Bei noch nicht ausgenutzten Schwachstellen besteht die Herausforderung, dass sich das dadurch bestehende Risiko mittels EPSS nur tendenziell feststellen lässt. Auch hier erfolgt eine Bewertung, die ebenfalls die Kritikalität des betroffenen Systems mit einbezieht.
Ob und wie Sicherheitslücken von Kriminellen verwendet werden, kann sich jederzeit ändern. Die Überwachung sowie der Informationsaustausch dazu sind industrieweit gesteuert. Das individuelle Risiko für Kunden kann sich natürlich jederzeit ändern. Auch dies ist bei der Berechnung von Minderungsmaßnahmen zu berücksichtigen.
Fazit
Zweifellos sollten Sicherheitsupdates nach wie vor schnellstmöglich implementiert werden. Schon der Begriff „schnellstmöglich“ deutet aber an, dass dies je nach Unternehmensstruktur unterschiedlich interpretierbar ist und von den verfügbaren Mitarbeitenden sowie der betroffenen Software abhängt. Insoweit lässt sich die Frage nach Mythos oder nicht, nur mit einem entschiedenen – „Es kommt darauf an“ – beantworten.
Mit der gegenwärtigen Flut an Sicherheitslücken, die alle auch noch verschiedentlich relevant für ein Unternehmen sind, gilt es vernünftig zu priorisieren und Engpässe mit Minderungsmaßnahmen zu überbrücken.
Mittels so genanntem „Cyber Risk Exposure Management“ können Unternehmen eine Risikoübersicht erstellen, bei der Sicherheitslücken aber auch andere Security-Metriken einbezogen werden. So lässt sich erkennen, an welchen Stellen ein Unternehmen besonders gefährdet ist und welche Maßnahmen diese Angriffsoberfläche reduzieren können. Die Technologie ist dabei eng verzahnt mit Extended Detection & Response oder, wie es der Gesetzgeber ausdrückt, dem Werkzeug zur Angriffserkennung. Das Tool erkennt, ob nicht nur eine theoretische Gefährdung existiert, sondern bereits Anzeichen einer solchen festzustellen sind.
Für die besonders gefährlichen RCE-Schwachstellen bieten wir dabei die bereits angesprochene Technologie des „Virtual Patching“. Der Mehrwert für Kunden besteht darin, dass die Aufwände für Patch Management deutlich besser gesteuert werden können und man sich auf die größten Herausforderungen zuerst konzentrieren kann.
Der nächste zu entzaubernde Mythos „Nur unerfahrene Mitarbeiter fallen auf Phishing herein“ lässt sich mit einem klaren „Nein“ beantworten.