Über die Kritikalität von Sicherheitslücken in der IT

Schuld an dem sog. Hafnium Exploit waren Sicherheitslücken im Microsoft eigenen E-Mail Dienst "Exchange", der quasi den Standard in der Kommunikation der allermeisten Unternehmen bildet. Bei dem Schadcode handelt es sich um einen sogenannten Zero-Day-Exploit – die Wirkweise entsprechender Angriffe hatten wir bereits im vorherigen Blog Beitrag „Was sind die aktuellen Gefahren in der IT-Sicherheit?“ näher betrachtet. Tatsächlich ist der Impact des Angriffs gewaltig und man geht derzeit schon von zehntausenden infizierten Systemen aus. Das BSI geht eigenen Angaben nach von mehr als 26.000 kompromittierten Systemen aus und hat in Folge dessen mittlerweile auch die „IT-Bedrohungslage rot“ ausgerufen. Da ein Durchgriff der Schadsoftware von der Mail Infrastruktur auf weitere kritische Basisdienste wie z.B. Active Directory möglich scheint, bleibt Betroffenen meist nur der Roll Back auf einen sauberen Stand mit deutlichen finanziellen Folgen und der Gefahr von Datenverlusten. Neben mehreren Bundesbehörden wurden diesmal auch unzählige Mittelständler geschädigt, vor allem jene, bei denen die Systeme nicht durchgehend auf dem jeweils aktuellsten Stand gehalten wurden.

Auslöser dafür waren also wieder einmal Sicherheitslücken in der Softwarearchitektur des Maildienstes, die von den Angreifern zielgerichtet ausgenutzt wurden. Grund genug die Anatomie der Angriffe nochmals etwas detaillierter zu beleuchten: 

Wikipedia findet für die Ursache folgende Definition: "Eine Sicherheitslücke oder Schwachstelle ist im Gebiet der Informationssicherheit ein Fehler in einer Software, durch den ein Programm mit Schadwirkung (Exploit) oder ein Angreifer in ein Computersystem eindringen kann." Nun liegt die Annahme ja sehr nahe, dass durch das Schließen der Sicherheitslücken deratige Angriffe unterbunden werden können, was inhaltlich auch absolut korrekt ist, nur handelt es sich bei den meisten Softwaresystemen um "lebende" Konstrukte, die ständig verbessert und weiterentwickelt werden, wodurch immer neue Ansatzpunkte für potentielle Angreifer entstehen. Für diese Sicherheitslücken, die meist erst deutlich nach der Markteinführung der Produkte erkannt werden, stellen die Hersteller regelmäßig sogenannte Patches bereit. 

„Patch“ ist der englische Ausdruck für "Flicken". Während ein Update neue Funktionen bereitstellt oder die Performance verbessert, behebt ein Patch Programmfehler. Patches sind Softwarepakete, mit denen die Hersteller Sicherheitslücken in ihren Programmen schließen. Ein zentral organisiertes und vor allem kontinuierlich gelebtes Patch Management sichert die Einhaltung von Compliance-Regeln und erleichtert die einfache und schnelle Verteilung von Sicherheitsupdates. Deshalb ist es wichtig dieses Thema mit abgestimmten Prozessen fest in der Organisation und in den betrieblichen Abläufen zu verankern. Richtlinien, wie der BSI-Grundschutz oder die internationale Norm ISO/IEC 27001 fordern das zeitnahe Einspielen sicherheitsrelevanter Patches und Updates, um das Niveau der Informationssicherheit in Unternehmen und Behörden jeder Größenordnung auf dem bestmöglichen Stand zu halten.

Sicherheitsupdates sollten also so schnell und kontrolliert wie möglich im Netzwerk verteilt werden, um die Ausnutzung von Sicherheitslücken durch Dritte zu erschweren/ idealerweise komplett zu unterbinden. Da Unternehmen heutzutage zahlreiche verschiedene Softwareprodukte einsetzen, wird es aber immer schwieriger, den Überblick über alle kritischen Themen zu bewahren. Gerade bei kleineren Organisationen ohne ausreichendes IT Know-How in den eigenen Reihen ist dies daher auch meist kaum leistbar. Oft ist es mit dem reinen Einspielen der Sicherheitsupdates nicht getan - vor allem wenn das betroffene System tatsächlich mal nicht auf dem aktuellsten Stand ist. Am konkreten Beispiel der aktuellen Exchange Sicherheitslücken mussten je nach Aktualität und Versionsstand der Umgebung diverse Vor- und Begleitarbeiten (wie z.B.: .NET Framework mit aktualiseren, Updates der OWA Umgebung, ECP reparieren, Zertifikate prüfen und ggf. erneuern,…) mit bedacht werden, wobei das Wissen über die Abhängigkeiten an sich natürlich auch eine gewisse Routine in den entsprechenden Arbeiten bedingt. Zudem besteht im Falle eines Fehlers natürlich auch häufig die Gefahr, dass ein Rollback auf einen älteren / funktionierenden Stand notwendig wird. Auch kommt es immer wieder vor, dass die Sicherheitsupdates an sich fehlerhaft sind, weshalb dringend empfohlen wird die Patches vorab in einer abgegrenzten Umgebung zu validieren.

Deshalb werden diese Arbeiten häufig von den Kunden ausgelagert an externe Dienstleister, die über entsprechendes Spezialwissen und die notwendige Routine in den Arbeiten verfügen. Das Patchmanagment für Server und übrigens auch Clients gehört zu den gängigsten Services, die von vielen Anbietern im Rahmen von standardisierten Produkten bezogen werden kann. Auch Fornax bietet seinen Kunden hier entsprechende Pakete mit fest definierten Leistungsumfängen an, über die zu fixen monatlichen Kosten die Aktualität der Systeme jederzeit sichergestellt werden kann (siehe www.it-leistungsversprechen.de). 

Die Vorteile für den Kunden liegen auf der Hand - er profitiert von der Geschwindigkeit und den standardisierten Prozessen seines Dienstleisters und sichert sich dadurch Systeme, die immer auf einem aktuellen Stand und damit auch bestmöglich gegen Angriffe von außen geschützt sind.