RiLi-Schwachstellenmanagement

Aus ISMS-Ratgeber WiKi
Version vom 22. August 2024, 18:26 Uhr von Dirk (Diskussion | Beiträge) (→‎Gesetzliche Rahmenbedingungen)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springenZur Suche springen

Ein funktionierendes Schwachstellenmanagement ist unerlässlich, um die IT-Systeme einer Organisation vor Bedrohungen zu schützen, indem Schwachstellen systematisch identifiziert, bewertet und beseitigt werden. Die Richtlinie zum Schwachstellenmanagement hilft, klare Prozesse und Verantwortlichkeiten zu definieren, um Schwachstellen effektiv zu managen und die Sicherheit der IT-Infrastruktur kontinuierlich zu verbessern.

Einleitung

Diese IT-Sicherheitsrichtlinie für das Schwachstellenmanagement (Vulnerability Management) ist ein wichtiger Baustein, um die IT-Systeme und Daten der Organisation vor Bedrohungen zu schützen. Diese Richtlinie legt fest, wie die Organisation Schwachstellen in ihren Systemen identifiziert, bewertet und beseitigt.

Geltungsbereich

Diese Richtlinie gilt für alle IT-Systeme der Organisation.

Zielsetzung

Durch die Umsetzung der IT-Sicherheitsrichtlinie zum Schwachstellenmanagement stellt die Organisation sicher, dass ihre IT-Systeme und Daten bestmöglich vor Bedrohungen geschützt sind und Schwachstellen schnell und effektiv behoben werden.

Gesetzliche Rahmenbedingungen

Die Organisation muss sicherstellen, dass die geltenden gesetzlichen Bestimmungen und Standards im Bereich der IT-Sicherheit und des Datenschutzes eingehalten werden. Zu beachten sind unter anderem

  • Die Datenschutzgrundverordnung (DSGVO) regelt den Schutz personenbezogener Daten in der Europäischen Union und legt fest, wie personenbezogene Daten verarbeitet werden dürfen, aber auch wann und wie Vorfälle gemeldet werden müssen.
  • Das IT-Sicherheitsgesetz regelt sicherheitsrelevante Aspekte der Informationstechnik für kritische Infrastrukturen. Es schreibt vor, dass Unternehmen angemessene technische und organisatorische Maßnahmen ergreifen müssen, um ihre IT-Systeme zu schützen und Sicherheitsvorfälle zu verhindern.
  • ISO/IEC 27001 ist ein internationaler Standard, BSI IT-Grundschutz ein deutscher Standard für Informationssicherheitsmanagement.

Mögliche weitere rechtliche Rahmenbedingungen sind im Artikel Rechtsgrundlagen aufgelistet.

Verantwortliche

Beschreibung, welche Bereiche der Organisation für die Identifizierung und Bearbeitung von Schwachstellen verantwortlich sind. Die Verantwortlichkeiten können zentral (z.B. ein SOC) oder dezentral (im Betrieb) organisiert sein.

Begriffsdefinition

In diesem Kapitel werden zentrale Begriffe erläutert, die im Kontext des Schwachstellenmanagements verwendet werden. Die klare Definition dieser Begriffe ist wichtig, um Missverständnisse zu vermeiden und sicherzustellen, dass alle Beteiligten dieselbe Sprache sprechen.

Durch die präzise Definition dieser Begriffe wird die Grundlage für ein gemeinsames Verständnis im Schwachstellenmanagement geschaffen, was essenziell für die effektive Umsetzung der Richtlinie ist.

Schwachstelle

Eine Schwachstelle ist eine Sicherheitslücke in einem IT-System, einer Anwendung oder einem Prozess, die von Bedrohungen ausgenutzt werden kann, um unbefugten Zugriff zu erlangen oder Schaden zu verursachen. Schwachstellen können technischer Natur sein, aber auch durch fehlerhafte Prozesse oder menschliches Versagen entstehen.

Bedrohung

Eine Bedrohung ist ein potenzielles Ereignis oder eine Aktion, die eine Schwachstelle ausnutzen kann, um unerwünschte Folgen wie Datenverlust, Systemausfälle oder unberechtigten Zugriff herbeizuführen. Bedrohungen können durch externe Angreifende, interne Mitarbeitende oder auch durch Umgebungseinflüsse wie Naturkatastrophen verursacht werden.

Risikobewertung

Die Risikobewertung ist ein Prozess, bei dem die Wahrscheinlichkeit und die potenziellen Auswirkungen einer Bedrohung, die eine Schwachstelle ausnutzt, analysiert werden. Ziel ist es, das Risiko zu quantifizieren und Prioritäten für Maßnahmen zur Risikominderung zu setzen.

Prozess des Schwachstellenmanagements

Der Prozess des Schwachstellenmanagements umfasst die Identifizierung, Bewertung, Priorisierung, Behebung und Überwachung von Schwachstellen und ist darauf ausgelegt, kontinuierlich und systematisch Sicherheitslücken zu beheben.

Schwachstellenidentifikation

Die Schwachstellenidentifikation ist der erste und entscheidende Schritt im Schwachstellenmanagementprozess. Sie umfasst das systematische Aufspüren von Sicherheitslücken in IT-Systemen, Anwendungen und Netzwerken. Durch den Einsatz automatisierter Tools, regelmäßiger Scans und das Sammeln von Informationen aus verschiedenen Quellen wird sichergestellt, dass potenzielle Schwachstellen frühzeitig erkannt werden. Dies bildet die Grundlage für eine gezielte Risikobewertung und effektive Gegenmaßnahmen, um die Sicherheit der IT-Infrastruktur zu gewährleisten.

Arten von Schwachstellen

In der Organisation kann es verschiedene Arten von Schwachstellen geben, die auf unterschiedliche Weise erkannt und behandelt werden müssen:

Personelle Schwachstellen

Die Mitarbeitenden der Organisation sowie Dienstleister können ein Risiko für die IT-Sicherheit darstellen.

  • Da Menschen für den manuellen Betrieb der IT-Systeme und Anwendungen der Organisation verantwortlich sind, kann eine Vielzahl von Risiken allein durch menschliches Versagen entstehen. So können beispielsweise unvollständige Dokumentation, unzureichende Schulung, die fehlerhafte Konfiguration oder Ausführung von Verfahren in der Organisation zu Problemen führen.
  • Inselwissen, das nur in den Köpfen einzelner Mitarbeitenden existiert, kann zum Problem werden, wenn die betroffenen Mitarbeitenden plötzlich ausfallen oder die Organisation verlassen.
  • Fehlende Sensibilisierung führt zu Anfälligkeit der Mitarbeitenden für Phishing-, Maleware- und Social Engineering-Angriffe.
  • Zu den personellen Schwachstellen gehört auch das Risiko, dass durch die Kopie/Verlagerung wichtiger Organisationsdaten auf lokale Geräte der Mitarbeitenden entsteht. Im Bedarfsfall sind die Daten ggf. nur noch auf einem externen Gerät gespeichert und es besteht die Gefahr, dass sie verloren gehen oder in falsche Hände geraten.
Physische Schwachstellen

Die elementarsten Arten von Schwachstellen sind physische Schwachstellen. Dies kann z.B sein:

  • Mangelnder Schutz gegen Umwelteinflüsse (Wasser, Feuer, Staub, ...),
  • lokale Schwachstellen in der Versorgung (Stromversorgung, Klimatisierung, Netzzugang, ...),
  • mangelnder Schutz gegen schädliche physische Bedrohungen (Einbruch, Diebstahl, Vandalismus, ...).
Schwachstellen in Anwendungen

Bei der Erstellung und Verbesserung von Computerprogrammen können Fehler und Schwachstellen entstehen. Diese Programmschwachstellen und Fehler können von Angreifern ausgenutzt werden oder zu Ausfällen führen.

Schwachstellen in der Konfiguration

Konfigurationsschwachstellen sind Risiken für ein IT-System aufgrund von Fehlkonfigurationen. Fehlkonfigurationen können fehlerhafte oder unzureichende Standardeinstellungen oder technische Probleme sein, die das System unsicher machen.

Identifikation von Schwachstellen

In der Organisation werden folgende Quellen für die Identifikation von Schwachstellen genutzt.

Meldung durch Mitarbeitende

Insbesondere personelle und physische Schwachstellen können nur durch aktive Beteiligung und Wahrnehmung der Mitarbeitenden der Organisation erkannt werden. Jeder Mitarbeitende ist ausdrücklich aufgefordert erkannte Schwachstellen zu melden. Bei personellen Schwachstellen geht es dabei ausdrücklich nicht um die Pflege von Denunziantentum. Hier können Kolleg(inn)en auch direkt angesprochen werden oder erkannter Sensibilisierungsbedarf anonym (ohne Nennung von Betroffenen) gemeldet werden. Jeder persönlich angesprochene Mitarbeitende sollte dabei offen für Verbesserungsvorschläge sein und dies -im Sinne der offenen Kommunikation- nicht als persönliche Kritik interpretieren.

Die Meldung von erkannten physischen Schwachstellen oder die Meldung von anonymisierten personellen Schwachstellen erfolgt über (...Beschreibung der Meldewege, z.B.: Webformular, Ticketsystem, Email-(Funktions-)Postfach...)

Auswertung von CERT-Meldungen

Die Organisation bezieht CERT-Meldungen vom Warn- und Informationsdienst vom CERT-Bund (https://wid.cert-bund.de/portal/wid/start) als Informationsbasis für bekannte Schwachstellen. (ggf. andere oder weitere CERT-Quellen benennen)

Die CERT-Meldungen werden anhand der betroffenen Produkte und Software automatisiert an die zuständigen Verantwortlichen verteilt.

Regelmäßige Schwachstellen-Scans

Das Security Operation Center (SOC) der Organisation führt mindestens vierteljährlich in Abstimmung mit dem Betrieb einen systematischen Schwachstellenscan aller IT-Systeme der Organisation durch. Darüber hinaus werden bei Bedarf, z.B. bei neuen Anwendungen oder erhöhter Risikolage, zusätzliche Scans durchgeführt. Die Ergebnisse der Scans sind zu dokumentieren. Die Dokumentation erfolgt so, dass ein Vergleich mit den Ergebnissen früherer Scans möglich ist und diese systematisch (nicht personenbezogen) ausgewertet werden können.

Schwachstellenbewertung

Die Schwachstellenbewertung ist ein zweite Schritt im Schwachstellenmanagement, bei dem identifizierte Schwachstellen systematisch nach ihrem Risiko für die Organisation eingestuft werden. Durch die Analyse der Wahrscheinlichkeit einer Ausnutzung und der potenziellen Auswirkungen auf die Informationssicherheit können Schwachstellen priorisiert und gezielte Maßnahmen zur Risikominderung geplant werden. Diese Bewertung ermöglicht es, Ressourcen effektiv einzusetzen und die IT-Sicherheitsstrategie des Unternehmens kontinuierlich zu verbessern.

Einsatz des CVSS-Scores

Der Common Vulnerability Scoring System (CVSS) ist ein standardisiertes Bewertungssystem, das die Schwere von IT-Schwachstellen auf einer Skala von 0 bis 10 einstuft. CVSS-Scores helfen, das Risiko einer Schwachstelle zu bewerten, indem sie Faktoren wie Ausnutzbarkeit, Auswirkungen und den erforderlichen Aufwand für einen Angriff berücksichtigen. Diese Scores unterstützen Sicherheitsverantwortliche dabei, Schwachstellen zu priorisieren und Ressourcen gezielt für die Behebung der kritischsten Bedrohungen einzusetzen.

Anpassung des CVSS-Scores

Der CVSS-Sore gibt nur einen alllgemeinen Anhalt ohne Berücksichtung des individuellen Kontext der Organisation. Daher muss der Score-Wert den tatsächlichen Gegebenheiten angepasst werden. Dies können sein:

  • Asset-Wert: Schwachstellen in kritischen Systemen, die zentrale Geschäftsprozesse unterstützen oder schützenswerte Daten verarbeiten, erhalten einen höheren angepassten Score.
  • Existierende Schutzmaßnahmen: Die Wirksamkeit bestehender Sicherheitsmaßnahmen (z.B. Firewalls, IPS-Systeme) wird berücksichtigt, um den realistischen Risikograd zu ermitteln. Effektive Sicherheitskontrollen und Schutzmaßnahmen können den Score reduzieren.
  • Externe Bedrohungslandschaft: Informationen über aktive Exploits oder laufende Angriffskampagnen, die die Schwachstelle ausnutzen, können den angepassten Score erhöhen.

Priorisierung nach Risiko

Die Priorisierung der Schwachstellen erfolgt anhand von Schwellenwerten für die Risikoscores, in die Prioritätsstufen hoch, mittel, niedrig.

Hoch: Schwachstellen mit einem angepassten Score von 7.0 oder höher.

Mittel: Schwachstellen mit einem Score zwischen 4.0 und 6.9.

Niedrig: Schwachstellen mit einem Score unter 4.0.

Hoch priorisierte Schwachstellen erfordern eine sofortige Reaktion, ggf. auch mit temporären Workarounds, Abschottung oder Deaktivierung von Systemen. Für weniger kritische Probleme können je nach Bedrohungslage auch längerfristige Lösungen geplant werden können.

Dokumentation und Tracking

Die Dokumentation stellt sicher, dass alle identifizierten Schwachstellen, ihre Bewertungen, die getroffenen Maßnahmen und die Ergebnisse der Überprüfung systematisch erfasst werden. Dies schafft Transparenz und ermöglicht eine klare Nachverfolgung der Fortschritte im Umgang mit Sicherheitslücken. Durch kontinuierliches Tracking können Verantwortliche den Status jeder Schwachstelle überwachen, sicherstellen, dass alle notwendigen Schritte umgesetzt werden, und bei Bedarf schnell reagieren, um die IT-Sicherheit aufrechtzuerhalten.

Überlege und beschreibe, wie Schwachstellen in der Organisation dokumentiert und überwacht werden.

Im einfachsten Fall eine manuelle Dokumentation beim ISB oder Schwachstellenmanager, im Idealfall eine datenbankgestützte Anwendung mit automatisierter Auswertung.

Regelmäßige Überprüfung und Anpassung

Mindestens halbjährlich sollten die Bewertungskriterien und Prozesse überprüft und bei Bedarf angepasst werden.

Die Bewertungsmethodik wird regelmäßig aktualisiert, um neue Sicherheitstechnologien und organisatorische Veränderungen zu berücksichtigen.

Schwachstellenpriorisierung

Gemäß der bewerteten Priorität der Schwachstelle (Hoch, Mittel, Niedrig) muss auch die Umsetzung von Maßnahmen zur Behebung der Schwachstelle gegenüber den laufenden betrieblichen Aufgaben prorisiert werden, dabei sind folgende Fristen einzuhalten:

  • Hoch: Muss innerhalb von 48 Stunden behoben werden.
  • Mittel: Muss innerhalb von 7 Tagen behoben werden.
  • Niedrig: Kann in einem angemessenen Zeitraum behoben werden, basierend auf der geschäftlichen Relevanz. Der Zeitraum sollte jedoch 30 Tage nicht überschreiten.

Schwachstellen, die mehrere Systeme oder besonders sensible Daten betreffen, erhalten unabhängig vom CVSS-Score eine und eine Stufe höhere Priorität.

Ist absehbar, dass die Fristen zur Behebung der Schwachstelle nicht eingehalten werden können, ist eine Arbeitsgruppe aus Sicherheitsmanagement und Betrieb zu bilden, die einen Behebungsplan mit Teilschritten aus Maßnahmen wie z.B. Isolation, Überwachung, Workarounds erstellt, um die Auswirkungen der Schwachstelle bis zur endgültigen Behebung wirkungsvoll zu begrenzen.

Schwachstellenbeseitigung

Die Schwachstellenbeseitigung stellt sicher, dass identifizierte Sicherheitslücken schnell und effektiv behoben werden. Dabei kommen Maßnahmen wie das Einspielen von Patches, System-Updates und temporäre Workarounds zum Einsatz, um die Sicherheit und Integrität der IT-Systeme zu gewährleisten und das Risiko von Angriffen zu minimieren.

Patch-Management

Identifizierte Schwachstellen, für die Sicherheits-Patches verfügbar sind, werden durch das Einspielen dieser Patches behoben.

Kritische Patches werden sofort nach Verfügbarkeit eingespielt, wobei die Systeme vorher gesichert werden, um im Falle von Problemen eine Rückfalloption zu haben. Patches für weniger kritische Schwachstellen werden regelmäßig im Rahmen geplanter Wartungsfenster angewendet.

System-Updates

Systeme, die durch Schwachstellen gefährdet sind, werden auf die neueste stabile Version aktualisiert, sofern ein Update verfügbar ist. Vor dem Update werden Systeme umfassend getestet, um die Kompatibilität sicherzustellen und Ausfallzeiten zu minimieren.

Workarounds und alternative Maßnahmen

Wenn keine sofortigen Patches verfügbar sind oder die Implementierung eines Patches nicht möglich ist, werden temporäre Maßnahmen ergriffen. Diese können das Blockieren des betroffenen Ports, das Deaktivieren betroffener Funktionen oder die Erhöhung von Zugriffsrestriktionen umfassen. Workarounds werden dokumentiert und regelmäßig auf ihre Wirksamkeit überprüft.

Dokumentation und Nachverfolgung

Jede Maßnahme zur Schwachstellenbeseitigung wird dokumentiert, einschließlich der durchgeführten Patches, System-Updates oder Workarounds. Die Dokumentation enthält auch den Zeitrahmen, innerhalb dessen die Maßnahmen umgesetzt wurden, sowie eine Bewertung der Wirksamkeit.

Nach der Implementierung werden die Systeme überwacht, um sicherzustellen, dass die Schwachstellen erfolgreich behoben wurden.

Überwachung

Die Überwachung des Schwachstellenmanagements erfolgt durch eine kontinuierliche Kontrolle des Fortschritts bei der Beseitigung identifizierter Sicherheitslücken. Statusberichte werden regelmäßig erstellt und an die verantwortlichen Teams sowie die Geschäftsführung weitergeleitet, um Transparenz und Verantwortlichkeit sicherzustellen. Zusätzlich werden automatisierte Überwachungstools eingesetzt, die ständig nach neuen Schwachstellen suchen und den Status bestehender Schwachstellen in Echtzeit überwachen. Regelmäßige Audits überprüfen die Effektivität der Schwachstellenbeseitigung und identifizieren mögliche Verbesserungsbereiche. Diese Überwachungsmaßnahmen gewährleisten, dass Schwachstellen zeitnah und vollständig behoben werden, wodurch die Sicherheit der IT-Infrastruktur kontinuierlich verbessert wird.

Schulung und Sensibilisierung

Schulung und Sensibilisierung stellen sicher, dass alle Beteiligten die Bedeutung von Sicherheitslücken verstehen und wissen, wie sie effektiv darauf reagieren können. Gezielte Schulungen vertiefen das Fachwissen und schärfen das Bewusstsein für potenzielle Risiken, wodurch die Wahrscheinlichkeit von Schwachstellen verringert und die Reaktionsfähigkeit bei Sicherheitsvorfällen verbessert wird.

Schulung SOC

Für das Security Operations Center (SOC) wird ein spezielles Schulungsprogramm erstellt, das den hohen Anforderungen an die Sicherheitsüberwachung gerecht wird. Dafür wird ein extra Budget zur Verfügung gestellt, um hochwertige externe Schulungen zu finanzieren. Ein externer Coach wird engagiert, um das SOC-Team bei der Einrichtung und Optimierung der Überwachungsprozesse zu unterstützen. Diese Maßnahmen stellen sicher, dass das SOC-Team stets auf dem neuesten Stand der Technik und Best Practices bleibt, um Sicherheitsvorfälle effektiv zu erkennen und zu reagieren.

Schulung Verantwortliche

Für die Fachverantwortlichen, die für die Bearbeitung und Verwaltung von CERT-Meldungen zuständig sind, wird eine interne Schulung organisiert. Diese Schulung vermittelt detaillierte Kenntnisse über den richtigen Umgang mit Sicherheitsvorfällen und die entsprechenden Meldeprozesse. Ziel ist es, die Fachverantwortlichen in die Lage zu versetzen, schnell und effizient auf CERT-Meldungen zu reagieren, um potenzielle Sicherheitsrisiken zeitnah zu minimieren.

Schulung Mitarbeitende

Alle Mitarbeitenden werden regelmäßig geschult und sensibilisiert, um ein hohes Bewusstsein für Informationssicherheit und Datenschutz zu schaffen. Die Schulungen umfassen grundlegende Themen wie sichere Passwörter, Phishing-Erkennung und den verantwortungsvollen Umgang mit sensiblen Daten. Durch kontinuierliche Sensibilisierung wird sichergestellt, dass alle Mitarbeitenden die Bedeutung von Informationssicherheit verstehen und aktiv zur Sicherung der Daten im Unternehmen beitragen.

Incident Response

Die Richtlinie sollte einen Plan für den Umgang mit Sicherheitsvorfällen enthalten, um sicherzustellen, dass die Organisation schnell und angemessen auf Schwachstellen und Bedrohungen reagieren kann. Hier kann ggf. auch ein Verweis auf die Richtlinie für das Sicherheitsvorfallmanagement ausreichend sein.

Schlussbemerkung

Behandlung von Ausnahmen

Ausnahmen von den Regelungen dieser Richtlinie sind nur mit einem begründeten Ausnahmeantrag im Rahmen des Ausnahmemanagements möglich.

Revision

Diese Richtlinie wird regelmäßig, jedoch mindestens einmal pro Jahr, durch den Regelungsverantwortlichen auf Aktualität und Konformität geprüft und bei Bedarf angepasst.

Inkrafttreten

Diese Richtlinie tritt zum 01.01.2222 in Kraft.

Freigegeben durch: Organisationsleitung

Ort, 01.12.2220,

Unterschrift, Name der Leitung