Best Practice für IT-Leiter und Geschäftsführer

Ähnliche Dokumente
Integriertes Schwachstellen-Management

Schutz vor Malware - Antivirensoftware

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

Grenzen eines Antivirenprogramms

Allianz für Cyber-Sicherheit

Warnmeldung für Unternehmen und Behörden

KASPERSKY INTERNET SECURITY 2011 UND KASPERSKY ANTI-VIRUS 2011 COPY POINTS

S7: Java als Sicherheitsrisiko security-zone Renato Ettisberger

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Cyber-Alarm 10 Tipps, wie Sie Ihre Daten schützen

SCHWACHSTELLE MENSCH

Patchmanagement Seminarvortrag von Ann-Christin Weiergräber

Live Hacking. Einblicke in die Methoden der Hacker und Was Sie zum Schutz Ihres Unternehmens tun können.

Firewall - Techniken & Architekturen

Datenschutztag. Eine Präsentation von Mateusz Gwara, Philipp Leder, Paul Panser und Patrick Wilke

Automatisierte Erkennung bekannter Sicherheitslücken mittels CVE, CPE und NVD

Informationen zur aktuellen IT-Sicherheitslage. Sebastian Klein Schwerin, 20. September 2016

Anleitung Praxisspiegel mit Safari und Mac OS X

Patch-Management. Leibniz-Akademie Hannover Wirtschaftsinformatik B. Sc. Praxisreflexion im Bereich Management im SS 2011

MEHR KONTROLLE, MEHR SICHERHEIT. Business Suite

Ihr Managed-Services-Partner für IT und Kommunikation

Janotta und Partner. Projekt DEFENSE

Sicherheit in der IT, alles fängt mit einem sicheren Passwort an

Die -Funktionen des Workflows unterstützen die folgenden SMTP-Server:

Ausrollen mit Köpfchen. Regelbasiertes Patch Management für Microsoft und Drittanbieter - Updates

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Computerwerkstatt. Updates - auf allen Geräten, wie wichtig ist das?

Die Wartung und Betreuung folgender Software-Applikationen ist bei der Variante Managed inkludiert:

SICHERHEIT AUS EINER HAND FÜR IHRE DATEN, GERÄTE UND ANWENDUNGEN KONZENTRIEREN SIE SICH AUF DIE PFLEGE - WIR KÜMMERN UNS UM DEN REST

Surfen, aber sicher! Basisschutz leicht gemacht. 10 Tipps für ein ungetrübtes Surf-Vergnügen

Cybercrime, Cyberspionage, Cybersabotage - Wie schützen wir unseren Cyberraum?

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Mythen der WP-Sicherheit

Systemvoraussetzungen für den Zugriff auf die DAA-Zeus-Umgebung aus dem Internet (Szenario-1) Halten Sie Ihr System deswegen unbedingt immer aktuell!

Überprüfung der Wirksamkeit der BSI-Konfigurationsempfehlungen für Windows 7

Locky & Co Prävention aktueller Gefahren

Network-Detektiv. Erstellt für: Test Erstellt von: Musketier Systemhaus AG

Schon mal gehackt worden? Und wenn nein woher wissen Sie das?

Cyber Security im Mittelstand. Gefahren und Lösungsansätze in der Praxis

Benutzer Dokumentation abrowser. v1.0.0

MEINE JOOMLA WEBSEITE WURDE GEHACKT WAS KANN ICH TUN? ) WEBSEITE VOM NETZ NEHMEN...2 2) EINBRUCH UNTERSUCHEN UND SICHERHEITSLÜCKE FINDEN...

lyondellbasell.com Sicherheit im Internet

WALL&KOLLEGEN RECHTSANWÄLTE AVVOCATI BARRISTER-AT-LAW MÜNCHEN INNSBRUCK BOZEN

conjectcm Systemvoraussetzungen

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Patch-Management Übersichtsbericht

Lebenszyklus einer Schwachstelle

Stuxnet zum Frühstück Industrielle Netzwerksicherheit 2.0 Stuttgart und München

Ausfüllen von PDF-Formularen direkt im Webbrowser Installation und Konfiguration von Adobe Reader

Windows 7 - aber sicher

Janotta und Partner. Projekt DEFENSE

Das CERT-Brandenburg und die Kommunen 4. Kommunaler IT-Sicherheitskongress Berlin,

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Weblogic Server - Administration für Umsteiger

Haben wir ein Problem, Mission Control?

Systemvoraussetzungen für den Zugriff auf die DAA-Zeus-Umgebung aus dem Internet (Szenario-1)

Neues aus dem DFN-CERT. 64. DFN-Betriebstagung - Forum Sicherheit 02. März 2016 Christine Kahl

Service Level Vereinbarung

(Distributed) Denial of Service

ERPRESSERSOFTWARE. Kriminelle zocken ab! Zyxel schützt Sie!

Systemvoraussetzungen

Datensicherung ist Chefsache.

Ganz sicher sicher surfen. it-sa 2013 Nürnberg

Leistungsbeschreibung

Leistungsbeschreibung vserver. Stand: 09/2018

Petya Ransomware: 11 Schritte, die Ihnen jetzt helfen

Ein Update für Ihr Passwort ist verfügbar Absicherung von Datenbanken durch automatisierte Passwortwechsel

Systemvoraussetzungen Einplatzanlage

PLATO-Systemanforderungen

eco Cybersicherheit ein Bild zur Lage der Nation und zu Windows 10

dacoso Technik, die funktioniert. In einer Zusammenarbeit, die Spaß macht. dacoso im Überblick data communication solutions

STATUS QUO IT-SICHERHEIT IN DEUTSCHEN UNTERNEHMEN

Ist meine WebSite noch sicher?

Profitieren Sie von einer offenen und flexiblen Clouddienstplattform

Cybersicherheit und die Auswirkungen auf die Industrie

Für PC und Mac, Server, Mobiltelefone

Das Wüstenrot-Unterschrifts-Pad

Updates echt oder falsch

Anwender verfügen über ein Software-Portfolio mit durchschnittlich. 14 verschiedenen. Update-Verfahren. Secunia Jahresbericht 2010

1.000 SICHERER ALS ALLE VIRENSCANNER

Cybergefahren und wie Sie sich dagegen schützen können

2. Dabei wird für jede IP ein eigener Thread gestartet.

Locky & Dridex legen deutsche Behörden lahm. Wie intelligenter proaktiver Schutz vor Cyber-Angriffen aussieht

Systemvoraussetzungen für den Zugriff auf die DAA-Zeus-Umgebung aus dem Internet (Szenario-1) Halten Sie Ihr System deswegen unbedingt immer aktuell!

Aktuelle IT-Sicherheitslage

BSI IT-Grundschutz in der Praxis

Internet für Fortgeschrittene

Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen?

Grundlagen des Datenschutzes und der IT-Sicherheit

Partner Trial Guide für Intercept X

Technische Dokumentation

Managed it-service. Server Service. Client Server. Backup Service. Peripherie Service. USV Service. Patchmanagement. Managed Anti-Virus.

PROfit 5.0. Hardware-/Software-Anforderungen. Ihre Ansprechpartner: BOC Information Technologies Consulting GmbH Naglerstraße Berlin

Cisco-Studie: Unternehmen zunehmend im Fadenkreuz von Erpressungssoftware

Überblick der Meltdown und Spectre Patches und deren Auswirkungen (Overview of Meltdown and Spectre patches and their impacts)

Transkript:

Best Practice für IT-Leiter und Geschäftsführer An Patch-Management führt kein Weg vorbei 09.11.16 Autor / Redakteur: Robert Korherr / Peter Schmitz Jede Woche werden neue Sicherheitslücken entdeckt und Patches veröffentlicht, um sie zu schließen. Doch Hacker haben insbesondere bei längst bekannten Schwachstellen oft großen Erfolg. Denn viele IT-Verantwortliche vernachlässigen das Patch- Management ein schwerwiegender Fehler. 2799 Sicherheitslücken wurden dieses Jahr bis Ende Juni alleine in den Top 50 der meist verwendeten Softwareprodukte verifiziert (Quelle: CVEdetails.com). Entsprechend müsste die zeitnahe Installation von Patches gegen bekannte Sicherheitslücken, in der Prioritätsliste von IT-Administratoren und CSOs eigentlich ganz oben stehen. Müsste! Denn die Realität, zumindest bei kleinen und mittleren Unternehmen, zeichnet ein anderes Bild. Wie sonst ist es beispielsweise zu erklären, dass für die im Jahr 2014 am häufigsten attackierten Sicherheitslücken jeweils bereits seit über einem Jahr ein Patch verfügbar gewesen wäre. Allein in den Betriebssystemen und Applikationen der Top-5- Hersteller - gemessen an der Anzahl der bekannten Sicherheitslücken - wurden im Jahr 2015 pro Arbeitstag durchschnittlich mehr als zwölf Schwachstellen erkannt, bei Einsatz von Produkten der Top-50 Hersteller sogar 23 pro Arbeitstag. Solch imposante Statistiken sind wahrscheinlich ein Grund dafür, das Thema Patch-Management vor lauter Resignation erst gar nicht anzupacken. Fast in jeder IT fehlt es schließlich an Zeit, Personal und häufig auch an geeigneten Werkzeugen für die Verteilung von Security-Patches und Updates. a

Zudem haben viele IT-Verantwortliche bereits die Erfahrung gemacht, dass Patch-Management per Turnschuh-Administration langwierig, ineffizient und im Endeffekt zu teuer ist. Denn zu allem Übel ist für die Wirkungsweise von Sicherheits-Updates auch noch ganz entscheidend, wann sie eingespielt werden. (Standardapplikationen von Adobe, Apple, Oracle Java, Mozilla Firefox und Co sind für 86 % der Sicherheitslücken verantwortlich, Microsoft-Produkte sind längst weniger vertreten). Impfungen helfen auch nicht mehr, wenn der Erreger sich bereits im Körper ausgebreitet hat. Und so kann man mit einem verspäteten Sicherheitsupdate auch nur noch die multiple Infektion weiterer Systeme durch die identische Sicherheitslücke verhindern, nicht mehr aber den ursprünglichen Ausbruch der Krankheit. Und Angreifer benötigen in der Regel lediglich wenige Wochen oder maximal Monate, um einen Großteil der Sicherheitslücken auszunutzen. Hacker lieben Oldies Für Hacker sind gerade Oldies besonders einfach anzugreifende und damit attraktive Goldies, denn alte Lücken sind umfassend dokumentiert und Malware-Bausätze leicht verfügbar. Den Cyber- Kriminellen kommt zudem zugute, dass viele Unternehmen beim Patch-Management offenbar nach dem Motto Aus den Augen, aus dem Sinn verfahren. Damit ist auch der Umstand erklärbar, dass nur wenige CVEs (Common Vulnerabilities and Exposures: Industriestandard für eindeutige Sicherheitslücken) für den weitaus größten Anteil der ausgenutzten Sicherheitsschwächen verantwortlich sind. 2014 waren zehn bekannte Sicherheitslücken für 97 % der Angriffe verantwortlich, obwohl Patches dafür längst verfügbar waren. Letztendlich ist aber fast jede Sicherheitslücke vor einer Patch- Freigabe bereits ein Oldie. Denn die wichtigsten Anbieter benötigen durchschnittlich drei Monate ab Bekanntwerden der Sicherheitslücke, bis sie überhaupt eine entsprechende Problemlösung liefern können.

Das Risiko bis zur Patch-Veröffentlichung liegt nicht in der Verantwortung der IT. Ab der Freigabe von Patches lebt die potenzielle Haftung wegen möglicher Fahrlässigkeit bei IT- Verantwortlichen oder der Geschäftsleitung aber durchaus auf. Wer kann schon behaupten, von der Notwendigkeit von Patch- Management nichts gewusst zu haben? Anti-Malware alleine reicht nicht aus Anti-Viren Lösungen versuchen schädliche Software fernzuhalten, um damit eine Infektion bereits im Vorfeld zu verhindern. Patches schließen die bekannten Angriffsziele von Mal- und Ransomware, indem die betroffenen Sicherheitslücken geschlossen werden und damit von Schadsoftware nicht mehr kompromittiert werden können. Bei über 60 % aller Angriffe öffnen die eigenen Mitarbeiter dem Schädling meist aus Unwissenheit oder Neugier die Tür und unterziehen nicht nur die FrontendIT, sondern das gesamte Netzwerk durch USB-Malware oder Phishing-Attachments einem Stresstest. Sehr ungünstig dann, wenn die aktuelle Malware-Signatur den Virus noch nicht erkennt und die Sicherheitslücke noch besteht. Patchen gegen Phishing Früher war alles besser, zumindest bei Phishing-E-Mails. Schlecht getarnte Absenderadressen, auffällig viele orthografische und grammatikalische Fehler, die selbst simpelste Online- Übersetzungstools besser umsetzen hätten können oder eine steinreiche Verwandtschaft in Kenia, die man beerbt hat, deuteten schon auf den ersten Blick auf betrügerische E-Mails mit schlechten Absichten hin. Wie viele Anwender aber vermutlich selbst bestätigen können, reicht der erste Blick auf potenzielle Phishing-Mails seit einiger Zeit oft nicht mehr aus. Phishing wird immer professioneller und dementsprechend steigt die Anzahl der Empfänger, die die betrügerischen Absichten hinter der E-Mail nicht sofort erkennen. Dabei ist das reine Öffnen der Phishing-Mails meist ungefährlich

doch auch die Zahl der Anwender, die ein Attachment öffnen, nimmt durch die steigende Professionalisierung der Phisher stetig zu. Die bösartigen Anhänge in den Mails können nur dann den größtmöglichen Schaden erreichen, wenn sie sich auf bekannte Sicherheitslücken in Standard Betriebssystemen und -Applikationen stürzen. Richtig patchen! Häufig existiert noch die Meinung, dass Betriebssysteme und Applikationen von Microsoft mit Abstand am meisten attackiert werden und es deshalb reicht, die Security Bulletins von Microsoft zu verteilen. Aber: Hacker lernen schnell. Inzwischen entfällt ein Großteil der ausgenutzten Schwachstellen auf früher eher wenig beachtete Standardapplikationen von Herstellern wie Apple, Adobe, Mozilla, Oracle, Google usw. Die Verteilung von Microsoft Patches kurz nach dem Patch-Tuesday ist natürlich sehr wichtig sie allein ist aber unzureichend. Die am meisten gefährdeten Applikationen sind in der Regel die verschiedenen Internet-Browser aller Hersteller sowie die dort eingesetzten Player und Reader. Bei den Betriebssystemen ist seit kurzem auch Mac OS besonders gefährdet. Server und Business-kritische Applikationen Bei kritischen Servern und Applikationen kommt die schöne Welt der Patch-Automatisierung in einigen Fällen ins Stocken. Durch die individuelle Konfiguration jedes Servers ist nicht immer eindeutig klar, ob das Patchen am Ende erfolgreich sein wird oder zum temporären Ausfall und damit zu Unproduktivität führt. Hier helfen Testumgebungen mit Kopien aller wichtigen produktiven Systeme und die Unterstützung von Power-Usern während der Patch-Evaluierung. Bei geschäftskritischen Applikationen wie zum Beispiel dem zentralen CRM geben die Hersteller vor, welche aktuellen Sicherheitsupdates installiert werden dürfen. Manchmal ist zunächst ein Patch des CRM- Herstellers erforderlich, bevor das eigentliche Sicherheitsupdate eingespielt werden kann. Immer wieder gibt es aber auch Szenarien,

in denen kritische Server teilweise ungepatcht bleiben müssen. Diese Systeme stellen damit bis auf absehbare Zeit ein Sicherheitsrisiko dar und müssen engmaschig überwacht oder zusätzlich anderweitig geschützt werden. In diesem Fall kann beispielsweise die Aufteilung von Applikations-Komponenten wie zum Beispiel der Datenbank- Software auf andere Serversysteme das entstehende Risiko reduzieren, da einige Bestandteile für sich unter Umständen gepatcht werden können. Hilfreich ist zudem eine Gruppierung der Workstations und Server nach Funktionen, Bereichen und Standorten, um jederzeit den Überblick zu bewahren und nicht durch versehentliche Patch- Installation Downtime zu verursachen. Bei virtualisierten Servern kann ein Angriff auf das Host-System auch Folgen für die Gast- Systeme haben, indem es sich innerhalb der physikalischen Hardware mehrfach repliziert. Das Patch-Management darf also virtuelle Server- Instanzen nicht ausklammern und muss Host, Gast und Templates aktiv patchen können - egal ob diese gerade online oder offline sind. Bei allen oben erwähnten Systemen stellt das noch verfügbare Zeitfenster für die Patch-Verteilung ein grundlegendes Problem dar. Scheduler, Power-Management und Scripting zur weitgehenden Automatisierung getesteter Workflows sind bei kritischen Systemen und Applikationen essenziell. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät: Grundsätzlich ist eine unverzügliche Einspielung von Sicherheitsupdates direkt nach Verfügbarkeit zwingend, um das Zeitfenster, in dem die Systeme verwundbar sind, so klein wie möglich zu halten (BSI: Lage der IT-Sicherheit in Deutschland 2015). Viele Infektionskrankheiten lassen sich durch wirkungsvolle Maßnahmen wie Impfungen vermeiden. Auch beim Schutz der IT zählt Patch-Management zu den wichtigsten Basics für einen funktionierenden IT-Grundschutz. Anhand der obigen Fakten kann man erkennen, dass Patch-Management kein Nebenjob sein kann.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback