Angriffs-Prophylaxe durch Schwachstellen-Management (Fortsetzung)

Während bei praktisch allen bekannt gewordenen Angriffen in der Vergangenheit bereits publizierte Sicherheitslücken angegriffen wurden, wird es in Zukunft verstärkt Angriffe auf unbekannte Schwachstellen geben, ist sich Eschel-beck sicher. Damit bekäme das Schlagwort »Zero Day-Reaktion« noch einmal ein neue Qualität, will heißen: die Abwehrmaßnahme muss auch dann greifen, wenn die Sicherheitslücke über-haupt noch nicht bekannt war. Bislang definieren ja zumindest die Hersteller von Sicherheits-Software »Zero Day-Reaktion« dahingehend, dass eine Abwehrmaßnahme unmittelbar nach bekannt werden der Schwachstelle zur Verfügung steht. VERDECKTE SCHWACHSTELLENPOLITIK DER HACKER-SZENE
Für Stefan Strobel,Geschäftsführer beim Heilbronner Sicherheitsspezialisten Cirosec, geht diese Interpretation an der Realität vorbei: »De facto kursieren heutzutage viele Schwachstellen und Schadprogramme nur in Hackerkreisen und werden sozusagen innerhalb einer geschlossenen Benutzergruppe, beispielsweise über IRC-Server, kommuniziert«. Strobel schätzt diese geschlossene Benutzergruppe in Deutschland auf »vielleicht 50 Personen« und meint:»Da kommt man nicht so leicht ran«. GERÄTEBASIERTE ABWEHRSYSTEME
Strobel hält gerätebasierte Einbruchs-sensoren,im Englischen als »Host Based Intrusion Prevention Systems« bezeichnet, für das beste und derzeit letztlich einzige Mittel gegen Angriffe auf unbekannte Schwachstellen.Ein hostbasiertes Abwehrsystem kontrolliert die Ressourcen-Zugriffe aller Programme, die auf dem System ablaufen. Jeder Zugriff auf eine Datei der Festplatte, auf einen Registry-Eintrag, auf das Netzwerk oder ein externes Gerät kann dabei mit einem gelernten Normal-Profil verglichen werden. Innerhalb des Arbeitszyklus des Schwachstellen-Managements sind solche Systeme der Schutzschild, der ein angegriffenes System intakt hält,bis die entsprechende Sicherheitslücke geschlossen ist. Michael Hölzer, Sicherheitsberater bei Internet Security Systems (ISS), spricht von einem »virtuel-len Patch«, wenn er die entsprechende Schutzschildfunktion der Einbruchs-präventions-Lösung Proventia von ISS beschreibt. Nachdem eine Problemstelle erkannt wurde und ein entsprechender Fehlerbehebungsauftrag (Trouble Ticket) in einer Datenbank abgelegt worden ist,ist dieser Schutzschild wichtig, bis die entsprechenden SoftwareKorrekturen aufgespielt sind. Das kann öfter etwas länger dauern, zum einen wegen der schieren Zahl der aufzuspielenden Patches, zum anderen aber deshalb, weil solche Fehlerbehebungen das System oft an anderen Stellen unbeabsichtigt destabilisieren. Insofern müssen zumindest alle geschäftskritischen Anwendungen vor dem endgültigen Einspielen des Patches auf Verträglichkeit getestet werden.