Sicherheitslücken managen
Wie das Vulnerability Management am besten gelingt
Fortsetzung des Artikels von Teil 1
Aus der Praxis
Schnelligkeit zählt
Stellt ein Kunde oder das Adacor Hosting-Team fest, dass Kundensysteme von einer Sicherheitslücke bedroht sind, heißt es: Schnell handeln! Wir entscheiden immer innerhalb von zwei Stunden, ob das Change Advisory Board – das ist ein Gremium aus den Teamleitern aller Abteilungen – eingeschaltet wird. Dort bewerten die Experten den „Fall“ noch einmal ausführlich im Kundenkontext. Sollte demnach ein „Notfall“ vorliegen, geht unverzüglich per E-Mail eine Information an die betroffenen Kunden raus.
In dieser E-Mail erfahren die Kunden, welches Sicherheitsproblem aufgetreten ist und ob die Reparatur der Lücke Auswirkungen auf den laufenden Betrieb der Systeme hat. Innerhalb von weiteren zwei Stunden muß der Kunde entscheiden, ob er ein Veto gegen die Reparaturarbeiten einlegen will. Dies kann zum Beispiel der Fall sein, wenn ein Serverausfall für ein Unternehmen hohe Umsatzverluste mit sich bringen würde. Häufig entscheiden sich Unternehmen dann, Wartungs- und Reparaturarbeiten auf die Nacht zu verschieben.
Legen die Kunden kein Veto ein, starten die Sicherheitsexperten nach zwei Stunden mit den Reparaturarbeiten. Dabei stehen die Mitarbeiter in einem ständigen Austausch, sodass ähnliche Konfigurationen möglichst schnell mit Sicherheitsupdates versorgt werden können und keine Zeit für doppelte Recherchen verschwendet wird. Viele Prozesse werden dabei automatisiert durchgeführt, häufig sind innerhalb weniger Stunden alle Sicherheitslücken geschlossen. Nur bei sehr komplexen oder extrem individuellen Anwendungen schöpft das Team in Ausnahmefällen die 48 Stunden aus. Eine Abschlussmail informiert alle Kunden, wenn die Wartungsfenster beendet sowie alle Systeme gepatcht und auf sicherem Stand sind.
Den Abschluss eines solchen Wartungszyklus bildet immer eine Retrospektive. Administratoren, Teamleiter und Kundenbetreuer setzen sich zusammen und analysieren, wie der Prozess verlaufen ist, wie Schnittstellen noch verbessert werden können oder welche Erkenntnisse für die kommenden Projekte dokumentiert und an alle Teammitglieder kommuniziert werden sollten. Vulnerability Management ist ein kontinuierlicher Prozess
Wie erfährt man von neuen Bedrohungen
Nicht immer sind Sicherheitslücken von so großer Relevanz, dass sich Fachmedien oder Expertenportale damit befassen. Viele Schwachstellen können durch Automatisierungsprozesse oder schnelle Interventionen behoben werden. Welche Quellen nutzt ein Hosting-Unternehmen wie Adacor, um von Sicherheitslücken zu erfahren?
Zum einen gibt es klassische Schwachstellenscans, die auf eine Datenbasis zurückgreifen, die von den Software-Herstellern gespeist werden. Ein solcher Scanner ist zum Beispiel „Nessus“, der regelmäßig alle laufenden Systeme auf neue Sicherheitslücken überprüft.
Daneben geben die Datenbanken des Warn- und Informationsdienstes (WID) des Bundesamts für Sicherheit in der Informationstechnik Auskunft über neue Sicherheitsgefahren. Mindestens einmal am Tag greifen wir auf die Datenbanken zu und gleichen die Warnungen mit den installierten Systemen ab, um zu entscheiden, ob Lücken existieren, die gepatcht werden müssen. Das amerikanische Pendant zum WID in Deutschland sind die Datenbanken des Common Vulnerabilities and Exposures (CVE). Die CVE-Datenbanken vergeben eindeutige IDs für neue Sicherheitslücken, anhand derer Sofortmaßnahmen eingeleitet werden können.
Neben klassischen Medien sind die sozialen Netzwerke wichtige Informationsquellen für einen Managed Service Provider. Über die bekannten Plattformen wie Twitter oder Reddit ebenso wie über Foren für Computersicherheit erfahren die Experten meist zeitnah, wo neue Sicherheitslücken aufgetaucht sind und welche Reparaturmöglichkeiten empfohlen werden.
Kai Möller ist als Security Admin bei der Adacor Hosting im Bereich Technology Operations tätig
- Wie das Vulnerability Management am besten gelingt
- Aus der Praxis
Lesen Sie mehr zum Thema
