Von der Entdeckung bis zur Offenlegung: Management einer Cybersicherheitsschwachstelle

Kein System ist jemals 100 % sicher

Das Schwachstellenmanagement liegt nicht nur in der Verantwortung der Hersteller, sondern es ist eine gemeinsame Aufgabe, an der Systemintegratoren, ethische Hacker und Sicherheitsforscher beteiligt sind. Jeder kann in jedem System auf Sicherheitslücken stoßen. Die Frage ist: Was sollten sie als Nächstes tun, und wie sollte sich das Unternehmen verhalten?

Identifizierung einer Schwachstelle

Eine Cybersicherheitslücke kann unzählige Formen annehmen, wie z. B.:

• Software- und Firmware-Schwachstellen: Veralteter oder unsicherer Code führt zu schwerwiegenden Sicherheitsrisiken (nicht gepatchte Schwachstellen, fest codierte Hintertüren, unsachgemäße Aktualisierungsmechanismen).

• Netzwerksicherheits- und Kommunikationsschwächen: Ungeschützter Netzwerkverkehr kann von Angreifern abgefangen und manipuliert werden (unverschlüsselte Kommunikation, Man-in-the-Middle, schwache verschlüsselte Algorithmen).

• Schwachstellen bei Authentifizierung und Zugriffskontrolle: Schwache Authentifizierungsmechanismen können unbefugten Zugriff auf das System ermöglichen (Standardkennwort, Brute-Force-Schwachstelle, fehlende Multi-Faktor-Authentifizierung).

• Hardware- und Konfigurationsschwachstellen: Schlecht konfigurierte Geräte bieten Cyberkriminellen einen einfachen Einstiegspunkt (unsichere Standardeinstellungen, ungeschützte Administrationsschnittstelle).

• Faktor Mensch: Manipulation von Personen, um sie zur Ausführung von Aktionen oder zur Preisgabe vertraulicher Informationen zu bewegen (Phishing, Social Engineering). Aus diesem Grund ist eine Schulung der Mitarbeiter zum Thema Cybersicherheit unerlässlich, damit sie potenzielle Bedrohungen erkennen und angemessen darauf reagieren können.

Unabhängig davon, wie Sie die Schwachstelle entdecken – ob bei der Installation, dem Systembetrieb, einem Sicherheitstest oder einem Penetrationstest – ist es wichtig, verantwortungsbewusst damit umzugehen.

Verantwortungsvolle Berichterstattung: Was ist als nächstes zu tun?

Nach der Identifizierung einer Schwachstelle besteht der erste und wichtigste Schritt darin, sie direkt dem Hersteller zu melden und die Offenlegung nach ihrer Behebung zu koordinieren. Verantwortungsbewusste Hersteller verfügen über einen klaren Prozess für das Management von Cybersicherheitslücken, der in der Regel Folgendes umfasst:

• Eine dedizierte E-Mail-Adresse für Sicherheitskontakte, ein Meldeformular oder ein Ticketsystem – die meisten Unternehmen bieten eine Möglichkeit an, Schwachstellen sicher zu melden. Bei 2N haben wir beispielsweise eine offizielle Richtlinie zum Schwachstellenmanagement und einen offiziellen Meldekanal auf 2N.com.

• Vereinbarungen zur koordinierten Offenlegung – Sicherheitsforscher arbeiten oft mit Herstellern nach einem vereinbarten Zeitplan zusammen, bevor Schwachstellen öffentlich werden.

Was Sie NICHT tun sollten:

• Gehen Sie nicht davon aus, dass jemand anderes die Schwachstelle melden wird. Wenn Sie etwas bemerken, melden Sie es.

• Vermeiden Sie es, die Schwachstelle öffentlich bekannt zu geben, bis die betroffene Organisation ausreichend Zeit hatte, sie zu beheben.

• Geben Sie keine Details der Schwachstelle an unbefugte Personen oder Stellen weiter.

Was ist ein Programm zur Offenlegung von Sicherheitslücken?

Ein verantwortungsbewusster Hersteller wird wahrscheinlich einem Rahmenprogramm für die Offenlegung von Schwachstellen folgen und daher die folgenden Schritte unternehmen:

1. Bestätigung: Das Unternehmen sollte den Erhalt des Berichts bestätigen und eine erste Einschätzung abgeben.
   
   
2. Untersuchung und Risikoanalyse: Sicherheitsexperten bewerten die Schwere der Sicherheitslücke, sie beurteilen, wie leicht sie ausgenutzt werden kann, und ermitteln die wirksamsten Strategien zur Risikominderung. Darüber hinaus sollten sich alle Parteien auf einen Zeitplan für die Veröffentlichung einer Fehlerbehebung und die anschließende öffentliche Bekanntgabe der Sicherheitslücke einigen.
   
   
3. Entwicklung einer Fehlerbehebung: Der Hersteller arbeitet an einem Sicherheitspatch, um das Problem zu beheben.
   
   
4. Testen und Verifizieren von Sicherheitslücken: Der Fix muss getestet werden, um sicherzugehen, dass er die Schwachstelle ordnungsgemäß behebt, ohne neue Probleme zu verursachen.
   
   
5. Öffentliche Bekanntgabe und CVE-Zuweisung: Im Rahmen der gegenseitigen Kommunikation sollten sich die Parteien auf die Zuweisung einer CVE-ID (Common Vulnerabilities and Exposures) einigen, um die Schwachstelle öffentlich bekannt zu machen, sobald ein Fix verfügbar ist.

Was sind CVE und CNA?

• CVE (Common Vulnerabilities and Exposures) ist ein branchenweit standardisiertes Programm zur Offenlegung von Schwachstellen. Ein System, das Sicherheitslücken nachverfolgt und benennt. Jeder CVE-Eintrag beschreibt eine bestimmte Cybersicherheitslücke, ihren Schweregrad, die entsprechende CVSS-Bewertung, betroffene Produkte, relevante Sicherheitshinweise und verfügbare Patches.

• CNA (CVE Numbering Authority) ist eine Organisation, die befugt ist, CVE-IDs zu vergeben. Einige große Hersteller in der IT- und Sicherheitsbranche, wie z. B. Axis, Cisco und Honeywell, fungieren als CNAs.

Was passiert, wenn Schwachstellen ignoriert werden?

Sobald der Sicherheitspatch veröffentlicht ist, müssen Systemintegratoren und IT-Teams schnell handeln, um Updates aufzuspielen. Wenn Updates verzögert werden, sind Systeme anfällig für Exploits.

Ein Beispiel dafür, was passiert, wenn Cybersicherheitslücken ignoriert werden:

• Ein bekanntes Beispiel dafür, dass ein Hersteller das Schwachstellenmanagement vernachlässigt und bewährte Verfahren für die Cybersicherheit nicht befolgt hatte, war das Equifax-Datenleck (2017). Eine bekannte Schwachstelle in Apache Struts (CVE-2017-5638) wurde nicht rechtzeitig gepatcht, was zur Offenlegung von 147 Millionen Datensätzen führte, darunter auch Sozialversicherungsnummern in den USA. Das Datenleck führte zu einer Geldstrafe von 700 Millionen US-Dollar und zu einem irreparablen Imageschaden.

Dieser Fall unterstreicht eine entscheidende Lektion: Das Erkennen von Schwachstellen reicht nicht aus – schnelle Reaktion und transparente Kommunikation sind entscheidend.

Warum mit transparenten Herstellern zusammenarbeiten?

• Zum Schutz Ihrer Kunden: Wenn Kunden in hochwertige Produkte investieren, erwarten sie ein sicheres, aktuelles System. Durch die Zusammenarbeit mit Herstellern, die rechtzeitig Sicherheitsupdates veröffentlichen, stellen Sie sicher, dass die Systeme Ihrer Kunden widerstandsfähig bleiben, und stärken so langfristige Beziehungen und Vertrauen.

• Um Ihre Expertise zu stärken: Wenn Sie wissen, wie Sie mit Cybersicherheitslücken umgehen, sind Sie ein wertvoller Partner für Ihre Kunden. Außerdem können Sie Wartungspakete und proaktive Updates als Teil des Servicemodells anbieten und so neue Einnahmequellen schaffen.

• Um sicherzustellen, dass Sie mit verantwortungsbewussten Herstellern zusammenarbeiten: Anbieter, die Sicherheit ernst nehmen, bieten klare, transparente Richtlinien für das Management von Cybersicherheitslücken, einschließlich Frühwarnungen, Sicherheitshinweisen und Anleitungen zum Schutz der eingesetzten Systeme.

Cybersicherheit ist eine gemeinsame Verantwortung

Hier schließt sich der Kreis: Kein System wird jemals zu 100 % sicher sein, und Schwachstellen wird es immer geben. Aber mit verantwortungsvoller Berichterstattung, proaktiven Schwachstellentests und transparenter Zusammenarbeit zwischen Herstellern und Integratoren können Risiken gemindert und Vertrauen aufgebaut werden.

Ob Sie nun Integrator, Entwickler oder Sicherheitsforscher sind, Ihre Rolle in der Cybersicherheit ist wichtig. Und das Verständnis für den Umgang mit Schwachstellen ist eine der wichtigsten Fähigkeiten, die Sie erwerben können.