In diesem Artikel werfen wir einen Blick auf ein technisches Werkzeug aus der Informationssicherheit. Den Security Scan bzw. Schwachstellenscan (Vulnerability Scan). Obwohl Schwachstellenscanner für alle möglichen Anwendungsbereiche zur Verfügung stehen, fokussiert sich dieser Artikel auf den häufigsten Anwendungsfall in diesem Kontext: Security Scans für extern erreichbare Systeme.
Extern erreichbare Systeme
Über das Internet erreichbare Systeme sind ein beliebter Einstiegspunkt für Angreifer und werden bei unzureichender Sicherung oder Wartung gerne als Einfallstor für weiterführende Angriffe auf das interne Firmennetz genutzt.
Das ist keine neue Erkenntnis, weshalb derart exponierte Dienste und Server i. d. R. durch verschiedene Sicherheitsmaßnahmen geschützt werden. Trotzdem kann es passieren, dass verfügbare Software-Updates nicht rechtzeitig eingespielt werden oder Dienste öffentlich erreichbar sind, die eigentlich nur für den internen Gebrauch vorgesehen sind.
Um derartige Vorfälle einzudämmen und weitere Sicherheitsprobleme rechtzeitig zu erkennen, bieten sich regelmäßige Security Scans an. Ein Security Scan arbeitet dabei mit den gleichen öffentlichen Informationen, die auch einem tatsächlichen Angreifer zur Verfügung stehen, und bietet dadurch eine ergänzende Monitoring-Methode aus einer anderen Perspektive.
Risikobewertung
Die durch das Scanning-Tool identifizierte Schwachstellen werden je nach Schwere und Risiko in unterschiedliche Kritikalitätsstufen eingeteilt. Hierfür gibt es verschiedene Bewertungssysteme mit unterschiedlichen Berechnungsgrundlagen und Gewichtungen. Das Common Vulnerability Scoring System (CVSS) ist bspw. ein in der Praxis häufig verwendetes Bewertungssystem.
Alle Bewertungssysteme haben gemeinsam, dass am Ende ein Gesamtwert herauskommt, welcher die Kritikalität der bewerteten Schwachstelle abbildet. In der Praxis wird bei der Bewertung von Schwachstellen meistens zwischen fünf verschiedenen Kritikalitätsstufen unterschieden:
- Info
- Niedrig
- Mittel
- Hoch
- Kritisch
Schwachstellen mit der Einstufung „Info“ besitzen dabei hauptsächlich informativen Charakter, während Feststellungen mit der Einstufung „Kritisch“ ein unmittelbares Sicherheitsrisiko bedeuten können.
Aktualität durch Plug-ins
Security Scanner sind i. d. R. modular aufgebaut und verwenden für die Erkennung von Schwachstellen und Sicherheitslücken verschiedene Plug-ins. Durch diesen flexiblen Ansatz lassen sich Plug-ins leicht hinzufügen oder aktualisieren. Der Scanner bleibt damit stets auf dem neusten Stand und kann auch auf aktuelle Bedrohungen reagieren.
Compliance-Vorgaben eingehalten
Auch für Compliance-Vorgaben im IT-Bereich oder die Einhaltung von ISO-Normen kann es sinnvoll sein, auf derartige Tools zurückzugreifen. Eine häufige Feststellung ist bspw. die Verwendung veralteter oder unsicherer Verschlüsselungsstandards, die auch aus Gründen des Datenschutzes nicht mehr verwendet werden sollten. So hat der Verantwortliche nach Art. 32 DSGVO (Sicherheit der Verarbeitung) technische und organisatorische Maßnahmen zum Schutz von personenbezogenen Daten zu treffen. Dazu gehört auch „ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.“ (Art. 32 Abs. 1 lit. d DSGVO). Security Scans können Sie dabei unterstützen, diesen Verpflichtungen nachzukommen.
Ergebnisse der Scans
Bei den Ergebnissen von Security Scans ist vor allem eine zeitnahe Auswertung wichtig sowie das Aussortieren von „False Positives“, also von Fehlalarmen, die bspw. darauf zurückzuführen sind, dass der Scanner nicht alle erforderlichen Informationen abrufen kann. Ein Scanner arbeitet auf Basis von Algorithmen, Mustern und Versionsnummern. Die abschließende Auswertung und Einschätzung der Ergebnisse sollte demzufolge immer in Zusammenarbeit mit den verantwortlichen Mitarbeitenden erfolgen.
Fazit
Security Scans sind ein praktisches Tool, um sich einen schnellen, regelmäßigen und einfachen Überblick über mögliche Schwachstellen in extern erreichbare Systeme zu verschaffen.
Gleichzeitig ist zu beachten, dass derartige Scans einen vollständigen Penetrationstest (kurz Pentest) nicht ersetzen können, da sich längst nicht alle Sicherheitsprobleme automatisiert erkennen lassen.
Bei einem Pentest werden neben automatisierten Scans auch manuelle Testmethoden, Falsifizierungen oder weiterführende Untersuchungen auf Basis der Ergebnisse durchgeführt.
Für weitere Informationen zu Security Scans oder Pentest kontaktieren Sie gerne das Team der Informationssicherheit über unser Kontaktformular. Wir freuen uns auf Ihre Anfrage!