Sysbus
ArtikelSecurity

“Untouchable”=”Unpatchable”?

gg

Autor/Redakteur: Ron Gula, CEO von Tenable/gg

Praktisch jedes Unternehmen hat und nutzt sie – so genannte “Untouchables”, also quasi “unantastbare” Systeme, die einerseits als absolut erfolgskritisch für bestimmte Geschäftsbereiche und –aufgaben gelten, andererseits aber den gleichen Sicherheitsrisiken ausgesetzt sind, wie jedes andere IT-System. Untouchables können jedoch aus verschiedensten Gründen nicht mit traditionellen Ansätzen und Techniken wie dem Scannen auf Schwachstellen, der Suche nach Konfigurationsproblemen, der Durchführung von Patches, dem Aktualisieren des Konfigurationsaufbaus oder gar dem Einsatz von Security-Agenten wie zum Beispiel host-basiertem IPS abgesichert werden. Vor allem die geschäftskritische Beschaffenheit der Applikationen und Services, die diese Systeme bereit stellen, und nicht zuletzt die Sensitivität der dort hinterlegten Daten lassen “normale” Sicherheitsmaßnahmen wie aktives Scanning und Penetrationstests nicht zu, da die Gefahr einer Systeminstabilität zu hoch ist.

Zu den nicht antastbaren Systemen gehören zunächst einmal kritische und hoch-sensitive Systeme. Für solche Systeme kann auch unter normalen Betriebsbedingungen keinerlei Unterbrechung toleriert werden, und sei sie noch so “klein”. Die Unterbrechung von Prozesskontrollsystemen, medizinischen Vorrichtungen oder Systemen, die beispielsweise für Langzeitforschungsprojekte eingesetzt werden, kann zu ernsten Katastrophen oder gar zu Todesfällen führen. Entsprechend sind Schutzmaßnahmen, die auf irgendeine Weise in die Funktionalität solcher Systeme eingreifen oder potentiell zu Betriebsunterbrechungen führen könnten, nicht anwendbar – es sei denn, unter strengstens kontrollierten Bedingungen.

Das gleiche gilt in ähnlicher Form für Legacy/nicht unterstützte Systeme. Auch wenn man nicht gerne darüber spricht – praktisch jede Organisation hat Systeme aus “alten Zeiten” im Einsatz, die zwar lange aus der Mode gekommen, aber für bestimmte Prozesse noch immer sehr bedeutend sind. Nicht selten “hausgemacht”, für ein nicht unterstütztes Betriebssystem programmiert oder abhängig von einer prähistorischen Datenbank – solche Altsysteme bergen eine Vielzahl facettenreicher Sicherheitsrisiken, sind aber mit ihren spezifischen Funktionen und Services für die Unternehmen unverzichtbar. Security-Patches sind für die meisten Legacy-Lösungen jedoch nicht mehr verfügbar und selbst, wenn sie es wären – es gibt kaum noch eine IT-Fachkraft die weiß, wie diese Systeme tatsächlich funktionieren und was im Problemfall zu tun ist.

Ein weiteres Problem ergibt sich durch Systeme außerhalb der Unternehmenskontrolle. Zwar betreiben die meisten Organisationen ihr eigenes Netzwerk, doch zunehmend gehören die Systeme und Devices darin nicht dem Unternehmen selbst. Häufig sind sie in Besitz und unter Wartung von Drittanbietern, etwa Vertragspartnern oder Service Providern. Damit liegen die betreffenden Systeme und Geräte außerhalb der Kontrolle des Unternehmens – die Organisation hängt davon ab, welche Bedeutung der Drittanbieter der Systemsicherheit und Wartung beimisst.

Ebenfalls nicht zu vergessen: die Netzwerk-Devices. Zwar wurden sie ursprünglich im Hinblick auf Hochverfügbarkeit und Systemredundanz entwickelt, doch längst sind Router, Switches, Firewalls und sogar einige Load Balancer von essentieller Bedeutung für den Betrieb sämtlicher, im Unternehmen eingesetzter Applikationen und Systeme. Der kontinuierliche, reibungslose Betrieb dieser Geräte darf also nicht gefährdet werden.

Dabei ist die “Unantastbarkeit” nur einer von vielen Gründen, warum bestimmte Systeme und Devices nicht gepatcht werden können. Möglicherweise ist auch gar kein Patch verfügbar, etwa weil der entsprechende Hersteller nicht adäquat reagiert. Oder eine System-Korrektur würde zu Kompatibilitätsproblemen führen, die nicht tolerierbar sind, etwa, wenn sie in den regulären Betrieb einer anderen, wichtigen Software eingreift. Häufig kann auch schlicht nicht das angemessene Wartungsfenster für Patches oder andere Maßnahmen zur Verfügung gestellt werden, da der Systembetrieb zu keiner Zeit unterbrochen werden darf.

Für “Unpachables” gilt im Ergebnis das gleiche, wie für die gesamte Gruppe der “Untouchables” – nämlich dass ihren möglichen Schwachstellen nicht mit einer herkömmlichen Security-Praxis wie dem Patchen begegnet werden kann. Stehen jedoch keine Tools zur Verfügung, die diese Sicherheitslücken schließen, kann der Einsatz von “Untouchables” und “Unpatchables” gravierende Risiken nach sich ziehen. Besonders hoch ist das Risiko einer erfolgreichen Attacke und System-Kompromittierung – die folgenschweren Konsequenzen können längere Ausfallzeiten, Produktivitätsverluste, die Gefährdung sensitiver Daten, der Verlust des Kundenvertrauens oder andere Formen von Reputationsverlust und im schlimmsten Fall auch Umsatzverluste sein.

Darüber hinaus sind auch die gesetzlichen Bestimmungen sowie die spezifischen Anforderungen bestimmter Märkte zu bedenken. So fordert zum Beispiel der für die Payment Card Industry definierte Data Security Standard (PCI DSS) explizit das regelmäßige Schwachstellen-Scanning der betreffenden Systeme. Andere Regularien und allgemein akzeptierte Security-Praktiken verlangen das zeitnahe Patchen aller angreifbaren Systeme und den Einsatz Host-basierter Security-Agenten, etwa für Anti-Malware, Zugriffskontrolle oder Intrusion Prevention. Sind diese Maßnahmen nicht durchführbar und die Systeme nicht compliant, kann dies zu negativen Audit-Ergebnissen, nicht bestandenen Compliance-Checks, noch strengeren, legalen Auflagen und in letzter Konsequenz zu hohen Geldstrafen führen.

Das könnte dir auch gefallen

Expertenkommentar zum Thema “Sicherheit im Wandel”

gcg

Mit Enterprise Search die Datenflut beherrschen

gcg

Check Point kündigt Infinity Total Protection an, ein Sicherheitsmodell zur Abwehr von Bedrohungen und Attacken der 5. Generation

gcg
Die mobile Version verlassen
%%footer%%