Damit Sie die Anforderungen der ISO 27001 erfüllen können, müssen Sie technische Schwachstellen in Ihrer IT-Infrastruktur fortlaufend erfassen, einer Risikobewertung unterziehen und durch Umsetzung von Verbesserungsmaßnahmen das Risiko minimieren. Dafür benötigen Sie einen entsprechenden Schwachstellenmanagement-Prozess. Was dieser beinhalten muss, erläutern wir hier.

Ein Gastbeitrag von unserem Partner: Trovent Security GmbH

Die ISO 27001 fordert klare Abläufe im Umgang mit Schwachstellen

Die ISO 27001 definiert die Anforderungen, die ein ISMS (Informationssicherheitsmanagementsystem) erfüllen muss. Ein ISMS besteht aus Verfahren und Regeln, die dazu dienen, die Informationssicherheit dauerhaft in einem Unternehmen zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und kontinuierlich zu verbessern.

Das übergeordnete Ziel des ISMS ist die Sicherstellung der Informationssicherheit, dazu zählen insbesondere

• • Vertraulichkeit,
  • Integrität,
  • und Verfügbarkeit von Informationen.

Die DIN ISO/IEC 27001 existiert seit 2005 und wurde seitdem mehrfach überarbeitet. Aktuell gilt die ISO/IEC 27001:2022.

Im normativen Anhang A der aktuellen ISO 27001 fordert die Maßnahme A8.8 – “Management of technical vulnerabilities” – dass im Rahmen der Umsetzung eines wirksamen ISMS zwingend ein strukturierter und nachvollziehbarer Prozess im Umgang mit technischen Schwachstellen implementiert wird.

Wortwörtlich heißt es im Anhang A:

“Information about technical vulnerabilities of information systems in use shall be obtained, the organization’s exposure to such vulnerabilities shall be evaluated and appropriate measures shall be taken.”

Der umzusetzende Prozess sollte möglichst fortlaufend sein, um das Informationssicherheitsniveau der Organisation maßgeblich und nachhaltig zu steigern. Der hierbei entscheidende Faktor: Die Qualität der Erfassung und die dem tatsächlichen Risiko entsprechende Bewertung der potentiellen Angriffsfläche eines Unternehmens lebt von ihrer Aktualität. Mit anderen Worten, eine Schwachstellenanalyse, die bereits mehrere Monate alt ist, wird keinen vollständigen Aufschluss über die aktuelle Angreifbarkeit der IT-Infrastruktur liefern können!

Schwachstellenmanagement: Wie ein ISO-27001-konformer Prozess aussieht

Aus unserer praktischen Erfahrung wissen wir, dass es in der Praxis vor allem an der Regelmäßigkeit und den klar strukturierten, wiederholbaren Prozessen hapert. So werden nur gelegentlich oder gar nur einmalig Penetrationstests oder einfache Schwachstellenscans durchgeführt. Da sowohl die analysierte IT-Infrastruktur als auch die Welt der Schwachstellen (Exploits) einem stetigen Wandel unterliegt, verlieren die Ergebnisse eines Pentests oder eines Schwachstellenscans schnell an Informationswert.

Regelmäßige, möglichst fortlaufende Überprüfungen sind somit ein “must have”, um der ISO 27001 gerecht zu werden!

Möchten Sie gemäß den Anforderungen der ISO 27001 handeln, dann sollte Ihr Schwachstellenmanagement-Prozess zumindest aus folgenden grundlegenden Schritten bestehen:

Schritt 1: Vorbereitung auf Schwachstellenanalyse

Zuerst müssen Sie herausfinden, welche IT-Assets vorhanden sind und welche systemspezifischen Eigenschaften bei der Überprüfung auf Schwachstellen zu berücksichtigen sind. Die hierfür erforderlichen Daten können Sie im Idealfall Ihrem ISMS und/oder dem Asset-Managementsystem entnehmen.

Aber, wenn es Ihnen so wie vielen Unternehmen geht, haben Sie möglicherweise keine aktuellen und vollständigen Asset-Informationen? Dann müssen Sie in einer initialen Erhebung, beispielsweise durch einen maschinell gestützten Discovery-Scan, alle in Ihrer IT-Infrastruktur befindlichen IT-Assets erfassen, um sich somit einen Gesamtüberblick zu verschaffen.

Schritt 2: Schwachstellenanalyse durchführen

Nachdem die Grundlagen geschaffen wurden, werden die richtigen Parameter für die Konfiguration eines Schwachstellen-Scans festgelegt und der Scan durchgeführt. Das Ergebnis des Scans ist typischerweise eine lange Liste von technischen Schwachstellen, die den jeweiligen überprüften IT-Assets zugeordnet werden. Genau diese oft sehr umfangreichen Scan-Ergebnisse, die allesamt bewertet werden müssen, treiben Unternehmen oftmals dazu an, diese Aufgabe an spezialisierte Dienstleister auszulagern!

Meist werden bei einer Überprüfung einige IT-Systeme entdeckt werden, die bisher nicht im Asset-Management erfasst waren. Die gesammelten Informationen (IP-Adressen, Betriebssystemversionen etc.) übernehmen Sie dann in das Asset-Managementsystem – idealerweise lässt sich das über vorhandene Schnittstellen des Schwachstellenscanners und des Asset-Managementsystems (teil-)automatisiert erledigen.

Schritt 3: Bewertung der Ergebnisse

Zur Bewertung der Schwachstellen ist zunächst das Common Vulnerability Scoring System (CVSS) heranzuziehen. Diese Metrik berücksichtigt verschiedene Eigenschaften einer Schwachstelle, um den Schweregrade einer Schwachstelle zu bewerten:

• • den Angriffsvektor – Welchen Zugriff wird benötigt, um die Schwachstelle auszunutzen?
  • die Angriffskomplexität – Wie komplex ist die Ausnutzung für den Angreifer?
  • die Authentisierung – Sind Benutzerrechte erforderlich, um die Schwachstelle auszunutzen?

Der CVSS-Score allein reicht jedoch nicht aus, um die Bedeutung von Schwachstellen zu beurteilen! Selbst eine technische Schwachstelle, die als schwerwiegend eingestuft wird, kann im spezifischen Kontext Ihres Unternehmens harmlos sein. Umgekehrt kann eine scheinbar harmlose Schwachstelle einem Angreifer ermöglichen, große Teile Ihrer IT-Infrastruktur zu kompromittieren.

Daher ist es wichtig, dass Sie eine fundierte Bewertung durchführen! Schätzen Sie ab, welche Auswirkungen die erfolgreiche Ausnutzung einer Schwachstelle auf die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer IT-Infrastruktur und Ihrer Informationswerte haben könnte. Bewerten Sie diese potenziellen Auswirkungen im Kontext der Gegebenheiten Ihres Unternehmens, insbesondere im Hinblick auf die bestehenden (besonders überlebenswichtigen) Geschäftsprozesse.

Schritt 4: Priorisierung der Maßnahmen

Nachdem Sie eine Bewertung der Schwachstellen vorgenommen haben, müssen mögliche Verbesserungsmaßnahmen identifiziert und die Umsetzung dieser gemäß des Risikos der jeweiligen Schwachstelle priorisiert werden. Fragen Sie sich dafür unter anderem:

• • Welche Schwachstellen haben bei erfolgreicher Ausnutzung durch einen Angreifer das größte Schadenspotential?
  • Mit welcher Wahrscheinlichkeit kann die jeweilige Schwachstelle erfolgreich durch einen verfügbaren Exploit ausgenutzt werden?

Bei der Priorisierung der Maßnahmen sollten Sie auch berücksichtigen, welcher Aufwand betrieben werden muss, um eine Schwachstelle erfolgreich schließen zu können.

Das Ergebnis dieses Prozesses ist ein Plan, der die umzusetzenden Verbesserungsmaßnahmen und die damit verbundenen Kosten berücksichtigt – sowohl personell als auch in Form von Investitionen in IT-Infrastruktur. Schlussendlich muss der mit der Verbesserung in Verbindung stehende Aufwand immer in einem angemessenen Verhältnis zum Schadenpotential bzw. der möglichen Risikominderung stehen!

Schritt 5: Zuweisung der Aufgaben

Die ISO-27001-Norm verlangt eindeutige Risikoeigentümer. Sie müssen daher eine bereits identifizierte, bewertete und priorisierte Schwachstelle einem Verantwortlichen zuweisen. Dieser ist folglich für die Umsetzung der festgelegten Verbesserungsmaßnahme(n) verantwortlich.

Idealerweise sollten Sie hierfür zwecks Effizienz, Aufgabenzuweisung/-verwaltung, Dokumentation und Nachverfolgbarkeit ein Change-Managementsystem nutzen. Ohnehin fordert die 27001-Norm die Implementierung von entsprechenden Change-Managementprozessen (siehe Maßnahme A 8.32 des Anhang A – Change Management). Die beiden Maßnahmen – Schwachstellenmanagement und Change-Management – ergänzen sich also in der Praxis ideal.

Schritt 6: Verbessern und beheben

Der Risikoeigentümer muss sicherstellen, dass die empfohlenen Verbesserungsmaßnahmen zur Behebung oder Linderung der ihm zugewiesenen Schwachstellen durchgeführt werden. Er dokumentiert die umgesetzten Maßnahmen im Change-Managementsystem und ergänzt/aktualisiert Asset-Informationen im ISMS.

Schritt 7: Nachverfolgen und wiederholen

Am Ende der Prozesskette müssen Sie nachverfolgen und verifizieren, ob die Verbesserungsmaßnahmen tatsächlich umgesetzt wurden. Ist das Software-Update tatsächlich eingespielt worden? Ist die notwendige Konfigurationsänderung auch nachweislich umgesetzt worden?

Erst nachdem bei einer erneuten Durchführung des Schwachstellen-Scans verifiziert werden konnte, dass eine vormals erfasste Schwachstelle beseitigt wurde (beispielsweise durch Einspielen eines Software-Updates oder Korrektur der Systemkonfiguration), wird die Aufgabe im Change-Managementsystem als erledigt markiert.

Und was passiert nach erfolgreicher Behebung von Schwachstellen, die im Zuge einer Schwachstellenanalyse erfasst wurden? Der Schwachstellenmanagement-Prozess beginnt sogleich wieder von vorne!

Sichere Systemkonfiguration mit Gruppenrichtlinien: Die Vor- und Nachteile

Kommt Ihnen der gesamte Ablauf irgendwie bekannt vor? Kein Wunder: Dahinter steckt im Grunde der Demingkreis, auch als PDCA-Zyklus (Plan-Do-Check-Act) bekannt.

Gemäß der ISO 27001 ist dieser Kreislauf im Sinne der kontinuierlichen Verbesserung nicht nur einmalig oder in großen Abständen zu durchlaufen, sondern fortwährend. Abseits der Anforderungen der 27001-Norm gibt es auch ganz praktische Gründe, weshalb ein solch fortlaufender Prozess im Kontext der IT- und Informationssicherheit unverzichtbar ist:

• • Die Anzahl angreifbarer Schwachstellen sowie Schadsoftware-Varianten nimmt täglich zu
  • Professionelle Angreifer entwickeln rasch Exploits für die Ausnutzung neu entdeckter Schwachstellen – unter anderem mit Hilfe von KI-Tools
  • Die IT-Infrastruktur Ihres Unternehmens unterliegt einem kontinuierlichen Wandel und folglich gilt dies in gleichem Maße für Ihre potentielle Angriffsfläche – sie verändert sich täglich!

Daher lassen sich die Anforderungen des normativen Anhangs A der ISO 27001 nur mit einem sich zyklisch wiederholenden Schwachstellenmanagement-Prozess erfüllen.

Fazit

Nur wenn Sie Ihre potenzielle Angriffsfläche kontinuierlich erfassen und analysieren, sowie identifizierte Schwachstellen bewerten und proaktiv beheben, können Sie die Anforderungen der ISO 27001 erfüllen.

Zusammengefasst bedeutet das für Ihr Unternehmen und Ihre IT-Infrastruktur:

• • Sie müssen proaktiv Informationen über technische Schwachstellen beschaffen.
  • Sie sind verpflichtet, jede Schwachstelle zu bewerten, wobei die tatsächliche Bedrohung für Ihre Organisation zu berücksichtigen ist.
  • Ausgehend vom Schweregrad der jeweiligen Schwachstelle und des konkreten Risikos für Ihre IT-Infrastruktur, sind angemessene, entsprechend priorisierte Verbesserungsmaßnahmen zu ergreifen.

____

Wir empfehlen die Trovent Security GmbH für:

Angriffserkennung, Managed Detection, Schwachstellenmanagement, Penetrationstests und mehr – Trovent Security sichert die IT-Infrastruktur seiner Kunden zuverlässig ab. Das in Bochum ansässige Unternehmen bietet Cyber-Sicherheitslösungen zur Prävention, Detektion und Reaktion aus einer Hand.