Im Kampf gegen Ransomware ist es an der Zeit, zu den Grundlagen zurückzukehren. Effektives Patch-Management ist entscheidend, um die Cybersicherheit zu gewährleisten und die Betriebszeit von IT-Systemen zu maximieren.

Cyberbedrohungen nehmen mit alarmierender Geschwindigkeit zu. Die DACH-Region ist ein zentraler Knotenpunkt für Innovationen im Bereich Cybersicherheit, steht aber vor großen Herausforderungen. Jüngste Studien zeigen, dass 29 Prozent der europäischen Unternehmen aufgrund von Sicherheitsbedenken Schwierigkeiten haben, das Potenzial ihrer Daten voll auszuschöpfen. 49 Prozent der Unternehmen in der DACH-Region berichten von einer Zunahme der Cyberangriffe im vergangenen Jahr. Trotz strenger Datenschutz-gesetze wie der DSGVO kämpft die EU mit sich verändernden Cyberbedrohungen, einem Mangel an Fachkräften für Cybersicherheit und vernetzten digitalen Systemen. Insbesondere Deutschland spielt eine zentrale Rolle in der Cyber- und Datenpolitik und verankert die Bemühungen um einen robusten Governance-Rahmen, der ein Gleichgewicht zwischen Innovation und Sicherheitsanforderungen schafft.

Das Engagement der Region für Datenschutz und Cybersicherheitskompetenz macht sie zu einem wichtigen Akteur bei der Gestaltung globaler Cybersicherheitstrends. Die Behebung von Schwachstellen bei der Multi-Faktor-Authentifizierung, die Umsetzung von Best Practices im mobilen Bereich zur Verhinderung von Datenlecks und die Vorbereitung auf Herausforderungen bei der API-Sicherheit sind entscheidende Schritte zur Stärkung der Abwehrkräfte. Der proaktive Ansatz der DACH-Region und die Einhaltung strenger Vorschriften positionieren sie an vorderster Front im Kampf gegen Cyberbedrohungen, um nicht nur Daten zu schützen, sondern auch die Grundlage für Vertrauen und Fortschritt im digitalen Zeitalter zu schaffen.

In der heutigen Zeit erwarten Führungskräfte bei Diskussionen über Cyberrisiken schlechte Nachrichten. Tatsächlich hat sich die Situation in jüngster Zeit mit dem Aufkommen der menschenähnlichen KI verschärft. Früher konnten wir uns damit trösten, dass künstliche Intelligenz zumindest nicht so kreativ sein kann wie der Mensch. Aber das war, bevor die generative KI auftauchte und uns sprachlos machte – vor Freude oder vor Schrecken, je nachdem, was wir gerade taten. Für Sicherheitsexperten ist es letzteres, denn jede neue Technologie wird irgendwann von Bedrohungsakteuren ausgenutzt. KI und ihre generativen Unterarten können das Aufspüren von Schwachstellen erleichtern, was bedeutet, dass die Zahl der Zero-Days zunehmen wird. Und GenAI kann überzeugende Phishing-Inhalte in einem Umfang produzieren, der für menschliche Kriminelle unerreichbar ist.

Aber um mit der Tradition zu brechen, habe ich eine gute Nachricht. Im täglichen Kampf gegen Ransomware-Bedrohungen liegt die Antwort in den alltäglichen Grundlagen des IT-Managements. Patch-Management ist der Eckpfeiler der Cyberresilienz. Sobald eine Sicherheitslücke bekannt wird und Patches veröffentlicht werden, beginnt der gefürchtete Countdown von Neuem. Unabhängig davon, ob Bedrohungsakteure den Anbietern zuvorgekommen sind, indem sie einen Exploit vor der Veröffentlichung des Patches ausgenutzt haben, müssen Unternehmen darauf vorbereitet sein, strategisch zu handeln, wenn Patches verfügbar werden. Es kann sein, dass ein Patch einen Fehler behebt, der kein Risiko für das Unternehmen darstellt. In diesem Fall hätte das Patchen keinen großen Einfluss auf die Reduzierung des Cyberrisikos. Daher müssen Unternehmen Patches für die Assets priorisieren, die das größte Risiko für das Unternehmen darstellen, die Patch-Rate maximieren (ein Maß dafür, wie effektiv Schwachstellen behoben werden) und die MTTR (Mean Time to Repair) für diese »Kronjuwelen« minimieren.

Offene Fenster bedeuten offene Türen. Die Qualys Threat Research Unit (TRU) verwendet diese Metriken häufig in anonymen Studien zur Cyberbereitschaft von Unternehmen. Der Qualys TruRisk Research Report 2023 zeigt, dass ausnutzbare Schwachstellen in 57,7 Prozent der Fälle nach 30,6 Tagen gepatcht werden [1]. Dieselben Schwachstellen werden von Angreifern im Durchschnitt innerhalb von 19,5 Tagen ausgenutzt. Das bedeutet, dass Angreifer 11,1 Tage lang freien Zugang haben, bevor Unternehmen mit dem Patchen beginnen.

Dieses Zeitfenster von 11 Tagen sollte uns am meisten beunruhigen. Es sollte uns dazu veranlassen, das Patch-Management zu überdenken und – falls noch nicht geschehen – in unsere Cyber-Sicherheitsstrategie zu integrieren, um Angreifern nicht länger Tür und Tor zu öffnen.

Wenn wir uns ein Diagramm vorstellen, in dem die MTTR gegen die Patch-Rate für jede Schwachstelle aufgetragen ist, können wir uns vier Quadranten generieren, die durch Kombinationen von »hoch« oder »niedrig« für unsere beiden Messgrößen definiert sind (siehe Abbildung). Unser Sweet Spot befindet sich in der unteren rechten Ecke, wo die Patch-Rate hoch und die MTTR niedrig ist. Wir könnten diesen Quadranten als »optimale Sicherheitszone« bezeichnen. Wenn sich in diesem Bereich eine Schwachstelle befindet, ist das für uns kein Problem. Sie ist risikoarm, weil sie schnell gepatcht und behoben wird. Oben rechts sehen wir, dass die Patch-Rate immer noch hoch ist, daher nennen wir dies die »Vigilant Alert Zone«, aber die Behebung der Vorfälle dauert länger (hohe MTTR). Dies ist beunruhigender, aber weniger besorgniserregend, als wenn eine Schwachstelle in den unteren linken Quadranten fällt – die »Zone des unterschätzten Risikos«. Hier finden wir übersehene Schwachstellen (niedrige Patch-Raten), aber unerwartet kurze Behebungszeiten. Diese Schwachstellen können schnell zu Risiken werden, wenn sie nicht behoben werden. Schließlich kommen wir zu unserem Quadranten mit der roten Flagge, der »Zone der kritischen Aufmerksamkeit« (oben links), in dem die Schwachstellen niedrige Patch-Raten aufweisen und lange Zeit benötigen, um behoben zu werden.

Im Diagramm wird die MTTR gegen die Patch-Rate für jede Schwachstelle dargestellt. Der Sweet Spot liegt unten rechts: Hier ist die Patch-Rate hoch und die MTTR niedrig. Die kritische »Zone der Aufmerksamkeit« oben links bedeutet, dass die Schwachstellen niedrige Patch-Raten aufweisen und lange Zeit benötigen, um behoben zu werden.

Die Kombination dieser Metriken kann uns wichtige übergreifende Informationen liefern, mit denen wir unser Patch-Management effektiv planen können. Wenn wir mit den kritischen Bereichen beginnen, können wir übersehene Schwachstellen untersuchen und feststellen, ob sie entweder eine geringe Bedrohung darstellen und weniger Anlass zur Sorge geben oder ob sie zu einem Ransomware-Vorfall führen könnten. Da die Ransom-Ops-Gruppen inzwischen fortschrittliche Automatisierungstools einsetzen, kann die Bedeutung eines optimalen Patch-Managements gar nicht hoch genug eingeschätzt werden. Um potenzielle Schwachstellen zu vermeiden, muss sichergestellt werden, dass die Systeme auf dem neuesten Stand und sicher sind.

Handlungsoptionen. Schon heute sollten GCC-Organisationen ihre Schwachstellenmanagement-Strategie überprüfen und einen Ansatz festlegen, der in der Lage ist, Armeen von Bedrohungsakteuren zu widerstehen, die als eine einzige Industrie agieren und mit fortschrittlicher KI ausgestattet sind, um den Innovationsgeist der Region zu stören, zu deaktivieren und zu schädigen. Wir alle müssen dafür sorgen, dass unsere Sicherheitslücken geschlossen und unsere Abwehrmaßnahmen gegen diese böswilligen Akteure verstärkt werden. Technische und wirtschaftliche Interessengruppen müssen zusammenarbeiten, um Roadmaps zu entwickeln, die für ihre betrieblichen Besonderheiten geeignet sind.

Es bleibt zu hoffen, dass die Cyberkriminellen, die heute eine ständige Bedrohung darstellen, eines Tages durch innovative Sicherheitstechnologien wirksam bekämpft werden können. Wir müssen uns jedoch der Tatsache stellen, dass die Angreifer immer raffinierter werden, ihre Kampagnen immer umfangreicher und die für die Cybersicherheitsabwehr zur Verfügung stehenden Ressourcen oft begrenzt sind.

Die Lösung liegt nicht in einem unbekannten Allheilmittel, sondern in den alltäglichen Grundlagen – einem robusten Patch-Management, das das Vier-Quadranten-Prinzip anwendet und auf eine möglichst hohe Patch-Rate und eine möglichst kurze Lösungszeit abzielt. Die besten Praktiker in jedem Bereich – Sport, Wirtschaft, Kunst – werden immer die Tugenden der Grundlagen preisen. Wenn es für sie funktioniert, warum dann nicht auch für uns? Lassen Sie uns also zu den Grundlagen zurückkehren und die Ransomware-Akteure in die Flucht schlagen.

Saeed Abbasi,
Produktmanager, Schwachstellenforschung,
Qualys Threat Research Unit (TRU)

[1] https://www.qualys.com/forms/tru-research-report/

Illustration: © Paladroid | Dreamstime.com

131 Artikel zu „Patch-Management“

News | Business Process Management | Infrastruktur | IT-Security | Rechenzentrum | Services | Strategien | Tipps

9 Patch-Management-Tipps zum Schutz von Firmendaten

29. Juni 2018

Für ein paar Euro versetzen vorgefertigte Exploits Personen ohne technische Fähigkeiten in die Lage, komplexe Angriffe auf IT-Umgebungen auszuführen: Ein Ransomware-Kit ist im Darknet für gut 8 Euro zu haben. Der Zugang zu einem gehackten Server kostet gerade einmal 5 Euro. Doch die mit diesen Tools verursachten Schäden gehen in die Milliarden: Experten schätzen…

Saeed Abbasi, Produktmanager, Schwachstellenforschung, Qualys Threat Research Unit (TRU)

[1] https://www.qualys.com/forms/tru-research-report/

131 Artikel zu „Patch-Management“

Saeed Abbasi,
Produktmanager, Schwachstellenforschung,
Qualys Threat Research Unit (TRU)