Lesedauer ca. 3 Minuten

Mit der Digitalisierung sind auch Risiken für die IT-Sicherheit verbunden. So wurde in den vergangenen zwei Jahren jedes fünfte Unternehmen Opfer eines Datendiebstahls. Es steht also außer Frage, dass Unternehmen für eine angemessene IT-Sicherheit sorgen müssen. Wie ist das machbar?

Die Arbeit in der IT-Security ist ein permanenter Prozess, bei dem es keinen Feierabend gibt, erst recht kein „nine to five“ oder gar Wochenende. Durch die Existenz von 24 Zeitzonen stehen die Anlagen zu jeder Zeit unter Beobachtung von Scannern, bzw. unter Beschuss von Aggressoren.

Schluss mit „never change a running system!“

Nun ist es so, dass man in die großen und auch kleineren IT-Anlagen „rein gewachsen“ ist. Es gibt standardisierte Abläufe und Protokolle, die es einzuhalten gilt. Insbesondere bei produktiven und teilweise hochverfügbaren Umgebungen (u.a. Produktionsstraßen) galt es lange Zeit als selbstverständlich, dass jeder Change und jeder Release-Wechsel akribisch getestet werden muss, was einen enormen Aufwand bedeutete. Nicht ohne Grund etablierte sich die Redewendung „Never change a running system!“
Das Problem hierbei ist, dass nicht nur die Rechenleistung und die Datenübertragungsraten signifikant zugenommen haben, leider steigt auch die Zahl der Bugs und Vulnerabilities. Kurz: der Schwachstellen und Sicherheitslücken in Systemen. Auch deren Ausnutzungsrate durch sogenannte Exploits, bevor von Softwareherstellern Gegenmaßnahmen entwickelt werden können, ist mittlerweile enorm gestiegen.

Veraltete Systeme als Risikofaktor

Der kürzliche Ausbruch von WannaCry 1) sowie die aktuelle Samba-Vulnerabilty ²)  zeigten allerdings sehr deutlich, wie wichtig es ist, seine Patchzyklen möglichst kurz zu halten. Es ist sogar unerlässlich (geradezu sträflich!) sich nicht von veralteten Systemen (älter als Windows 7 ist „end of life“) zu trennen oder diese zumindest in komplett abgeschotteten Teilnetzen zu separieren. Ein denkbarer Ansatz wäre es auch, eine aus der Vergangenheit übrig gebliebene und unverzichtbare Anwendung, für die es keinen Support mehr gibt, mit Docker „Modernize Traditional Applications“ (MTA) zu containerisieren.
Beim Patchen ist es wichtig, proaktiv vorzugehen, anstatt konventionell und restriktiv. Wenn man ein System in seinem Rechnerzoo hat, das sich nicht mit einer neuen Version verträgt, dann wird das bei zukünftigen Windows-Versionen nur noch schlimmer. Man befindet sich in einer Sackgasse. Genau das muss man mit allen Mitteln vermeiden und dabei ist in erster Linie der Hersteller bzw. der Entwickler in der Pflicht.

Der einzige Kompromiss, den man als Verantwortlicher bereit sein könnte, einzugehen, ist es, nicht gleich jeden frisch veröffentlichen Patch im kompletten Netzwerk installieren zu lassen (oder sogar weltweit). Es mag kontrollierter sein, wenn neuere Patches erst mal bei einer kleinen, überschaubaren Gruppe von Benutzern installiert wird. Sinnvollerweise sollten diese Benutzer auch recht erfahren sein und wissen, an welche Stelle sie auftretende Fehler melden können. Danach sollte jedoch möglichst schnell das restliche Netzwerk auf den gleichen Software-Stand gebracht werden.

Updates sollten schnell und flächendeckend eingespielt werden

Das Optimum hat man natürlich erreicht, wenn die Updates, so wie sie von Microsoft ausgerollt werden, auch direkt und automatisch auf allen Clients und Servern verteilt und schnellstmöglich eingespielt werden. Dadurch gewinnt man eine unglaubliche Menge an Arbeitszeit und steigert die Sicherheit im Unternehmensnetzwerk ganz signifikant!
Es ist also für jedes Unternehmen wichtig, mit der Zeit zu gehen und nicht weiter an verstaubten Vorgehensweisen und veralteten Protokollen festzuhalten.

Anmerkungen:

¹) WannaCry: Zero-Day Exploit MS17-010 basierend auf der Backdoor „DoublePulsar“ Quelle: Cyberwaffen-Arsenal der NSA, patched von Microsoft am 12. März 2017 [allerdings nur supportete Versionen], weltweiter Ausbruch am 12. Mai 2017.

²) SambaCry: SAMBA-Vulnerability „CVE-2017-7494“,Remote root exploit, wormable, patched 05/2017, bisher kein bekannter Ausbruch, kann potenziell alle Samba-Server befallen, auch NAS und IoT.