Patch Management
Der Cyberangriff auf Mediamarkt Saturn und die Bedeutung des Patch Managements
Unternehmen sehen sich im Zuge der fortschreitenden Digitalisierung mit neuen Herausforderungen konfrontiert. Meldungen über digitale Übergriffe häufen sich und nicht nur Privatpersonen sind von der zunehmenden Cyberkriminalität betroffen. Im November berichteten die Elektronikketten Media Markt und Saturn über Angriffe, die firmeninterne Server lahm legten, was nicht zuletzt auf ein unzureichendes Patch Managements zurückgeführt werden kann.
Große Unternehmen als Zielscheibe für Cyberkriminelle
Auch die Märkte des Konzerns Ceconomy AG sind nicht vor Cyberangriffen gefeit, wie sich aus den letzten Firmenmeldungen ergab. Über Nacht wurde das Unternehmen Opfer einer Cyberattacke, welche sämtliche Landesgesellschaften der Firma betraf. Beschädigt sind etwa Warenwirtschaftssysteme sowie Kassensysteme. Der Durchbruch zahlreicher Windows-Server erfolgte via Infektion mit einem Krypto-Virus. Insgesamt beläuft sich der Schaden auf über 3.100 infizierte Server. Neben der Systemtrennung der Kassen schränkte der Angriff die Computernutzung sämtlicher Filialen ein. Zwar liefen die Onlineshops problemlos, doch verhinderte die Ransomware Abholungen, Rückgaben oder Warenbestellungen über das System. Ob und in welchem Ausmaß es zum Durchbruch privater Kundeninformationen kam ist bislang nicht umfassend geklärt.
Nicht nur Mediamarkt und Saturn, sondern zahlreiche andere Unternehmen stehen im Fokus krimineller im Internet agierender Banden, die teils massive Verluste herbeiführen. Alleine in den USA erpressten die kriminellen Organisationen in der ersten Hälfte des Jahres 2021 rund 600 Millionen US-Dollar. Hierzulande machten Cyberkriminelle unter anderem auch kommunalen Verwaltungsbehörden Probleme. Im Falle des dargelegten Falles handelte es sich um eine Ransomware namens Hive – ein neuer Akteur im Darknet.
Was ist Ransomware eigentlich?
Bei Ransomware handelt es sich um Schadsoftware, welche von Dritten unbemerkt auf ein System aufgespielt wird. Auf dem System installiert bewirkt die Ransomware eine Unterbindung oder Einschränkung von Systemen und Daten per Verschlüsselung. Kriminelle Banden fordern für die Entschlüsselung der Daten die Zahlung eines Lösegeldes in meist digitaler Form, etwa in Bitcoins. Nach Zahlung erfolgt rein theoretisch die Freischaltung der Daten – eine Garantie hierfür besteht jedoch nicht. Das Bundesamt für Sicherheit spricht sich kategorisch gegen eine Zahlung von Lösegeldforderungen aus.
Die Ransomware selbst gelangt etwa über Phishing-Mails auf ein System. So aufgespielte Programme öffnen weiterer Schadsoftware aus dem Internet die Pforten. Zu besagten Zwecken spionieren Cyberkriminelle Unternehmen im Vorfeld gezielt aus. Die Folge eines Angriffes ist eine vollumfängliche Kompromittierung des Systems oder Netzwerks. Backups bleiben nicht verschont. Eine komplette Bereinigung eines Netzwerks kann mehrere Monate in Anspruch nehmen. Besonders für kleinere Unternehmen können derartige Durchbrüche existenzbedrohende Ausmaße erreichen. Neben dem eigentlichen Datenverlust ist auch der Verlust der Reputation durchaus möglich.
Sicherheit im System durch ideales Patch Management
Sicherheitsvorfällen liegt zumeist ein unzureichendes Patch Management zu Grunde. Nicht umsonst ist das Patch Management eine fundamentale Säule in der IT-Sicherheit. Generell soll ein Patch Sicherheitslücken schließen, um Sicherheitsverletzungen auszuschließen. Sehr häufig sind Patches allerdings erst verspätet erhältlich. Voraussetzung für ein erfolgreiches Patch Management ist in erster Linie ein rechtzeitiges Handeln. Folgende Leitlinien sind bei der Planung zu beachten:
1. Integration von präventiven Maßnahmen: Ein optimales Patch Management ist optimalerweise Teil eines auf der Cloud-Technologie basierenden Paketes aus Lösungen zur Vorbeugung von Sicherheitsverletzungen. Neben Asset-Inventarisierung umfasst dieses Paket idealerweise ein Schwachstellenmanagement. Probleme entstehen durch die Isolierung des Patch Managements, was eine rasche Überbrückung von Sicherheitslücken verhindert und die Korrelierung von Patches mit Schwachstellen verlangsamt.
2. Förderung von Proaktivität: Die Einführung von Notfall-Patches ist die Ausnahme, nicht die Regel. Ein proaktives und vorausschauendes Handeln beseitigt Sicherheitslücken in ihrer Entstehung. Eine optimale Software führt Patches routinemäßig im Hersteller-Zyklus durch, was einen aktuellen und stetigen Schutz gewährleistet.
3. Zentrale Steuerung und Transparenz: Patch-Prozesse sind unbedingt zu dokumentieren und zu beobachten. Fehlen notwendige Informationen führt dies zu Verzögerungen und unnötigen Sicherheitsrisiken. Fehlende Patches sind unverzüglich auf sämtlichen Assets zu erörtern. Im besten Fall erfolgt die Verfolgung der notwendigen Informationen über einen zentralen Knotenpunkt.
4. Korrelation von Patches und Schwachstellen: Eine optimale Software verkürzt die Reaktionszeiten bei der Beseitigung von Schwachstellen. Eine automatisierte Korrelation schließt Sicherheitslücken umgehend. Manuelle Beseitigungen von CVE-Schwachstellen kosten viel Zeit. Automatisch arbeitende Software erkennt fehlende Patches und spielt diese automatisch ein.
5. Systemunabhängiges Patch Management: Ein gutes Tool unterstützt zahlreiche Systeme und Produkte, sodass die Erstellung eines Gesamtüberblickes mithilfe eines Werkzeugs möglich ist.