Beim Thema Schwachstellenscan gibt es einige Begrifflichkeiten die häufig durcheinandergewürfelt werden und leicht zu Missverständnissen führen können. Im schlimmsten Falle kostet Sie das sogar bares Geld. Daher hier mein Versuch etwas Klarheit zu schaffen. Obendrauf gibt es am Ende noch einige praktische Empfehlungen, welche IT-Sicherheitstests wann Sinn für Sie machen.
Definition: Schwachstellenscan
Ein Schwachstellenscan (eng. Vulnerability Scan) ist eine Untersuchung eines Computernetzwerkes mit Hilfe spezieller Softwaretools. Ziel ist es bekannte Schwachstellen zu entdecken, sodass diese schnellstmöglich behoben werden können. Dazu werden die beim Scan gesammelten Informationen mit einer Schwachstellendatenbank abgeglichen und ein entsprechender Schwachstellenbericht erstellt. Daran anschließend können die gefundenen Schwachstellen gepatched werden. Man unterscheidet zwischen internen und externen Schwachstellenscans. Der externe Schwachstellenscan sammelt Informationen über die externen IP-Adressen und kann somit z.B. Aufschluss über offene Ports geben. Der interne Schwachstellenscan wird innerhalb des Netzwerks ausgeführt und zielt darauf ab Konfigurationsfehler, schwache Passwörter etc. aufzudecken.
Abgrenzung zur Schwachstellenanalyse
Streng genommen bezeichnet Schwachstellenscanning einzig und allein das automatisierte scannen des Zielobjektes. Dieser Scan stellt somit nur ein Teil der sog. Schwachstellenanalyse (eng. Vulnerability Assessment) dar. Dabei werden die Scanergebnisse in den Business-Kontext eingeordnet und professional ausgewertet, sodass eine detaillierte und umfangreiche Beurteilung ihres Sicherheitsniveaus möglich wird. Ergänzend kommen oftmals manuelle Methoden zum Einsatz. Damit lässt sich die Aussagekraft des Scans erhöhen. Dazu ist entsprechende Arbeit eines IT Security Analysten notwendig. Im Ergebnis gibt Ihnen eine Schwachstellenanalyse Aufschluss darüber, wie widerstandsfähig interne und externe Infrastruktur gegenüber Angriffen ist. Dabei bleibt eine Schwachstellenanalyse eine Analyse, die sich auf die potenzielle Angriffsfläche Ihres Unternehmens erstreckt. Eine Schwachstellenanalyse geht damit mehr “in die Breite” als “in die Tiefe”.
Abgrenzung zum Penetrationstest
Ein Penetrationstest geht einen Schritt weiter als die Schwachstellenanalyse, denn er beinhaltet auch eine “Exploit”-Phase. In dieser unternimmt der Penetrationstester aktive Eindringversuche und versucht herauszufinden, ob und wie die gefundenen Schwachstellen ausgenutzt werden können. Es wird also die breit angelegte Schwachstellenanalyse um diese tiefergehende Komponente erweitert. Der professionelle Penetrationstest ist somit die aufwändigste und zugleich umfassendste IT-Sicherheitsprüfung.
Abgrenzung zum Schwachstellenmanagement
Eine letzte Begriffserläuterung bin ich Ihnen jetzt noch schuldig, und zwar die des Schwachstellenmanagements (eng. Vulnerability Management). Im Gegensatz zur einmaligen Durchführung eines Schwachstellenscans oder einer Schwachstellenanalyse, handelt es sich beim Schwachstellenmanagement um einen ganzheitlichen, kontinuierlichen Ansatz. Dabei werden zyklisch Schwachstellen durch Scans entdeckt, klassifiziert, priorisiert und behoben. Mit kontinuierlichen Scans kann man einen weit größeren Nutzen erwarten, da man laufend Kennzahlen erhebt, Trends feststellen kann und wiederkehrende Schwachstellen identifizieren kann. Dementsprechend kann man Maßnahmen ableiten, die langfristig weniger Schwachstellen überhaupt erst entstehen lassen.
Wann benötige ich was?
Ein einzelner Schwachstellenscan ist eine schnelle Möglichkeit, um eine Momentaufnahme über eine begrenzte Anzahl an bekannten Schwachstellen in Ihrem Netzwerk zu erhalten. Er ist kostengünstig und kann mit entsprechenden Tools sogar selbst ausgeführt werden. Er wird Ihnen allerding nur in einem begrenztem Umfang Kontext gegeben. Eine richtige Schwachstellenanalyse schließt diese Lücke. Es bietet sich an, diese zyklisch durchzuführen. Auch viele Compliance Vorschriften, wie etwa die PCI DSS oder ISO 27001, fordern dies. Je geringer Sie die Abstände halten, desto kleiner ist das Zeitfenster, in dem nicht behobene Schwachstellen von Hackern ausgenutzt werden können. Der Königsweg stellt mit Sicherheit die Inanspruchnahme eines Vulnerability Management as-a-Service Angebots dar. Dabei bildet ein spezialisierter IT Dienstleister den gesamten Zyklus des professionellen Schwachstellenmanagements für Sie ab. Ratsam ist ebenfalls die Durchführung von Penetrationstests in größeren Abständen. Diese bieten sich insbesondere an, wenn größere Veränderungen in Ihrem Netzwerk anstehen.
Fazit zum Schwachstellenscan
Schwachstellenscan, Schwachstellenanalyse, Schwachstellenmanagement und Penetrationstest drehen sich allesamt um das Aufdecken von Sicherheitslücken. Da die Begriffe nicht immer einheitlich verwendet werden und z.B. ein reiner Schwachstellenscan als Schwachstellennalyse verkauft wird, oder ein Penetrationstest in Wirklichkeit nur eine Schwachstellenanalyse darstellt, ist es wichtig nachzuforschen, was der genau Inhalt von beworbenen Leistungen ist.
Falls Sie Interesse an unserem Vulnerability Management as-a-Service Angebot haben, kontaktieren Sie uns gerne für ein unverbindliches Angebot.