How to resolve AdBlock issue? 
Welche Bedeutung professionelles Patch Management für die Cyber-Resilience hat und warum echte Sicherheit nur im Zusammenspiel von Hardware- und Software-Anbieter mit dem Kunden sowie Branchenorganisationen realisiert werden kann, erklärt Markus Hirsch, Manager Systems Engineering Austria bei Fortinet.
Cyberkriminelle schlafen nicht. Wenn es darum geht, Sicherheitslücken zu erkennen und auszunützen, sind sie da. Doch Geschwindigkeit ist nicht alles – und braucht es oftmals auch gar nicht. Laut dem aktuellen Global Threat Landscape Report der FortiGuard Labs (Link auf PDF) haben nahezu alle befragten Unternehmen N-Day-Schwachstellen entdeckt, die seit mindestens fünf Jahren existieren, einige sogar seit über 15 Jahren.
Sowohl Security-Anbieter als auch Kunden tragen hier eine gemeinsame Verantwortung. Eine heute zudem verschärfte Bedrohungslage mit einer steigenden Anzahl intelligenter Angriffe macht deutlich, wie wichtig es ist, dass ein Handeln auf beiden Seiten erfolgt: Hersteller müssen in allen Phasen des Produktentwicklungszyklus robuste Sicherheitsprüfungen durchführen und bei der Offenlegung von Schwachstellen verantwortungsvoll und vollständig transparent vorgehen und Kunden sind verantwortlich, ihre Cyberhygiene zu verbessern und ein strenges Patching-Regime einzuhalten.
Proaktives Patch Management bedeutend
Wie wichtig gerade letzteres ist, zeigt eine andere Zahl der oben genannten Studie: In 86 Prozent der Fälle, in denen unbefugter Zugriff über eine Schwachstelle im System erfolgte, war diese bereits bekannt und ein Patch verfügbar. Wenn Unternehmen nicht auf direkte und zielgerichtete Bedrohungsinformationen reagieren, ist dies häufig auf einen Mangel an Ressourcen zurückzuführen. Angesichts der entscheidenden Bedeutung regelmäßiger Patches sollten Führungskräfte ihre Investitionen in die Cybersecurity überdenken.
Es gibt verschiedene Möglichkeiten, Schwachstellen proaktiv zu erkennen und zu beheben. Diese reichen von einer gründlichen Codeanalyse über Penetrationstests und Fuzzing (Robustness Testing) bis hin zum sogenannten „Red Teaming“, wobei externe Experten realistische Angriffsszenarien simulieren, um Sicherheitslücken und Angriffspunkte aufzudecken.
Gleich, welche dieser unterschiedlichen Möglichkeiten gewählt wird – in allen Fällen ist es entscheidend, dass Unternehmen Warnungen ernst nehmen und schnell und angemessen reagieren, um ihre Systeme zu schützen. Und mehr noch: Sie müssen auch. Denn viele heimische Unternehmen sehen sich mit der NIS-2-Richtlinie konfrontiert, die sie dazu verpflichtet, sich intensiv mit Cybersecurity auseinanderzusetzen. Gefordert sind so beispielsweise angemessene Securitymaßnahmen im Business Continuity Management oder bei der Sicherung der gesamten Lieferkette – plus die dazugehörige Transparenz mittels Reportings. Wer dies nicht tut, muss mit empfindlichen Strafen rechnen.
Security-Anbieter in der Verantwortung
Als zusätzliche Unterstützung wiederum kommen hier nicht zuletzt die Hersteller ins Spiel. In ihrer Verantwortung liegt es, Sicherheitslücken proaktiv zu erkennen, zu patchen und aktiv offenzulegen sowie Handlungsempfehlungen bereitzustellen, bevor Angreifer sie ausnutzen können. Transparenz und eine zeitnahe, kontinuierliche Kommunikation mit Kunden sind dabei unerlässlich.
Anstatt reaktiv zu handeln, sollten Hard- und Softwarehersteller Sicherheit von Anfang an in ihre Entwicklungsprozesse integrieren und die „Secure by Design“-Prinzipien befolgen. Diese zielen darauf ab, die Anzahl und Schwere von Sicherheitslücken in Hard- und Software zu antizipieren und so von vornherein zu reduzieren.
Hierzu ist es sinnvoll, dass sich Hersteller internationalen und branchenweiten Initiativen anschließen, wie dem „Secure by Design Pledge“ der Cybersecurity and Infrastructure Security Agency (CISA). Diese freiwillige Selbstverpflichtung fördert wichtige Entwicklungspraktiken für sichere Software und bietet Beispiele für deren Umsetzung und Erfolgsmessung wie die Förderung von Multi-Faktor-Authentifizierung (MFA), die Reduzierung von Standardpasswörtern und ein transparenteres Schwachstellen-Reporting.
Zusammenspiel als Erfolgsformel
Die stetig wachsende Angriffsfläche und der branchenweite Fachkräftemangel machen es für Unternehmen und Betreiber kritischer Infrastrukturen schwieriger denn je, komplexe Architekturen aus unterschiedlichen Lösungen angemessen zu verwalten. Die Flut an Warnmeldungen und die Vielfalt der Angriffstaktiken, -techniken und -verfahren erhöhen die Komplexität zusätzlich. Um dieser Bedrohungslage effektiv zu begegnen, ist ein Paradigmenwechsel hin zu einer branchenübergreifenden Kultur der Zusammenarbeit, Transparenz und Rechenschaftspflicht erforderlich.
Wer Cyber-Resilience in seinem Unternehmen umfassend gewährleisten will, für den ist es wichtig, einen Hersteller zu wählen, der sich für eine ethische und verantwortungsvolle Produktentwicklung und transparente Offenlegungspraktiken einsetzt und eng mit Kunden, unabhängigen Sicherheitsforschern, Beratern, Branchenorganisationen und anderen Herstellern zusammenarbeitet. Denn eine wirksame Abwehr von Cyberbedrohungen kann nur durch gemeinsame Anstrengungen und einen Schulterschluss über Branchengrenzen hinweg erreicht werden.
