Schwachstellen in Online-Servern
Verstehen
Ein Schadprogramm, das eine Schwachstelle ausnutzt um einen Cyberangriff durchzuführen, wird als Exploit bezeichnet. Exploits werden beispielsweise für die Erstinfektion von Systemen, zur Vorbereitung eines Ransomware-Angriffs oder für gezielte und langwierige Angriffe genutzt.
Für die Einordnung der Schadwirkungen wird im Folgenden die Common Weakness Enumeration (CWE-Klassifikation) herangezogen. Dabei handelt es sich um eine von der IT-Sicherheitscommunity gepflegte Auflistung verschiedener Typen von Schwachstellen in Hard- und Software. Wie kritisch eine Schwachstelle ist, wird anhand des Common Vulnerability Scoring System (CVSS-Score) gemessen. Die Skala reicht hier von 1 (niedrig) bis 10 (kritisch).
Vermeiden
Softwarehersteller und Sicherheitsspezialisten arbeiten häufig eng zusammen, um Schwachstellen so schnell wie möglich zu erkennen und passende Patches bereitzustellen. Trotzdem können sie Anwender nicht vollständig schützen. Es ist möglich, dass Schadsoftware bereits am Tag der Veröffentlichung der Schwachstelle in Umlauf gerät und somit die Zeit zur Bereitstellung von Patches nicht ausreicht (sog. Zero-Day-Exploits). In diesem Fall müssen die Nutzer und Nutzerinnen sensibilisiert werden und mit erhöhter Aufmerksamkeit arbeiten. Zudem sollten (falls möglich) temporäre Systemeinstellungen vorgenommen werden, um das IT-System zu schützen.
Die häufigste Ursache für die Ausnutzung von Schwachstellen ist jedoch die mangelnde Update-Disziplin. Das heißt, dass das Zeitfenster zwischen der Veröffentlichung von Patches und dem Einspielen dieser oft sehr lang ist. Hierzu kann im Unternehmen nur fortlaufend für einen konsequenten Update-Prozess geworben werden. Privatanwendern wird dazu geraten automatische Aktualisierungen zu aktivieren. Falls diese Option nicht vorliegt ist es möglich über Newsfeeds auf dem Laufenden zu bleiben oder regelmäßig manuell nach Aktualisierungen zu suchen.
Für alle Varianten gilt:
Updates sollten ausschließlich von vertrauenswürdigen Quellen bezogen werden.
Erkennen
Ein aktives Schwachstellenmanagement bei Online-Servern ist der effektivste Weg, um diesem Einfallstor zu begegnen. Werden Sicherheitslücken konsequent geschlossen und das System regelmäßig überprüft, kann jederzeit schnell reagiert werden.
Ehrlicherweise ist es niemals möglich, alle Schwachstellen eines Systems zu kennen. Viele werden nur durch Zufall entdeckt, was in Einzelfällen Jahre dauern kann.
Beheben
Die erfolgreiche Ausnutzung von Schwachstellen in Online-Servern ist eine der häufigsten Angriffsvektoren. Oftmals bleiben die Einbrecher lange Zeit unerkannt, insbesondere wenn die Sicherheitslücke lange unveröffentlicht ist und ausgenutzt werden kann.
Aus diesem Grund ist in der Regel eine forensische Analyse zur Feststellung der Ausbreitung im System notwendig. Basierend auf den Ergebnissen werden individuelle Schritte notwenig, um die betroffenen Systeme zu bereinigen.
Begriffserklärungen
-
Bei Zero-Day-Exploits handelt es sich um eine Schadsoftware, die Schwachstellen in der Software ausnutzt, die der Öffentlichkeit oder dem Hersteller der Software bisher noch nicht bekannt sind. Diese Schadprogramme sind daher oft besonders wirkungsvoll.
Der Name Zero-Day beschreibt den Zeitraum, der den Entwicklern zur Verfügung stand, um die Lücke zu schließen. Sobald ein Update bereitsteht, um die Lücke zu schließen, wird die Malware nicht mehr als Zero-Day bezeichnet.