Unter dem Begriff Schwachstelle versteht man einen Fehler, eine Schwäche oder einen Mangel in einem System, der es ermöglicht, die Sicherheitsmechanismen eines IT-Systems oder eines Netzwerks zu überwinden oder zu umgehen.
Schwachstellen können dabei in der Konzeption, der Implementation, der Konfiguration, im Betrieb oder in der Organisation von IT-Systemen liegen. Das Vorliegen einer Schwachstelle bedingt die Möglichkeit, diese auszunutzen. Ob eine Schwachstelle durch einen Angriff ausgenutzt wird, hängt von folgenden Faktoren ab:
Abhängig von diesen beiden Faktoren ist die Wahrscheinlichkeit für die Ausnutzung der Schwachstelle. So führen z.B. eine geringe Komplexität und das Vorhandensein von zahlreichen Bedrohungen für ein System zu einer hohen Wahrscheinlichkeit, dass eine vorhandene Schwachstelle ausgenutzt wird. Betrachtet man zudem noch die Auswirkungen, die die Ausnutzung der Schwachstelle hätte, erhält man das Risiko.
Wenn sich eine Schwachstelle ausnutzen lässt spricht man in der IT-Sicherheit von einem Exploit (engl. Exploitation = Ausnutzen). Eine der wohl bekanntesten Schwachstellen wurde 2017 im SMB-Protokoll öffentlich. Dieses in Microsoft Windows verwendete Protokoll war anfällig für Angriffe.
Bekannt wurde dies, nachdem dem US-Geheimdienst NSA bei einem Leak eine Vielzahl von Exploits abhandenkam. Einer dieser Exploits hatte den Codenamen ETERNALBLUE und sorgte in der Folge weltweit für Cyberangriffe und Schäden. Zwar veröffentlichte Microsoft noch bevor ETERNALBLUE öffentlich wurde, ein Sicherheitsupdate zur Behebung der Schwachstelle, aber weil viele Systeme oft zu spät oder gar nicht geupdatet werden, waren auch bei Bekanntwerden des Exploits noch viele Systeme angreifbar.
Um Schwachstellen erfolgreich identifizieren zu können, gibt es in der IT-Sicherheit verschiedene Bewertungskriterien und Benennungsmethoden. Die Common Weakness Enumeration (CWE) beschreibt Typen und Arten von Schwachstellen, um diese zu Kategorisieren und grundsätzliche Behebungs- und Vermeidungsstrategien zu beschreiben.
Common Vulnerabilities and Exposures (CVE) beschreibt spezifische Schwachstellen in Produkten, damit diese eindeutig identifiziert werden können. So bezeichnet z.B. die CVE-2017-0144 die Schwachstelle der SMB Remote Windows Kernel Pool Corruption und somit die Anfälligkeit für ETERNALBLUE.
Zur Einschätzung der Kritikalität und des Risikos wird das Common Vulnerability Scoring System genutzt, bei dem einer Schwachstelle ein Wert zwischen 0 und 10 zugeordnet wird. Eine Bewertung mit 10 bedeutet hierbei die höchstmögliche Kritikalität einer Schwachstelle.
Um sich vor der Ausnutzung evtl. vorhandener Schwachstellen innerhalb der IT einer Organisation zu schützen, sollte man diese regelmäßig auf Schwachstellen prüfen. Hierfür empfiehlt sich das regelmäßige Durchführen von Penetration-Tests sowie eine regelmäßige Überprüfung von IT-Netzwerken, Systemen und Anwendungen durch Schwachstellenscanner.
Werden durch diese Maßnahmen Schwachstellen aufgedeckt, sollten diese unbedingt durch gezielte Maßnahmen behoben werden. Hierzu ist ein koordiniertes Vorgehen in Form eines sog. Schwachstellenmanagements notwendig, in dem Erkennung, Bewertung und Behebung im Rahmen eines Patchmanagements, bzw. Changemanagement vorgenommen wird.
Neben der bloßen Behebung von Schwachstellen, die oft Symptome tieferliegender Probleme sein können, sollten Erkenntnisse aus Pentests und Schwachstellenscans analysiert werden, um danach grundlegende Verbesserungen der IT-Sicherheit anzugehen.
Hierbei kann es sich z.B. um die Einführung eines Configurationmanagements handeln, bei dem durch eine zentrale Steuerung der Konfiguration von IT-Systemen das Auftreten von Schwachstellen verhindert werden kann. Dies setzt häufig ein grundsätzliches Überdenken der Vorgänge und Prozesse innerhalb der IT voraus. Hierbei kann externe Expertise sehr wertvoll sein.
Wir verwenden Cookies, und Google reCAPTCHA, das Google Fonts lädt und mit Google-Servern kommuniziert. Durch die weitere Nutzung unserer Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu.