COMPAREX AG
Sicherheit: Was bedeuten die aktuellen IT-Risiken für SAM? (Header)

Sicherheit: Was bedeuten die aktuellen IT-Risiken für SAM?

Die Reaktionen auf die WannaCry Angriffe ziehen bereits jetzt weite Kreise. „Wir brauchen deshalb eine Meldepflicht für Sicherheitslücken und die muss auch staatliche Sicherheitsbehörden umfassen.“ Dieses Zitat von Telekom-Chef Timotheus Höttges sollte nicht nur Datenschützer, sondern auch Unternehmen aufhorchen lassen. Wir zeigen, welche Wellen die Hackerangriffe schlagen, was die aktuellen Buzzwords unter den IT-Risiken sind und welche Bedeutung sie für Software Asset Management (SAM) haben.

Ein Blogbeitrag von Maximilian Hoppe, Consultant Software Asset Management

Im Gespräch mit der Frankfurter Allgemeinen Zeitung hat Telekom-Chef Timotheus Höttges die obenstehende Aussage getroffen. Der Kontext ist eine Reaktion auf den weltweiten Hackerangriff WannaCry und sein Konzern spricht sich unter anderem gegen den Einsatz von Cyberkriminalität aus, wie es auch international Absprachen gegen bestimmte Waffen gibt. Diese Position wird vom Konzern auch politisch vertreten, beispielsweise beim letzten Digitalminister Treffen in Düsseldorf, wo Claudia Nemat, Vorstandsmitglied der Deutschen Telekom AG, hierzu eine Keynote hielt oder durch die Neuausrichtung des Telekom Security Geschäftsfeldes. In die ganze Entwicklung der Diskussion einzutauchen, würde definitiv zu weit führen.

Aktuelle IT-Risiken: Diese Buzzwords sollte jeder kennen

Was aber sowohl die Neuausrichtung als auch die Aussagen des Telekom-Chefs gemein haben, ist Folgendes: Sicherheitslücken sind ein immenses Risiko. Sowohl für öffentliche Einrichtungen als auch für Unternehmen. Angriffe auf Krankenhäuser zeigen dies genauso wie die kleinsten Hackerangriffe auf einzelne PCs global agierender Konzerne.

Die Auswahl potentieller Risiken ist dabei riesig. Wer sich mit aktuellen IT-Risiken beschäftigt, kennt zahlreiche Buzzwords:

Zero-Day-Lücken

Einer der Begriffe, der gerade in den letzten Jahren an Bekanntheit gewonnen hat, ist die Zero-Day-Lücke. Gemeint ist ein Risiko, das seit dem ersten Tag in einer Software vorhanden ist und nicht geschlossen wurde. Bei Microsofts Patch Day im August 2017 wurde beispielsweise das Thema durch ein fehlendes Update für Server Message Block (SMB) deutlich. Ursprünglich hatte der Heartbleed Bug 2014 den Begriff in die Öffentlichkeit gebracht.

SQL Injection

Aber nicht nur Microsoft hat Probleme mit Patches. Hinzu kommt, dass es nicht immer dieselben Lücken sind, die Hersteller vor Herausforderungen stellen. SAP hat jüngst 3 Lücken in seinem CRM System gepatcht, die als besonders risikoreich eingeschätzt wurden. Da die Datenbank meist nur im Hintergrund aktiv ist und entsprechend betrachtet wird, gleichzeitig aber hoch sensitive Daten enthält, ist der Angriff hierauf besonders fatal. Mit manipulierten Anfragen sollen Lücken aufgedeckt und nicht ausreichend gefilterte Parameter auf Websites gefunden werden.

Distributed Denial of Service

Das Ziel einer Distributed-Denial-of-Service-Attacke liegt in der einfachen Übersetzung ihres Namens: Eine Website soll dazu gebracht werden, den Dienst zu versagen. Das geschieht in der Regel mit einer so hohen Anzahl von Aufrufen und Aktionen von verschiedenen Rechnern, dass die Server des Betreibers sie nicht mehr bearbeiten können. Wie weitreichend das sein kann, zeigt das Beispiel des Sicherheitsexperten und Bloggers Brian Krebs, dessen Website trotz Unterstützung das Anfragevolumen von geschätzten 600 bis 700 Gigabits pro Sekunde nicht aushielt. Dieses Risiko wächst gerade mit der Ausweitung des Internet of Things, da selbst der internetfähige Kühlschrank zum Bot werden könnte.

Lokale Exploits

Das Risiko Mensch ist in jeder Sicherheitsschulung ein brennendes Thema. Ob ausführbare Makros oder nicht vertrauenswürdige Links, einzelne User können schnell ein ganzes Firmennetz gefährden.

Webinar "Mengenrabatte & Co: Wie Sie bei Ihrer Software-Lizenzierung maximal sparen können!"

Lernen Sie unsere Software Portfolio Management Platform kennen und melden Sie sich gleich zu unserem Webinar an!

Mit der automatisierten Software-Erkennung und Bestimmung von COMPAREX wird Ihr Software Portfolio Management jetzt zum Kinderspiel.

Termin: 29.11.2017 | 10:00- 10:45 Uhr  Jetzt anmelden »

Was bedeuten IT-Risiken für Software Asset Management? 

Da Software Asset Management, kurz SAM, in zahlreiche Geschäftsbereiche eingreift, ist es wichtig, sich mit solchen Entwicklungen zu beschäftigen. Die letzten Aussagen des BSI-Präsidenten, Hersteller zukünftig stärker in die Verantwortung zu nehmen, werfen zahlreiche Fragen auf. Wie verändern sich zum Beispiel Update-Prozesse in Zukunft und wie können sich Unternehmen darauf einstellen?

Gerade an Microsofts Current Branch for Business Modell ist erkennbar, wohin Hersteller gerne gehen würden. Denn für sie sind Patchdays Fluch und Segen gleichzeitig. Zum einen soll das angebotene System natürlich so sicher wie möglich bleiben, zum anderen sollen gerade große Anwender nicht permanent in Updateprozesse gedrängt werden und zu guter Letzt sind die entsprechenden Patch-Entwicklungen auch an interne Ressourcen gebunden. Allerdings bleibt die Pflicht proprietärer Hersteller, bekannte Lücken zu schließen und sich ihren Kunden gegenüber nicht haftbar zu machen.

Wie werden Hersteller ihre Pflicht, Lücken zu schließen, umsetzen?

Vor allem durch Outsourcing. Eine gängige Praxis ist bereits heute die Belohnung für das Finden von Bugs und Schwachstellen. Diese wurde jüngst beispielsweise durch Microsoft auch für das neue Betriebssystem Windows 10 etabliert. Und auch an anderen Stellen versuchen die Hersteller zu unterstützen. Microsoft hat ein Self Assessment Tool für die Einhaltung der europäischen Datenschutzgrundverordnung (DSGVO) veröffentlicht. Damit soll gerade in der Cloud die DSGVO Compliance abgesichert werden.

Prävention durch Software Portfolio Management

Auch Unternehmen müssen selbst aktiv werden, indem sie wenigstens dafür sorgen, dass alle Sicherheits-Patches durch Software-Hersteller zeitnah mit der Veröffentlichung umgesetzt werden. Dafür sollte man einen genauen Überblick zu seinem Status Quo besitzen: Welche Software ist überhaupt installiert? Wo fehlen welche sicherheitsrelevanten Patches?

Dann gilt es zu entscheiden: Wann werden risikobehaftete Produkte in eine Grauzone verschoben, wenn es um ihren Support geht? Indem sie regelmäßiger als normale Produkte reevaluiert werden? Kann Software ohne Support kommentarlos auf eine Blacklist gesetzt werden und wenn ja, welche Konsequenzen hat das produktiv?

Die Portfolio Management Platform von COMPAREX bietet Ihnen genau die Informationen, die Sie brauchen:

  • Identifizieren Sie Software, für die der Hersteller-Support abgelaufen ist.
  • Finden und entfernen Sie „illegal“ installierte Software wie portable Apps und Spiele.
  • Lassen Sie sich automatisch Ihre Patch-Level anzeigen und gleichen Sie diese mit neu-verfügbaren ab.

Unsere Experten helfen Ihnen, aus diesen Informationen die richtigen Schlüsse zu ziehen.

Portfolio Management Platform kennenlernen

Diesen Artikel teilen

Artikel vom:
07.09.2017

geschrieben von:

TAGS:
SAM, Security

Thema:

Kommentieren sie diesen Artikel...

© COMPAREX AG
Zurück nach oben