Anzeige
Anzeige
Anzeige

Nicht alle Schwachstellen sind eine Bedrohung

Beitrag drucken

IT, Cloud, IoT und OT formen eine komplexe Computing-Landschaft, die eine moderne Angriffsfläche darstellt. Zu dieser Komplexität kommen unzählige Schwachstellen hinzu, die täglich entdeckt werden.

Die Lösung ist jedoch relativ einfach – Sicherheitsteams brauchen Transparenz, um die Risiken zu verstehen. Unabhängig von der Größe der Organisation nimmt die Behebung jeder Schwachstelle selbst mit einem großen IT-Team und erheblichem finanziellen Aufwand viel Zeit in Anspruch. Anstatt sich mit Schwachstellen aufzuhalten, die nicht Ziel von Angriffen sind, können Organisationen tausende von Sicherheitslücken zurückstellen, um sich auf diejenigen zu konzentrieren, die eine echte Bedrohung sind.

Doch wie viele Schwachstellen kann ein Sicherheitsexperte pro Tag beheben? Pro Woche? Pro Monat? Die Stoppuhr beginnt, wenn der Sicherheitsmanager nach der Offenlegung der Schwachstelle durch CVE (Common Vulnerabilities and Exposures) davon erfährt. Mit diesen begrenzten Informationen fängt dann ein Wettlauf um die Feststellung an, ob die Schwachstelle innerhalb des eigenen Netzwerks existiert und welche Systeme, Geräte oder Anwendungen betroffen sind – bevor überhaupt mit der Behebung begonnen werden kann. Die CVE-ID informiert die Sicherheitsexperten nur darüber, dass die Schwachstelle existiert – das ist alles. Um das tatsächlich bestehende Risiko zu bestimmen, bedarf es weiterer umfangreicher Recherchen in zahlreichen öffentlichen Quellen. Das größte Problem sind die bekannten, aber noch nicht gepatchten Schwachstellen.

Es ist unmöglich, alle Sicherheitslücken zu beheben. So besteht die Herausforderung darin, zu wissen, was ein reales und was ein theoretisches Risiko darstellt. Laut einer Studie von Tenable wird nur für 20 Prozent der Schwachstellen ein Exploit entwickelt und Hacker nutzen lediglich einen Bruchteil davon aus. Die Studie ergab auch, dass weniger als 6 Prozent der Organisationen, Schwachstellen wirksam beseitigen. Viele Unternehmen sind mit ihren Sicherheitsprozessen nicht auf dem Stand der Zeit und halten sich mit der Behebung von Mängeln auf, die möglicherweise nie ausgenutzt werden oder Bereiche betreffen, von denen kein wirkliches Risiko ausgeht. Das Auffinden und Beheben der Schwachstellen, die aktiv ausgenutzt werden, ist für die Reduzierung des Geschäftsrisikos von größter Bedeutung. Mithilfe eines risikobasierten Schwachstellenmanagementprogramms können Sicherheitsteams selbst die komplexeste IT-Landschaft absichern.


Das könnte Sie auch interessieren:

Immer mehr Produzenten entwickeln zur Zeit hochvernetzte Software in Eigenregie. Gerade bei Microservice-Projekten bringen verfügbare APIs die Vorhaben schneller als früher voran. Doch der Umgang mit ihnen erfordert Strategie.‣ weiterlesen

Seit kurzem ist Version 7.0 der Startup Tools von Inneo verfügbar. Die Lösung soll Anwenderunternehmen die einheitliche Arbeit mit Engineering-Software von PTC erleichtern.‣ weiterlesen

Condition-Monitoring-Systeme werden meist nur an wenigen hochkritischen Stellen installiert, weil sie noch immer kostspielig und kompliziert einzurichten sind. Mit den BCM-Sensoren von Balluf sollen sich auch normale Komponenten wirtschaftlich überwachen lassen.‣ weiterlesen

Der Anbieter von Wearables und AR-Lösungen Ubimax hat ein Release der AR-Softwareplattform Frontline angekündigt. Das kürzlich von Teamviewer übernommene Unternehmen hat in Frontline 3.0 eine Zwei-Faktor-Authentifizierung (2FA) sowie ein erweitertes Identitäts- und Zugriffsmanagement einschließlich Single-Sign-On (SSO) über das grundlegende Nutzerverwaltungssystem des Kunden eingeführt.‣ weiterlesen

Viele Anwendungen aus dem Industrie-4.0-Spektrum basieren auf der Verfügbarkeit von Produktdaten. Um diese strukturiert bereitzustellen, helfen Werkzeuge zur Datenklassifizierung wie die neue NovaDB im Zusammenspiel. Zusammen mit Anwendungspaketen können etwa elektronische Produktkataloge erstellt und gepflegt werden.‣ weiterlesen

Die MTU Maintenance Berlin-Brandenburg GmbH setzt zur Auswertung von Produktionsdaten selbstentwickelte Analysetools ein. Weil diese nicht den vollen Funktionsumfang moderner BI-Lösungen bieten, wurden in einem multiperspektiven Auswahlverfahren geeignete Softwareprodukte identifiziert. Dieses sollte sicherstellen, dass die gewählten Programme die Analyse- und Reportingprozesse bestmöglich unterstützen und im Unternehmen gut angenommen werden.‣ weiterlesen

KI-basierte Systeme und Maschinen werden immer autonomer, selbstständiger und intelligenter. Ob und wie ist es zu schaffen, dass sie auf Dauer menschlichen Werten und Regeln folgen? Dr. Kurt D. Bettenhausen, Vorsitzender des interdisziplinären Gremiums Digitale Transformation im VDI und Vorstandsmitglied der VDI/VDE-GMA, spricht im zehnten Teil unserer Serie Autonome Systeme mit dem VDI.‣ weiterlesen

Nachdem die PSI Software AG bereits bekanntgegeben hatte, das Finanzvorstand Harald Fuchs das Unternehmen im nächsten Jahr verlässt, steht nun fest, dass Gunnar Glöckner den Posten ab Juli 2021 übernehmen wird.‣ weiterlesen

Zurzeit liegt weder ein fest umrissenes Berufsbild noch klar formulierte Anforderungen an Projektingenieure vor, die in internationalen Projekten eingebunden sind.‣ weiterlesen

Der Getriebehersteller Neugart hat 18 Baureihen für Planetengetriebe mit vier Millionen möglichen Varianten im Programm. Trotz der Vielfalt kann der Hersteller seine Produkte innerhalb von 24 Stunden ausliefern. Denn Neugart hat den Aufwand für Konstruktion und Datenverwaltung durch ein regelbasiertes Variantenmanagement komplett automatisiert.‣ weiterlesen

Zum 1. November hat Dr. Clemens Weis die operative Geschäftsführung von Cideon übernommen. Er folgt auf Clemens Voegele, der den Posten des Chief Digital Officers der Friedhelm Loh Group übernommen hat. Als Vorsitzender der Geschäftsführung bleibt er jedoch Teil von Cideon.‣ weiterlesen

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige