Schwachstellen – Immer mehr, immer mehr, immer mehr…

Schwachstellen in Software sind einer der wichtigsten Hebel, die Hacker für Angriffe ausnutzen. Nicht gepatchte Software war in der Vergangenheit für Dutzende großangelegte und leider auch erfolgreiche Attacken verantwortlich. WannaCry ist eines der bekanntesten Beispiele, es basiert auf dem EternalBlue-Exploit. Petya/NotPetya und Retefe nutzen die gleiche Schwachstelle aus, während Intel Ende 2017 eine desaströse Schwachstelle seiner Managementplattform ME bekanntgeben musste. Schwachstellen sind also böse, sehr böse. Umso dramatischer fällt die Studie des Softwareanbieters Flexera aus. Zu Flexera gehört die Firma Secunia, die sich als eine der ersten mit automatisierten Patching-Lösungen beschäftigt hat. Patching ist das beste Mittel gegen Schwachstellen, leider ist umfassendes, fehlerfreies, zeitnahes Patchen praktisch unmöglich. In seinem Vulnerability Review 2018 – Global Trends stieg die die Zahl der dokumentierten Schwachstellen im vergangenen Jahr um 14% auf 19.954. 2016 waren es noch 17.147 Softwareschwachstellen. Im Verlauf der letzten fünf Jahre stieg die Zahl sogar um 38% an.

Allerdings – und hier ist ein schwacher Hoffnungsschimmer sichtbar – stand für den Löwenanteil der Lücken, nämlich 86%, innerhalb von 24 Stunden nach Bekanntwerden ein Patch bereit. Das entspricht einer Steigerung um 5% und ist angesichts der stark gestiegenen absoluten Menge von Schwachstellen sehr ermutigend. Noch erfreulicher ist, dass es im letzten Jahr nur noch 14 Zero Day-Schwachstellen gab (2016: 23). Zero Days sind Schwachstellen, die vor ihrer offiziellen Entdeckung ausgenutzt werden, gegen die es also keine direkten technischen Abwehrmaßnahmen gibt. Natürlich muss man ein wenig zur Vorsicht mahnen: Das sind nur die bekannten Zahlen. Niemand kann garantieren, dass es keine bunte Auswahl von Zero-Day Schwachstellen gibt, die weder Flexera noch sonst wer bisher gefunden haben.

Ebenfalls unschön ist das Ergebnis, dass Remote-Netze als primärer Ausgangspunkt (55%) der Angriffe ermittelt wurden. Remote bedeutet nicht unbedingt eine Netzverbindung per Einwahl oder durch ein Gateway. Flexera definiert Remote als „nicht lokal“, dazu gehören auch Verbindungen per HTTP/S, SSL oder sonst ein Protokoll, das seinen Ursprung nicht im lokalen Netz oder auf dem lokalen System hat. Dass ein Webserver aus dem Internet erreichbar ist, lässt sich nicht verhindern. Das aber so viele Webserver ausnutzbare Schwachstellen haben, gibt zu denken. Inzwischen ist bei Administratoren Patching weit oben auf der Prioritätenliste angekommen. Schutzmaßnahmen vor allen offiziellen Zugängen helfen wenig, wenn es nebenan das sprichwörtliche offene Scheunentor in Form einer Schwachstelle gibt. Gerade die von außen erreichbaren Systeme sollten in der Hinsicht eigentlich wasserdicht sein.

VPN-Zugänge am Gateway sind auch von außen erreichbar und müssen daher die gleiche Aufmerksamkeit erhalten. Es ist wichtig, sich auf einen verantwortungsbewussten Hersteller verlassen zu können, der seine Software regelmäßig überprüft und aufgedeckte Fehler und Schwachstellen schnellstmöglich mit Patches flickt. Falls es doch einen Zero Day-Vorfall geben sollte, ist es wichtig, dass Angreifer vom VPN-Gateway aus nicht weiter ins Netz vordringen können. Alle erreichbaren Accounts müssen niedrige Rechte besitzen, Benutzernamen und Passwörter dürfen nicht auf anderen Systemen verwendet und Log-Daten müssen auf entfernten Systemen gespeichert werden, wo sie der Angreifer nicht manipulieren kann.

Insgesamt zeigt die zunehmende Zahl von Patches, die innerhalb von 24 Stunden zur Verfügung stehen, dass die Branche ihre Verantwortung ernst nimmt und ihre Prozesse und Kommunikation angepasst hat. 86% sind ein guter Wert, wenn die Verbesserung in diesem Tempo weitergeht, verlieren Schwachstellen ihren Nimbus als „höhere Gewalt“ gegen die man eben nichts tun kann. Man kann sehr wohl, wenn das Patching im Unternehmen, zumindest für die von außen erreichbaren Systeme, automatisiert und fehlerfrei funktioniert. Hersteller werden in Zukunft noch öfter Fragen zu ihrer Patch-Strategie und zu den Lebenszyklen und der garantierten Einsatzdauer ihrer Produkte zu hören bekommen.