Home » Schwachstellenmanagement » Technische Schwachstellen: Anforderungen der ISO 27001 erfüllen

Technische Schwachstellen: Anforderungen der ISO 27001 erfüllen

Technische Schwachstellen: Anforderungen der ISO 27001 erfüllen

27.11.2020

Sie möchten wissen wie sich die Anforderungen der ISO 27001 im Bezug auf technische Schwachstellen erfüllen lassen? Dieser Artikel beschreibt die diesbezüglichen Anforderungen der ISO 27001 Norm und geht näher auf den für die Erkennung und Beseitigung von technischen Schwachstellen erforderlichen Prozess ein. Zudem betrachten wir in diesem Zusammenhang die Auswirkungen des in 2021 bevorstehenden Inkrafttretens des IT-Sicherheitsgesetzes 2.0.

Anforderungen der ISO 27001

ISMS Definition

Ein Informationssicherheitsmanagementsystem ist die Aufstellung von Verfahren und Regeln innerhalb einer Organisation, die dazu dienen, die Informationssicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern1.

Informationssicherheitsrisikobeurteilung

Insbesondere wird das ISMS für die in der ISO 27001 geforderte Informationssicherheitsrisikobeurteilung herangezogen.

Der Risikobeurteilungsprozess muss:

  • Risiken im Hinblick auf die Beeinträchtigung der Vertraulichkeit, Integrität und Verfügbarkeit der Informationen bewerten
  • Risikoeigentümer identifizieren
  • die Folgen des Eintritts des jeweiligen Risikos abschätzen / quantifizieren
  • Eintrittswahrscheinlichkeiten bestimmen
  • Risiken gemäß ihrer potentiellen Folgen und Eintrittswahrscheinlichkeit priorisieren
  • klare Kriterien für die Risikoakzeptanz beinhalten

Schwachstellenanalyse als Baustein der Informationssicherheitsrisikobeurteilung

Um die Anforderungen der ISO 27001 zu erfüllen, müssen in der Informationssicherheitsrisikobeurteilung technische Schwachstellen zwingend bewertet werden.

Anforderungen der ISO 27001: Technische Schwachstellen im normativen Anhang A

Der normative Anhang A der ISO/IEC 27001 geht im Abschnitt 12.6 explizit auf die Handhabung von technischen Schwachstellen ein.

Maßnahmenziel

A.12.6 Handhabung technischer Schwachstellen
Die Ausnutzung technischer Schwachstellen ist verhindert.

Maßnahme

A.12.6.1 Handhabung von technischen Schwachstellen
Information über technische Schwachstellen verwendeter Informationssysteme wird rechtzeitig eingeholt, die Gefährdung der Organisation durch derartige Schwachstellen wird bewertet und angemessene Maßnahmen werden ergriffen, um das dazugehörige Risiko zu behandeln.

Diese im normativen Anhang A der ISO 27001 geforderte Maßnahme zur Behandlung von technischen Schwachstellen lässt sich nur durch einen konsequent umgesetzten Schwachstellenmanagementprozess inkl. der dafür notwendigen technischen Infrastruktur, sowie dazugehöriger Fachkompetenz, erfüllen.

Nicht bestimmbares Risiko? Höchstmögliches Risiko!

Aus der Erfahrung zahlreicher Gespräche mit Informationssicherheits- und IT-Verantwortlichen wissen wir, dass in der überwältigenden Mehrzahl der Unternehmen in Deutschland aktuell kein funktionierender Prozess zum Umgang mit technischen Schwachstellen zu finden ist. Hierzu zählen auch viele Unternehmen, die bereits ein zertifiziertes ISMS in ihrer Organisation umgesetzt haben.

Oftmals führen Unternehmen in Vorbereitung auf eine ISMS-Zertifizierung eine Schwachstellenüberprüfung mittels eines einmaligen Schwachstellenscans durch. Allerdings hat ein einmaliger Scan eine nur sehr begrenzte Halbwertszeit. Es ist wie im Falle einer einmaligen Systemüberprüfung auf Viren/Schadsoftware. Die Ergebnisse verlieren mit jedem weiteren Tag sukzessive ihren Informationswert bzw. ihre Gültigkeit, da:

  • sich die gescannten Systeme und die IT-Infrastruktur insgesamt verändern, und
  • sich die Gefährdung einzelner Systeme aufgrund von neuen Schwachstellen verändert.

Regelmäßig wiederkehrende Überprüfungen werden nur von den wenigsten Unternehmen durchgeführt. Im Umkehrschluss kann daraus gefolgert werden, dass die Mehrheit aller Unternehmen in Bezug auf ihr Informationssicherheitsrisiko im Blindflug sind.

Eine Informationssicherheitsrisikobeurteilung ohne:

erlaubt keine realistische Risikobeurteilung, weder der Eintrittswahrscheinlichkeit noch des Schadenpotentials.

Demzufolge ist das Risiko für die IT-Sicherheit und somit für die Informationssicherheit nicht bestimmbar und in der Konsequenz muss vom höchstmöglichen Risiko für das Unternehmen ausgegangen werden!

Auswirkungen des IT-Sicherheitsgesetzes 2.0

Das neue IT-Sicherheitsgesetz 2.0 (ITSiG 2.0) wird voraussichtlich im Frühjahr 2021 vom Bundestag verabschiedet werden. Eine Folge der Neufassung des Gesetzes wird sein, dass mehr Unternehmen als zuvor ein Informationssicherheitsmanagementsystem (ISMS) aufbauen und sich nach ISO/IEC 27001 oder branchenspezifischen Standards (B3S) zertifizieren lassen müssen. Die Größenkriterien zur Feststellung, ob ein Unternehmen/Betreiber als kritische Infrastruktur zu werten ist, werden nach unten deutlich ausgeweitet.

Anhand des folgendes Beispiels lässt sich die Tragweite der Gesetzesnovellierung gut erkennen:

In der Energiewirtschaft beträgt der Schwellwert für Energieerzeuger derzeit 420 Megawatt (für die Versorgung von rund 500.000 Menschen). Aktuell wird damit gerechnet, dass die Schwellwerte für Energieerzeuger im ITSiG 2.0 auf ca. 50 Megawatt gesenkt werden, also eine Reduktion um mind. den Faktor 8!

Nicht nur ein Thema für Unternehmen aus dem KRITIS-Sektor

Auch Unternehmen, die im besonderen öffentlichen Interesse stehen, werden durch die Neufassung des IT-Sicherheitsgesetzes erfasst, z.B. Rüstungshersteller und Hersteller von IT-Produkten für die Verarbeitung von Verschlusssachen.

Nicht zuletzt wird auch in der produzierenden Industrie gefordert, ein ISMS zu betreiben und dieses zertifizieren zu lassen – beispielsweise wird von Zulieferern der Automobilindustrie eine Zertifizierung gemäß TISAX gefordert.

Technische Schwachstellen – Anforderungen der ISO 27001 durch effizienten Prozess erfüllen

Um den Anforderungen des normativen Anhang A gerecht zu werden, ist ein Schwachstellenmanagementprozess unverzichtbar. Wie sollte dieser aussehen?

Wie in vielen anderen Prozessen, findet sich im Schwachstellenmanagement das Prinzip des Plan-Do-Check-Act wieder.

Schwachstellenmanagementprozess

Zerlegen wir den Prozess nun in seine Einzelteile und schauen uns die Prozessschritte an, die erforderlich sind, um die Anforderungen der ISO 27001 für technische Schwachstellen zu erfüllen.

1. Scan vorbereiten

Zunächst muss ermittelt werden, welche IT-Assets vorhanden sind und welche speziellen Eigenschaften bei der Überprüfung auf Schwachstellen berücksichtigt werden sollen. Daten hierzu werden dem ISMS und dem Asset-Managementsystem entnommen. Dies sind vorwiegend technische Daten wie IP-Adressen, Netzwerkinfrastrukturinformationen Betriebssysteminformationen. Aus diesen Informationen werden die richtigen Parameter für die Durchführung zusammengestellt und die Scan-Konfiguration erstellt. 

Sofern die Asset-Informationen nicht zur Verfügung stehen, muss in einer initialen Erhebung, beispielsweise durch einen sogenannten Discovery-Scan, ein Gesamtüberblick über die in der IT-Infrastruktur befindlichen IT-Assets aufgebaut werden.

2. Scan durchführen und Schwachstellen identifizieren

Die Überprüfung wird nun mit der zuvor erstellten Scan-Konfiguration durchgeführt. Aus dem Scan resultiert üblicherweise eine lange Liste von technischen Schwachstellen, die dem jeweiligen überprüften IT-Asset zugeordnet sind. Relevante Informationen für das ISMS werden diesem mittels verfügbarer Systemschnittstellen zur Verfügung gestellt.

Erfahrungsgemäß werden im Zuge der Überprüfungen sehr häufig Komponenten bzw. IT-Systeme entdeckt, die bislang nicht im Asset-Management erfasst waren. Die im Rahmen des Scans gesammelten Informationen (z.B. IP-Adressen, Betriebssysteme, usw.) werden folglich in das Asset-Managementsystem übernommen, möglichst über verfügbare Systemschnittstellen.

3. Bewerten

Zur Bewertung der Schwachstellen wird zunächst das sogenannte Common Vulnerability Scoring System (CVSS) herangezogen. Diese Metrik berücksichtigt verschiedene Eigenschaften einer Schwachstelle, u.a.

  • Angriffsvektor – Welche Art Zugriff bräuchte ein Angreifer, um die Schwachstelle ausnutzen zu können?
  • Angriffskomplexität – Wie komplex ist die Ausnutzung der Schwachstelle für einen Angreifer?
  • Authentisierung – Muss der Angreifer zuerst Benutzerrechte erlangen, um die Schwachstelle ausnutzen zu können?

Der CVSS-Score alleine reicht aber nicht aus, um die Bedeutung der Schwachstelle zu beurteilen. Denn selbst eine als schwerwiegend geltende technische Schwachstelle kann im unternehmensspezifischen Kontext ungefährlich sein, während vermeintlich harmlose Schwachstellen zum Ausfall ganzer Teile der Infrastruktur führen können.

Entscheidend ist zu bewerten, welche Auswirkungen die erfolgreiche Ausnutzung einer Schwachstelle eines betroffenen IT-Systems durch einen potentiellen Angreifer auf

  • Vertraulichkeit,
  • Integrität, und
  • Verfügbarkeit

der IT-Infrastruktur und Informationswerte des Unternehmens haben könnte. Die potentiellen Auswirkungen sind im Kontext der Gegebenheiten des Unternehmens, insbesondere der bestehenden Geschäftsprozesse, einzuschätzen. In Unternehmen, in denen bereits ein ISMS vorhanden ist, ist die Dokumentation der Bedeutung einzelner IT-Systeme / Informationswerte bereits im ISMS erfolgt.

4. Priorisieren

Nach erfolgter Bewertung der Schwachstellen gemäß ihrer Bedeutung im Kontext der Infrastruktur und Geschäftsprozesse des Unternehmens, muss die Umsetzung von Verbesserungsmaßnahmen priorisiert werden.

Kernfragen

  1. Welche Schwachstellen haben bei erfolgreicher Ausnutzung durch einen potentiellen Angreifer das größte Schadenspotential?
  2. Mit welcher Wahrscheinlichkeit wird die jeweilige Schwachstelle erfolgreich ausgenutzt werden können?

Wichtig ist bei der Priorisierung auch zu erfassen, wie groß die Hürden sind, um eine Schwachstelle erfolgreich zu schließen, z.B.:

  • Handelt es sich um eine Schwachstelle, die durch das recht einfache Einspielen eines bereits verfügbaren Software-Patches geschlossen werden kann?
  • Muss ein Beschaffungsantrag für eine Industrie-Firewall gestellt werden, weil bestimmte Produktionssysteme aufgrund nicht verfügbarer Patches von der übrigen IT-Infrastruktur isoliert werden müssen?
  • Muss sogar eine Neuanschaffung in Erwägung gezogen werden, da sich das gefährdete System nicht vernünftig schützen lässt und ein Risiko für die restliche IT-Infrastruktur darstellt?

Ergebnis des Priorisierungsprozesses ist ein Plan der umzusetzenden Verbesserungsmaßnahmen, der die verfügbaren Ressourcen der Organisation berücksichtigt.

5. Zuweisen

Die ISO 27001 Norm verlangt eindeutige Risikoeigentümer. Dementsprechend muss eine bereits identifizierte, bewertete und priorisierte Schwachstelle einem Verantwortlichen zugewiesen werden, so dass dieser in der Folge die festgelegte Verbesserungsmaßnahme umsetzen kann.

Im Idealfall besteht bereits ein Change-/Incident-Managementsystem, so dass die Zuweisung des Risikos und der durchzuführenden Verbesserungsmaßnahmen (“Tickets”) im Rahmen dieses bestehenden Systems erfolgen kann und nicht auf Basis von fehleranfälligen Excel-Listen gesteuert werden muss.

6. Verbessern und beheben

Der Risikoeigentümer hat dafür zu sorgen, dass die empfohlenen Verbesserungsmaßnahmen zur Behebung oder Linderung der ihm zugewiesenen Schwachstellen durchgeführt werden. Er dokumentiert die umgesetzten Maßnahmen im Change-/Incident-Management-System und ergänzt notwendige Asset-Informationen im ISMS (beispielsweise der zutreffende Patch-Level).

7. Nachverfolgen / verifizieren / wiederholen

Am Ende der Prozesskette muss nachverfolgt und verifiziert werden, ob die Verbesserungsmaßnahme durch den zugewiesenen Verantwortlichen tatsächlich umgesetzt wurde. Hierzu zählt auch die technische Überprüfung. Erst nach erfolgreicher Absolvierung eines erneuten Tests, wird die Schwachstelle im Change-/Incident-Managementsystem endgültig als behoben markiert.

Und somit beginnt der Prozess im Sinne des Plan-Do-Check-Act Prinzips auch schon wieder von vorn. Der Schwachstellenmanagementprozess ist fortlaufend fortzuführen, da:

  • sich die Schwachstellenlandschaft in stetigem Wandel befindet
  • in kurzen Zyklen für neue Schwachstellen entsprechende Exploits entwickelt werden
  • sich auch die IT-Infrastruktur des eigenen Unternehmens fortlaufend verändert


Daher können die Anforderungen des normativen Anhang A der ISO 27001 nur mittels eines fortlaufenden Schwachstellenmanagementprozesses effektiv erfüllt werden:

  • Information über technische Schwachstellen verwendeter Informationssysteme rechtzeitig einholen
  • Bewertung der Gefährdung der Organisation durch die jeweilige Schwachstelle
  • Maßnahmen werden ergriffen, um das dazugehörige Risiko zu behandeln

Dienstleistungslösung um Anforderungen der ISO 27001 zu erfüllen

Nur mit einem ausgereiften Schwachstellenmanagementprozess sind Unternehmen in der Lage, den vielfältigen Bedrohungen durch Schwachstellen Herr zu werden und den Anforderungen der ISO 27001 für den Umgang mit technischen Schwachstellen gerecht zu werden.

Die Einführung eines effektiven Prozesses ist jedoch leichter gesagt als getan!

Wenn ein Unternehmen einen Schwachstellenmanagementprozess etablieren oder einen bestehenden, rudimentären Prozess verbessern möchte, steht es üblicherweise vor drei wesentlichen Herausforderungen:

  1. Fehlende technische Infrastruktur für die gezielte Erfassung von Schwachstellen
  2. Mangelnde personelle Kapazitäten, um sich um den gesamten Schwachstellenmanagementprozess zu kümmern
  3. Eingeschränkte Erfahrung in der Einführung von geeigneten Schwachstellenmanagementprozessen

Um lange Anlaufphasen und Verzögerungen in der Einführung eines effektiven Schwachstellenmanagementprozesses zu verhindern, besteht die Möglichkeit die Lösung als Dienstleistung zu beziehen, um somit sofort startklar zu sein.

Trovent Security als Ihr Partner

Die Trovent Security liefert das notwendige Gesamtpaket als Dienstleistung. So ermöglicht die Trovent Security ihren Kunden die Anforderungen der ISO 27001 für technische Schwachstellen zu erfüllen – von der Erkennung bis hin zur Bewertung und Beseitigung.

Zum Dienstleistungspaket zählt:

  • die technische Infrastruktur (Schwachstellenscanner), um Schwachstellen zu erfassen
  • die personelle Kapazität für die Durchführung der Scans sowie die Bewertung, Priorisierung, Nachverfolgung und Verifikation der identifizierten Schwachstellen

Hierbei legen wir größten Wert darauf, dass sich die Dienstleistung nahtlos in bereits bestehende Unternehmensprozesse unserer Kunden integrieren lässt, so dass die Einführung bzw. Verbesserung eines Schwachstellenmanagementprozesses möglichst reibungslos erfolgen kann. In diesem Zusammenhang stehen erfahrene Berater selbstverständlich auch für die Optimierung bestehender Prozesse im IT-Sicherheitsbetrieb zur Verfügung.

Sie würden gerne mehr erfahren? Kontaktieren Sie uns!

Angriffsfläche kennen. Risiko reduzieren.

Zum Abschluss lässt sich festhalten:

Nur derjenige, der seine potentielle Angriffsfläche kennt, diese fortlaufend analysiert und erkannte Schwachstellen aktiv bewertet und beseitigt, ist in der Lage, die Anforderungen der ISO 27001, sowie den allseits geforderten Stand der Technik, zu erfüllen.

1 https://de.wikipedia.org/wiki/Information_Security_Management_System

2 Auf die Analyse von Netzwerkverkehrs- und Logdaten wird in einem weiteren Blogbeitrag dieser Reihe eingegangen.