Der Einsatz aktueller und gewarteter Software ist einer der Garanten für den sicheren Betrieb einer IT Infrastruktur. Daher ist es zwingend notwendig, dass Updates regelmäßig und zeitnah installiert werden müssen. Dies gehört mit zu den primären Aufgaben der Verantwortlichen einer IT Anlage. Es hat sich immer wieder gezeigt, dass erfolgreiche Cyber Attacken genau diese und vor allem bekannte Schwachstellen ausgenutzt haben, weil die Verantwortlichen es versäumt haben die zur Verfügung stehenden Updates zu installieren.
Es zieht sich wie ein roter Faden durch die einschlägigen Meldungen von erfolgreichen Cyber Attacken. Die Angreifer sind durch Schwachstellen eingedrungen, für die es schon längst Aktualisierung gab. Hier muss man sich die Frage stellen, warum passiert dies immer wieder und warum wird aus den Fehlern anderer nicht gelernt? Offensichtlich ist darauf die Antwort noch nicht gefunden, denn sonst würde es diese Meldungen ja nicht in der hohen Zahl immer noch geben. Aber gerade deshalb möchten wir das Thema hier im Blog wieder einmal aufgreifen, um zum einen zu sensibilisieren und zum anderen wieder es in den Fokus zu rücken.
Dies gilt auch im Besonderen im Hinblick auf die in naher Zukunft auslaufenden Betriebssysteme Windows 7 und Server 2008R2 von Microsoft. Für die allermeisten Kunden endet im Januar der Support für diese Systeme und es gibt ab diesem Zeitpunkt keine weiteren Sicherheitsupdates Seitens Microsoft. Alle danach auftretenden Sicherheitslücke werden nicht mehr geschlossen und können somit beliebig von Angreifern ausgenutzt werden. Auch wenn hier das Beispiel explizit Systeme von Microsoft nennt, so gilt dies uneingeschränkt für alle anderen Systeme und Applikationen deren Support ebenfalls nicht mehr zur Verfügung steht. Unabhängig vom Gesetzgeber durch das IT Sicherheitsgesetz oder die DSGVO sollte es für jeden Betreiber selbstverständlich sein, einen entsprechend abgesicherten Betrieb zu gewährleisten, der mindestens dem „Stand der Technik“ genügt und zum Stand der Technik gehören eben auch die zur Verfügung stehenden Aktualisierungen zu installieren. Dabei spielt es auch gar keine Rolle, ob die Systeme oder Dienste aus dem Internet zu erreichen sind oder nicht. Zwar ist hier das Risiko leicht höher, aber das Risiko für interne Systeme ist so hoch, dass es so gut wie keine Rolle spielt. Es gibt für die Angreifer so viele Angriffsvektoren, auch interne Systeme zu erreichen, dass alleine deren Aufzählung den Rahmen des Beitrags sprengen würde. Aus diesem Grund kann man pauschal die Aussage treffen, dass wenn ein System in irgendeiner Form vernetzt ist und es nicht durch zusätzliche Maßnahmen anderweitig geschützt wurde, ist es alleine durch die Vernetzung grundsätzlich angreifbar ist.
Das Thema Updates bezieht sich natürlich nicht nur auf das Betriebssystem selbst, sondern auf jede auf dem System vorhandene Anwendung in welcher Form auch immer. Schlichtweg alles kann durch einen Angreifer ausgenutzt werden, da reicht es schon verwaiste Helper Tools auf dem System zu haben, wie Heise unlängst berichtete. Diese entstehen durch deinstallierte Programme, die aber nicht richtig hinter sich aufräumen und Teile der Installation zurücklassen, die dann ausgenutzt werden. Bei diesen Helper-Dateien greift die Aktualisierung nicht mehr, da die dazugehörende Anwendung ja schon längst deinstalliert wurde und sich somit auch nicht mehr aktualisiert. Die so zum Teil mehrere Jahre alten Überbleibsel enthalten auch die Sicherheitslücken, die in der ganzen Zeit bekannt geworden sind. Wie schon gesagt, Angriffsvektoren gibt es in unbegrenzter Zahl. Aber zurück zum Thema Updates.
Damit Updates die Systeme auch wirklich absichern ist es wichtig zu wissen, was denn alles auf ihnen aktualisiert werden muss. Daher sind Updates nicht nur eine rein technische, sondern auch ganz besonders eine organisatorische Frage – Stichworte sind hier Inventarisierung und Dokumentation. Nur wer ein ganzheitliches Updatekonzept bzw. Updatemanagement betreibt hat gute Chancen seine IT Infrastruktur auf einem aktuellen Stand zu halten. Zur Unterstützung der organisatorischen Seite gibt es auf Seiten der Technik entsprechende Systeme. Eines davon sind Vulnerability Scanner, mit denen sich die Systeme auf Schwachstellen hin prüfen lassen. Eine solche Überprüfung erachten wir als zwingend notwendig, um damit mindestens zwei Dingen umzusetzen; erstens zu überprüfen, ob denn auch die Updates entsprechend installiert worden sind und zweitens, einen Nachweis zu führen, dass das notwendige Patch- und Updatemanagement regelmäßig stattfindet.
Das die Aufgaben, der Betrieb einer IT Anlage nach dem „Stand der Technik“ zu betreiben einfach ist, hat auch niemand behauptet. Es gehört mit zu den großen Herausforderungen in der IT und es wird umso komplexer, je mehr Systeme, Anwendungen und Dienste ineinandergreifen. Trotzdem bleibt die Aktualisierung der Komponenten alternativlos, um potentiellen Angreifern nicht unnötig Angriffsfläche bereitzustellen.
Worüber man sich allerdings durch die immer größere Komplexität schon Gedanken machen sollte, ist, wie man dem Ganzen entgegenwirkt. Dazu gehört das Loslassen der 90’er Jahre IT, wie die Abkehr von lokal installierten Anwendungen, wenn es dazu passende Alternativen gibt. Jede Anwendung, die lokal nicht existiert muss auch nicht gewartet werden. Jede Anwendung die zentral bereitgestellt wird, muss auch nur dort aktualisiert werden. Zu diesen Überlegungen gehören auf Seiten des Datacenters auch solche Dinge, dass Applikationen losgelöst vom Betriebssystem bereitgestellt werden. Technologien wie Container helfen hier massiv den Problemen eines Betriebssystemwechsels entgegenzutreten. Wie einst die Virtualisierung die Betriebssysteme von der Hardware losgelöst haben, lösen Container die Applikation vom Betriebssystem. Dies alles macht es natürlich viel einfacher die Infrastruktur auf einem aktuellen Stand zu halten, da die Komplexität der Abhängigkeiten sinkt. Dies hat einen positiven Einfluss auf die Gesamtkomplexität der Infrastruktur und als Synergieeffekt gestalten sich die notwendigen Updateprozesse zudem einfacher. Sicherheit in der IT ist ein Prozess und kein statisches Gebilde, dieser Prozess ist hoch dynamisch und muss daher ständig an die sich ändernden Rahmenbedingungen angepasst werden. Dazu gehört ebenso ein angepasstes und dynamisches Patch- und Updatemanagement, wie auch das hinterfragen von ehemaligen Designentscheidungen. Auch wenn zum damaligen Zeitpunkt die Entscheidung richtig war, muss sie dies unter den aktuellen Bedingungen nicht mehr zwangsläufig immer noch sein und sollte daher neu bewertet werden. Bis aber die Änderungen greifen und die neuen Wege einer modernen durch die “Cloud” inspirierten IT beschritten werden, bleibt nur das kontinuierliche und regelmäßige installieren der zur Verfügung stehenden Updates. Es gibt keinen sicheren Betrieb ohne entsprechende Aktualisierungen für vernetzte Systeme. Andere Maßnahmen für Systeme ohne Support oder auf denen Updates nicht zeitnah installiert werden können oder dürfen, zögern die notwendige Aktualisierung nur heraus. Denn für diese gilt ebenfalls, dass wenn die drumherum gebauten Mechanismen nicht greifen, stehen den Angreifern die Sicherheitslücken komplett zur Verfügung und dies kann verheerende Folgen haben.
Patchen, Patchen, Patchen und nochmals Patchen und zwar ganzheitlich, wie zum Beispiel die jüngsten Updates für Funktastaturen.