Vulnerability Management

From Wikipedia, the free encyclopedia

Vulnerability Management (auch Schwachstellenmanagement[1] oder Schwachstellen-Management[2]) bezeichnet den Prozess der Erkennung, Bewertung, Meldung und Behandlung von Sicherheitslücken in Computersystemen.[1][3] Als Unterdomäne des IT-Risikomanagements ist es fundamental für Informations- sowie Netzwerksicherheit und sollte nicht mit Schwachstellenanalyse verwechselt werden.[4] Schwachstellen können mithilfe von Vulnerability Scannern aufgedeckt werden.[5]

Bekanntwerden von Schwachstellen

Zu möglichen Schwachstellen, die mithilfe eines Vulnerability Scanners gefunden werden können, zählen u. a. offene Ports, unsichere Softwarekonfigurationen und die Anfälligkeit für Malware. Schwachstellen können außerdem durch öffentliche Quellen (wie bspw. die National Vulnerabilty Database[6][7] oder den Warn- und Informationsdienst[8] des CERT Bund), Sicherheitsupdates eines Softwareherstellers oder durch kommerzielle Warndienste bekannt werden. Auf seiner Webseite beschreibt beispielsweise das Bundesamt für Sicherheit in der Informationstechnik die Verwendung der Open Source Software-Suite OpenVAS.[9]

Noch unbekannte (0Day-Exploit) oder unveröffentlichte Sicherheitslücken lassen sich bspw. mithilfe von Fuzzing finden. Hierbei werden zufällige Daten an eine Eingabeschnittstelle übermittelt, um so gegebenenfalls Systemabstürze zu provozieren, die wiederum eine Sicherheitslücke offenbaren.

Vulnerability Management bei Projekten

Bei (Software-)projekten umfasst das Vulnerability Management die Untersuchung von möglichen Anfälligkeiten des Projekts für negative Ereignisse (wie bspw. der Ausnutzung einer vorhandenen Schwachstelle), die Analyse ihrer Auswirkungen sowie die Fähigkeit des Projekts, mit negativen Ereignissen umzugehen. Ein Modell des systematischen Vulnerability Managements für Projekte geht von der Notwendigkeit aus, das vollständige Projekt zu analysieren. Empfohlen wird hierbei ein Vorgehen in vier Schritten:[10]

  1. Identifikation von Schwachstellen
  2. Analyse der gefundenen Schwachstellen
  3. Planung des Umgangs mit gefundenen Schwachstellen
  4. Behebung der Schwachstellen, einschließlich Implementierung von Fixes, Überwachung, Erfolgskontrolle und Lessons Learned

Der Umgang eines Systems mit negativen Ereignissen sollte nach diesem System auf der Fähigkeit bestehen, aktuellen Schäden zu widerstehen (statischer Aspekt) und sich von diesen rechtzeitig wieder zu erholen (dynamischer Aspekt). Hierbei soll Redundanz dabei helfen, die Ausfallsicherheit zu erhöhen, Antifragilität soll einem System außerdem die Möglichkeit geben, durch das Erholen von einem negativen Ereignis sich selbst zu verbessern.[10]

Literatur

  • Hans-Peter Königs: IT-Risikomanagement mit System – Praxisorientiertes Management von Informationssicherheits-, IT- und Cyber-Risiken. 5. Auflage. Springer, Wiesbaden, 2017, ISBN 978-3-658-12003-0.

Einzelnachweise

Related Articles

Wikiwand AI