Die Theorie
Der IT(CIO)- und der Sicherheitsverantwortliche (CISO) haben alles im Griff. Ihre Organisation hält sich stundenaktuell auf dem laufenden, ob neue CVEs für IT-Produkte veröffentlicht wurden, die im Einsatz sind. Sind Patches verfügbar, so werden sie möglichst zeitnah installiert. Damit sind die vorhandenen Schwachstellen behoben. So sieht die Welt von ISO 27001/27002 aus. Und auch die Theorie.
Die Realität
Mindestens 99% der IT-Produkte sind fehlerbehaftet. Sowohl in Bezug auf Funktionalität wie auch in Bezug auf Sicherheit. Während sich funktionale Probleme selbständig manifestieren, bleiben Sicherheitslücken (Vulnerabilities) versteckt. Bis man sie entdeckt und flickt. Nur ist das nicht ganz so einfach und nicht so effizient wie man das vermuten würde.
Sicherheitslücken erlauben direkt oder indirekt Zugriff auf Daten haben negative Auswirkungen auf die Stabilität, die Vertraulichkeit, die Integrität und die Verfügbarkeit. Kein Kunde wünscht sich Sicherheitslücken. Sie sind eine kostenlose Beigabe der Anbieter. Und da gibt es nur sehr wenige, die damit knausrig sind (https://www.theregister.com/2021/04/13/patch_tuesday_april/)
Was für Produkte sind betroffen?
Praktisch alle. Auch Sicherheitsprodukte und Produkte mit Sicherheitsfunktionen sind betroffen. Es spielt auch keine grosse Rolle, von wem sie die Produkte kaufen. Auch die Beschaffung durch einen auf Cybersecurity spezialisierten Partner bedeutet nicht, dass dieser Partner die Produkte auf ihre Sicherheit geprüft hat oder die durch das Produkt gewährte Sicherheit kennt (https://i.blackhat.com/USA-19/Wednesday/us-19-Tsai-Infiltrating-Corporate-Intranet-Like-NSA.pdf. Das trifft auch auf die meisten Firmen zu, die Security Audits anbieten.
Vulnerability Management: Das Stopfen von bekannten Löchern
Betrachtet man die Rahmenbedingungen, so wird schnell klar, dass sich das Vulnerability Management auf Schwachstellen beschränkt, die bereits veröffentlicht wurden. Nur sind veröffentlichte Vulnerabilities bereits vor ihrer Veröffentlichung vorhanden und auch dem Anbieter des betroffenen Produkts vor der Veröffentlichung bekannt. Und das in der Regel seit Monaten. Wenn jemand eine Schwachstelle findet und dem Anbieter meldet, so besteht die Wahrscheinlichkeit, dass diese auch von jemandem anderen gefunden wurde. Das Vulnerability Management deckt keine Schwachstellen auf, sondern deckt nur die Prozesse bezüglich des Stopfens von Sicherheitslücken ab, die veröffentlicht wurden und für die es entweder einen Patch oder eine Schadensminderungsmassnahme (Mitigation) gibt.
Das CVE-System
CVE steht für «Common Vulnerabilities and Exposures». Ziel ist die Identifikation, Definition und öffentliche Katalogisierung von Schwachstellen. Die Organisation durch die MITRE (https://cve.mitre.org/about/) gesteuertes US-amerikanisches National Cybersecurity Forschungsinstitut, das staatlich gefördert ist. Es ist hierarchisch aufgebaut: Es gibt Roots und CNAs (Certificate Numbering Authorities). Die meisten Anbieter von IT-Produkten sind als CNA registriert und können CVEs herausgeben. Die Mehrheit der Sicherheitslücken wird nicht von den Anbietern selbst, sondern von Aussenstehenden gefunden. Diese können die Sicherheitslücken dem Anbieter melden (https://cheatsheetseries.owasp.org/cheatsheets/Vulnerability_Disclosure_Cheat_Sheet.html). Der Anbieter entscheidet dann über die Vorgehensweise. Es gibt einen Ehrenkodex unter Sicherheitsforschern, dass gefundene Sicherheitslücken erst 90 Tage nach der Meldung an den Anbieter öffentlich gemacht werden. Das nennt sich «Responsible Disclosure» und gibt dem Anbieter Zeit, einen Patch für die Sicherheitslücke zu entwickeln. Erst 90 Tage nach Meldung wird dann in der Regel ein CVE zusammen mit einem Patch oder einer empfohlenen Schadensminderungsmassnahme veröffentlicht. Die meisten Anbieter bevorzugen die sogenannte «Coordinated Disclosure», die auch als «Managed Disclosure» bekannt ist (https://www.microsoft.com/en-us/msrc/cvd). Der Anbieter übernimmt dabei die Koordination und kann so bestimmen, ob, wann und wie die vorhandene Sicherheitslücke veröffentlich wird. Und es ist auch der Anbieter selbst, der die Schwere der Sicherheitslücke grossteils bestimmen kann.
Das CVE-System ist gut gemeint, lädt aber zu Missbrauch durch die Anbieter ein, die selbst als CNA auftreten. Es ist genau der gleiche Anbieter, dessen Produkte Sicherheitslücken aufweisen, der die Macht hat zu bestimmen, wann die Sicherheitslücke veröffentlicht wird und welcher Schweregrad ihr zugeteilt wird. In diesem System kann der Urheber und damit der Verantwortliche für die Sicherheitslücke teilweise selbst bestimmen, was wann veröffentlicht wird, obwohl ihm die Sicherheitslücke bekannt ist und bei seinen Kunden ein Sicherheitsrisiko besteht.
Für das Veröffentlichen von Sicherheitslücken durch Anbieter gibt es selbstverständlich auch einen ISO-Standard: www.iso.org/standard/72311.html
Der Markt für Sicherheitslücken
Von vielen Anbietern werden Sicherheitsforscher nicht unbedingt nett behandelt, wenn sie gefundene Sicherheitslücken melden. Schliesslich haben sie ja Sicherheitslücken in Produkten des Anbieters gefunden und das stellt den Anbieter nicht in ein gutes Licht. Und es sind Sicherheitslücken, die der Anbieter selbst während der Qualitätssicherung und dem eigenen Testen hätte finden müssen. Sicherheitslücken zeigen nicht nur Probleme eines Produkts auf, sondern auch Defizite in den internen Prozessen bei den Anbietern.
Bisher unbekannte Sicherheitslücken sind für Organisationen interessant, die sich mit Informationsbeschaffung beschäftigen. Solche Organisationen suchen einerseits selbst nach Sicherheitslücken, die sie ausnützen können, und beschaffen sich andererseits Exploits für bisher unbekannte Sicherheitslücken bei Anbietern von Exploits für unbekannte Sicherheitslücken (https://www.schneier.com/blog/archives/2021/09/the-proliferation-of-zero-days.html). Dafür gibt es einen Markt (https://zerodium.com/program.html). Für rein geldorientierte Sicherheitsforscher kann dieser Markt sehr lukrativ sein.
Was bringt ein gutes Vulnerability Management?
Ein gutes Vulnerability Management ist besser als nichts, beschränkt sich aber auf bekannte Schwachstellen. Das beste Vulnerability Management nützt nicht viel, wenn die Produkte voller bisher unentdeckter Sicherheitslücken sind oder wenn der Anbieter ihm bekannte Sicherheitslücken nicht behebt.
Versicherungen gegen Cyberrisiken
Eine Versicherung sollte eigentlich die Risiken kennen, die sie versichert. In der IT ist vieles von den eingesetzten Produkten, deren Konfiguration und deren inhärenten Sicherheit abhängig. Das zusätzlich zur Organisation und den Prozessen. Zurzeit kennen die Versicherungen, die Cyberrisiken versichern, die Risiken nur ansatzweise. Dass die Risiken unterschätzt wurden zeigt sich an den laufend steigenden Prämien für Firmenkunden. Und die Risiken sind bei jedem Kunden individuell und sollten entsprechend individuell ermittelt werden.