Virtuelles Patchen hätte Datendiebstahl bei Equifax verhindert

von Bharat Mistry, ‎Principal Security Strategist und Richard Werner, Business Consultant

Der Sicherheitsvorfall bei der US-Wirtschaftsauskunftei Equifax, bei dem Hacker im September Kreditkarten-, Sozialversicherungs- und Ausweisnummern von 145,5 Millionen US-Amerikanern sowie 700.000 Briten erbeuteten, hat wieder einmal gezeigt, dass kein Unternehmen vor Einbrüchen gefeit ist. Glück im Unglück: Wäre der Datendiebstahl nach dem Inkrafttreten der GDPR passiert, so hätte es wohl – angesichts des Ausmaßes des Vorfalls — eine Strafe von mehr als 120 Millionen Dollar für Equifax gegeben. Bei IT-Verantwortlichen müssten spätestens jetzt die Alarmglocken schrillen. Ab Mai 2018 wird nämlich laut GDPR erwartet, dass Unternehmen ihre IT mit “State of the Art”-Maßnahmen schützen. Und dazu gehört auch effizientes Patch-Management als Best Practices.

Daran scheint es wohl bei der Wirtschaftsauskunftei gemangelt zu haben. In einer Stellungnahme stellte Equifax klar, dass die Angreifer eine Sicherheitslücke in einem Apache Struts Web Server (CVE-2017-5638) ausnutzten, auf dem die unsichere Portalanwendung lief. Trend Micro wies bereits im März auf die Gefahr hin und beschrieb das mögliche Angriffsszenario. Die Lücke war auch der Wirtschaftsauskunftei seit März bekannt! Unklar bleibt, warum die Sicherheitslücke nicht zeitgerecht gepatcht wurde.

Eine mögliche Erklärung dafür könnte darin liegen, dass Business-Kriterien die Entscheidung dagegen bestimmten: Es ging darum, die betroffene App abzuschalten und damit nicht angreifbar zu sein oder mit dem potenziellen Risiko zu leben, und die Geschäftstätigkeit aufrecht zu erhalten. Nun, man traf offenbar die falsche Wahl.

In ähnlichen Situationen hat es sich schon häufig gezeigt, dass Unternehmen zwar sehr genau kalkulieren können, welche Kosten der temporäre Ausfall einiger Systeme verursacht, aber weniger häufig oder gar nicht, welche Kosten entstehen, wenn ein Patch nicht installiert wird. Daher überlegen tatsächlich viele Sicherheitsverantwortliche in den Firmen, ob es erforderlich ist, einen vielleicht sogar als kritisch eingestuften Patch zu verteilen und wenn ja, mit welcher Priorität. Ist es beispielsweise nötig, einen Notfall-Patch in Nachtarbeit der Sicherheitsteams aufzuspielen und/oder eine tatsächliche Phase des Systemausfalls in Kauf zu nehmen, wenn beispielsweise der Patch nicht kompatibel zur eingesetzten Software ist.

Ungewiss ist, ob bei Equifax eine solche Situation vorlag. Allerdings spricht die Tatsache, dass dieser Patch trotz automatischer Verteilmechanismen nicht ausgerollt wurde, stark dafür, dass ein gewichtiger Grund vorlag, dies nicht zu tun.

Virtuelles Patching – erhebliche Risikominimierung

Die Problematik der „nicht installierten Patches“ ist alles andere als neu, und längst gibt es Möglichkeiten, das Problem zu lösen. Die Technik des „virtuellen Patchens“ etwa entlastet Risikomanager wie Systemverantwortliche von einer solchen Entscheidung. Denn es gibt immer wieder Situationen, in denen ein Patch nicht zeitgerecht verteilt werden kann, vor allem im Fall von geschäftskritischen Systemen.

Die Vorteile von automatisierten Patch-Managementtools auf der Grundlage einer umfassenden, wohl durchdachten Policy sind nicht zu unterschätzen. Mithilfe des virtuellen Patchens wird ein Update so lange simuliert, bis alle Rahmenbedingungen geschaffen sind, um die Systeme selbst zu aktualisieren. Natürlich kostet diese Technologie Geld, welches Risikomanager in ihre Kalkulation aufnehmen müssen.

Effizientes Patch Management sollte Teil einer Best Practice Cybersicherheitsstrategie sein und Incident Response, strenge Zugriffsmechanismen, die Schulung von Endanwendern sowie ein stetiges Monitoring ergänzen.

Damit also solche oder ähnliche Technologien zum Schutz auch von personenbezogenen Daten angeschafft werden, versieht nun der Staat letztere mit einem Preisschild, das für viele außerordentlich hoch erscheint. Welche andere Möglichkeit hätte der Gesetzgeber, um auf die Dringlichkeit des Schutzes dieser Daten hinzuweisen und gleichzeitig solche Risiken für Unternehmen besser kalkulierbar zu machen.

So paradox es klingen mag! Hätte Equifax eine Technologie wie virtuelles Patchen aus „Angst“ vor der europäischen Datenschutz Verordnung im Einsatz gehabt, wäre es zu diesem Vorfall nicht gekommen. Das hätte auch die zu erwartenden zivilrechtlichen Klagen in Milliardenhöhe abgewendet — die Kosten der Lösung wären damit längst ausgeglichen.

Leider kommt es immer wieder vor, dass Unternehmen dieses mögliche „Worst Case“-Szenario nicht richtig einschätzen und beurteilen können oder wollen. Ein Unternehmen, das offen erklärt, nicht in der Lage gewesen zu sein, das Problem eines „nicht installierten Patch“ zu lösen, wird Schwierigkeiten haben, im Fall einer Untersuchung eines Vorfalls darzulegen, dass es seine Daten nach „Stand der Technik“ geschützt hat. Bedauerlich ist nur, dass es immer erst zu Schäden kommen muss, bevor Unternehmen die Notwendigkeit solcher Schutzmaßnahmen „ernst“ nehmen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*