Sicherheitslücken sind auf jedem System vorhanden. Sie können in verschiedensten Formen auftreten und einem IT-Forensiker im Alltag begegnen. Welche Sicherheitslücken einem IT-Forensiker bei Analysen und im Rahmen von Incident Response über den Weg laufen, erfahren Sie im nachfolgenden Beitrag.
Der Inhalt im Überblick
Sicherheitslücken durch fehlende oder falsche Konfiguration
In Unternehmen entsteht ein Teil der Sicherheitslücken durch mangelnde oder auch fehlerhafte Konfiguration. Ursprung solcher Sicherheitslücken ist oftmals nicht die fehlende Bereitschaft, Konfigurationen an Systemen vorzunehmen, sondern einfach der enorm hohe Aufwand bei der Konfiguration neuer Systeme. So wird ein kleineres Unternehmen nicht jegliche Funktionen einer Firewall nutzen wollen oder sogar können. Dies führt in einigen Fällen dazu, dass wichtige Einstellungen nicht vorgenommen werden und somit Angreifern die Fläche geboten wird, diese fehlerhaften oder nicht vorhandenen Konfigurationen auszunutzen.
Sicherheitslücken durch fehlende Updates
Ein weiteres Einfallstor stellen fehlende Updates dar, vor allem Sicherheitsupdates. Unabhängig vom Betriebssystem und vom System sind Updates ein wichtiger Bestandteil der IT-Wartung. Ohne Updates wären Systeme offene Tore. Durch die Vielzahl der heutigen Systeme und deren Hochverfügbarkeit, sind sie anfällig dafür, durch Sicherheitslücken ausgenutzt zu werden.
Ob Updates mittels Patch-Management oder manuell eingespielt werden, in jedem Fall ist zu empfehlen, zeitnah Updates zu installieren und die Geräte auf dem neusten Stand zu halten. Natürlich ist dies keine allumfassende Lösung, aber auch versäumte Updates tragen in vielen Fällen dazu bei, dass Systeme von Angriffen betroffen sind.
Sicherheitslücken durch Zero-Day-Exploits
Sicherheitslücken können jedoch nicht nur durch fehlende Konfiguration oder fehlende Updates entstehen. Ein Zero-Day-Exploit stellt eine Sicherheitslücke dar, welche bisher in dieser Art noch nicht bekannt war und für die es weder die Möglichkeit einer Konfigurationsänderung noch ein Update zum Beheben dieser Schwachstelle gibt. Sicherheitslücken sind nämlich auf jedem System vorhanden, nur wissen wir nicht von allen Gefahren, denen unsere Geräte und Umgebungen ausgesetzt sind.
Somit kommt es auch vor, dass Systeme, welche nach Best-Practice konfiguriert sind, regelmäßig geprüft und geupdated werden, trotzdem von Sicherheitslücken betroffen sind. Dennoch wird empfohlen, die Systeme auf dem aktuellen Stand zu halten und die Anwendungen von Best-Practices durchzuführen.
Sicherheitslücken durch Unachtsamkeit
In einigen Fällen entstehen Sicherheitslücken nicht durch technische Gegebenheiten, sondern vielmehr durch menschliches Handeln. Dies stellt per se keine Sicherheitslücke im üblichen Sinne der IT-Forensik dar. Dennoch können unachtsame menschliche Interaktion mit einem technischen Gerät einem Angreifer Zugang zu einem System oder einer Umgebung ermöglichen. Auch solche Situationen können einem IT-Forensiker im Alltag begegnen. Im Rahmen der präventiven IT-Forensik wird auch auf diese Thematik eingegangen, um Mitarbeiter oder gar ganze Unternehmen dafür zu sensibilisieren.
Wie Sicherheitslücken den Alltag begleiten
Im Alltag eines IT-Forensikers sind Sicherheitslücken in jeglicher Form also keine Seltenheit. Wir begegnen Sicherheitslücken bei Analysen, bei Incident Response Fällen sowie bei Workshops im Rahmen der präventiven IT-Forensik:
- Bei der regulären Analyse ist die Feststellung von Sicherheitslücken in der Regel nur ein Nebenaspekt und nicht das Hauptaugenmerk der Auswertung eines Systems.
- Bei Incident Response Vorfällen steht im Gegensatz dazu häufig das Auffinden ausgenutzter Schwachstellen im Vordergrund.
- Im Rahmen der Prävention wird gezielt darauf eingegangen, Sicherheitslücken in Systemen aufzudecken, um diese frühzeitig schließen zu können und Systeme zu härten.
Unabhängig davon, welchen Teilbereich ein IT-Forensiker abbildet und vor welchem Hintergrund eine Analyse oder auch ein Incident Response durchgeführt wird, sollten diese sich in jedem Fall auf neue Situationen vorbereiten und sich darüber informieren, welche Sicherheitslücken aktuell sind oder häufig ausgenutzt werden. Dies trägt dazu bei, Sicherheitslücken nicht nur einschätzen zu können, sondern auch durch das Aussprechen von Empfehlungen Sicherheitslücken zu schließen oder zu verhindern.
