NEU im #ConfareBlog
York von Eichel-Streiber, Manager Product Marketing bei NinjaOne im Interview
York von Eichel-Streiber ist Manager für Product Marketing bei NinjaOne. Im Interview mit Confare Geschäftsführer Michael Ghezzo erklärt York, warum Awareness-Training allein nicht ausreichen und warum Cybersecurity immer Chefsache sein sollte. Vulnerability und Patch-Management bekommen oftwenig Aufmerksamkeit, was fatale Konsequenzen nach sich ziehen kann.
Viele Unternehmen setzen auf Awareness-Trainings, um ihre Mitarbeitenden für Cybergefahren zu sensibilisieren. Warum reicht das allein nicht aus, um IT-Sicherheit effektiv zu gewährleisten?
Der Faktor Mensch ist äußerst wichtig. Alle Entscheidungsträger außerhalb der IT sind sich heutzutage darüber im Klaren, dass ein falscher Klick in einer Phishing-E-Mail Cyberkriminellen einen ersten Zugriff auf Systeme und Unternehmensdaten geben kann. Das Problembewusstsein für andere Bereiche der IT, wie Vulnerability und Patch-Management, ist teilweise weniger stark ausgeprägt. Die IT wird eventuell als bloße Kostenstelle wahrgenommen und größere Investitionen zurückgestellt. Dazu kommt der Fachkräftemangel. Vielleicht ist der Wille da, aber es fehlen die entsprechenden Mitarbeiter, Verbesserungen umzusetzen.
Das US-amerikanische IT-Sicherheitsunternehmen Mandiant, welches heute zu Google Cloud gehört, veröffentlichte in seinem jährlich erscheinenden M-Trends Report 2024 interessante Zahlen: 38 % der initialen Systemeinbrüche stammten von der Ausnutzung einer Schwachstelle und nur 19 % gingen auf Phishing zurück. Microsoft stellte ebenfalls im Defense Report 2023 fest, dass ca. 90 % der erfolgreichen Ransomware-Attacken auf nicht gemanagte und ungepatchte Geräte zurückzuführen sind, bei denen grundlegende Sicherheitsmaßnahmen fehlten. Das entspricht auch unserer Botschaft. Es ist entscheidend, die Grundlagen des IT-Managements und der Cybersecurity in einem ganzheitlichen Ansatz zu stärken. Eine Vernachlässigung stellt ein großes Risiko dar. Ein besonders wichtiger Baustein ist eine lückenlose Erfassung und idealerweise auch Kategorisierung aller IT-Assets. Sobald man die Grundlagen fest im Griff hat, werden zeitliche Ressourcen frei, um weitere strategisch wichtige Projekte erfolgreich umzusetzen.
Regelmäßige Patches und Updates klingen einfach, aber in der Praxis gibt es viele Hürden. Was sind die größten Herausforderungen bei der Umsetzung eines konsequenten Vulnerability Managements?
Das Vulnerability und Patch-Management hat einige Tücken, die zu Reibungen und Problemen führen können. Im deutschsprachigen Raum ist eine konservative und teilweise skeptische Haltung gegenüber Cloud-Lösungen relativ verbreitet. Wer noch mit WSUS-Servern in einer klassischen On-Prem-Umgebung arbeitet, hat typischerweise Schwierigkeiten, das Patching von Schwachstellen in einer hybriden Arbeitsumgebung umzusetzen. Die Lockdowns während der Pandemie haben der Migration in die Cloud einen Schub gegeben. Viele Unternehmen, gerade im mittelständischen Bereich, sind aber nicht vollständig in der Cloud. Dieses Co-Management zwischen Cloud und On-Prem macht Patching allerdings komplexer, was wiederum zu Schwierigkeiten im Patch-Management führen kann. Darüber hinaus kann auch eine unvollständige Übersicht über die IT-Infrastruktur der Grund von ungepatchten Systemen sein.
Wenn Unternehmen die Grundlagen gut im Griff haben, stellt die für ihre IT-Infrastruktur adäquate Priorisierung von Schwachstellen häufig eine Herausforderung dar. Der CVSS-Score ist eine hilfreiche Informationsquelle, ist aber nicht unbedingt ausreichend, um eine tatsächliche Risikobewertung zu machen. Je nach Unternehmensgröße bereitet die Koordination zwischen den Teams der IT-Sicherheit und IT-Infrastruktur Schwierigkeiten. Dabei sind eventuell unterschiedliche Systeme für Vulnerability Scanning und Patch-Management im Einsatz, was zu Verzögerungen bei der Verteilung von Updates führen kann.
Welche Rolle spielt Automatisierung im Patch- und Vulnerability-Management, und wie können Unternehmen sicherstellen, dass sie dabei nicht neue Risiken schaffen?
Automatisierung spielt eine Schlüsselrolle beim Patch- und Vulnerability-Management für die Skalierung und Vermeidung menschlicher Fehler. Aber auch hier müssen Herausforderungen gemeistert werden. Um Probleme bei der Kompatibilität und Verfügbarkeit der Systeme zu vermeiden, müssen Updates im Patching-Prozess getestet werden. Kritische Schwachstellen müssen aber so schnell wie möglich ausgerollt werden, weil Angreifer immer schneller nach bekannten Schwachstellen suchen. Dieses Dilemma muss durch eine effiziente personelle und technische Zusammenarbeit der Teams für IT-Sicherheit und IT-Infrastruktur so gut wie möglich gelöst werden.
Was ist Ihr wichtigster Rat für IT-Entscheider, die ihre Cybersecurity-Strategie nachhaltig verbessern und ihre Angriffsfläche minimieren wollen?
Zunächst einmal muss IT-Sicherheit stets Chefsache sein und als unternehmensweite Aufgabe begriffen werden. Wie bereits erwähnt ist eine lückenlose Übersicht über alle IT-Assets eine Grundvoraussetzung von entscheidender Wichtigkeit. Dann sollte unter Einbezug aller Beteiligten sowohl aus technischer als auch aus geschäftlicher Perspektive eine Kategorisierung und Risikobewertung der erfassten IT-Assets ausgearbeitet werden. IT-Entscheider sollten einen ganzheitlichen Ansatz in der IT-Sicherheit und im IT-Management verfolgen. Die Auswahl von Technologiepartnern sollte stets unter dem Gesichtspunkt einer maximal effizienten Zusammenarbeit zwischen IT-Sicherheit und IT-Infrastruktur und Management getroffen werden. Auf dieser Grundlage können IT-Entscheider bewusst bestimmen, welche Assets besonders kritisch sind und wo Risiken unter allen Umständen minimiert werden müssen und an welcher Stelle Risiken toleriert werden können. Auf diese Weise kann ein risikobasiertes Vulnerability Management als Teil eines umfassenden Exposure Management umgesetzt werden, welches die Angriffsfläche minimiert.
Welche KPIs und Messgrößen sind entscheidend, um den Erfolg eines Vulnerability-Management-Programms zu bewerten?
Bei risikobasierten Metriken, die auf einer unternehmenseigenen Priorisierung aufbauen, sind die folgenden empfehlenswert:
- Prozentsatz an Schwachstellen, die nachgewiesenermaßen von Cyberkriminellen häufig ausgenutzt werden.
- Durchschnittliche Dauer, um kritische Schwachstellen auf IT-Assets von kritischer Wichtigkeit zu beheben.
- Durchschnittliche Dauer, um kritische Schwachstellen zu entdecken.
- Prozentsatz an IT-Assets, die im Vulnerability Management erfasst sind.
- Anzahl an Ausnahmeregelungen.
Cybersecurity ist DAS Trendthema 2025. Besuchen Sie den Confare CIOSUMMIT Salzburg und erfahren Sie, wie Top-IT-Entscheider:innen aus verschiedensten Branchen Cybersecurity handhaben. Einfach HIER anmelden
Viele Unternehmen haben heterogene IT-Landschaften mit Legacy-Systemen. Wie kann man dort ein effizientes Patch- und Vulnerability-Management sicherstellen?
Zunächst einmal ist es wichtig, dass diese Legacy-Systeme innerhalb des risikobasierten Vulnerability Management und des Managements der Angriffsoberfläche als Ausnahme erfasst werden. Diese Legacy-Systeme dürfen den Patching-Prozess der restlichen Infrastruktur nicht behindern und verzögern. Es sollte anschließend eine Risikobewertung durchgeführt werden. Die Systeme sollten durch Segmentierung von anderen Teilen der Infrastruktur isoliert werden, um das Risiko im Falle eines Angriffs zu minimieren. Auf dieser Grundlage können Prozesse eingeführt werden, die die Implementierung von Updates dieser Legacy-Systeme so gut wie möglich automatisieren.
Compliance-Anforderungen und regulatorische Vorgaben setzen Unternehmen beim Thema Cybersecurity unter Druck. Wie lässt sich Vulnerability Management mit den Anforderungen von DSGVO, NIS2 oder ISO 27001 in Einklang bringen?
Regulatorische Vorgaben setzen insbesondere diejenigen Unternehmen unter Druck, die noch Lücken in den grundlegenden Bereichen des IT-Managements und in der IT-Sicherheit haben. Laut des Leiters des Bereichs NIS2 bei der europäischen Regulierungsbehörde für IT-Sicherheit ENISA, Dr. Marnix Dekker, haben Unternehmen, die ISO27001-konform sind, bereits 70 % der Anforderungen von NIS2 abgedeckt. Solchen Unternehmen fällt der Schritt zu NIS2 dann auch wesentlich leichter. Insofern gilt die Faustregel, dass Unternehmen mit soliden Grundlagen in IT-Sicherheit und Management wesentlich weniger Schwierigkeiten mit regulatorischen Anforderungen haben.
Welche Rolle spielt NinjaOne im Cybersecurity Ecosystem des CIOs?
NinjaOne bietet eine cloudbasierte und agentenbasierte IT-Management-Plattform, die es Unternehmen ermöglicht, alle IT-Assets zu inventarisieren und damit die notwendige Übersicht über die IT-Infrastruktur zu erreichen. Dabei können nicht nur Computer und Server überwacht werden, sondern auch Mobil- und Netzwerkgeräte. Das Patch Management von Windows, Mac, Linux, Android und IOS ist ein weiterer wichtiger Bestandteil der NinjaOne-Platform. Darüber hinaus bestehen Schnittstellen zu führenden Vulnerability Scannern und intelligenten KI-gestützten Sicherheitslösungen wie SentinelOne oder Crowdstrike, welche wichtig für die effiziente Erkennung und Bekämpfung von Zero-Days sind. Für größere Unternehmen gibt es eine Schnittstelle zu ServiceNow. Alle Informationen über IT-Assets fließen dabei automatisch in die CMDB von ServiceNow. NinjaOne ist ein wichtiger Baustein für erfolgreiches IT-Management, der gut in viele weitere führende Lösungen in der IT-Sicherheit integriert ist.