Das Patch-Management sollte sich nicht wie „Und täglich grüßt das Murmeltier“ anfühlen

Von:

2. Februar 2022

In dem Film „Und täglich grüßt das Murmeltier“ aus dem Jahr 1993 gerät Phil Connors in eine endlose Schleife, in der er denselben Tag immer wieder erlebt. Prozesse zum Schwachstellenmanagement, wie beispielsweise das Patch-Management, können sich manchmal wie eine sich wiederholende Schleife anfühlen, wenn Unternehmen nicht über die richtigen Lösungen und Strategien verfügen. Zu den beliebtesten Blogbeiträgen von Onapsis gehören nach wie vor solche über Schwachstellen, die bereits vor Monaten oder sogar Jahren entdeckt wurden und für die Patches veröffentlicht wurden. Die Herausforderung für Unternehmen bleibt also bestehen: Wie lassen sich Schwachstellen identifizieren, Patches priorisieren und Cyberangriffe auf kritische Daten und Systeme verhindern? Angesichts der Häufigkeit von Releases, der Komplexität des Patch-Prozesses und der Größe der Anwendungslandschaften sehen sich Unternehmen mit einem wachsenden Rückstau an Patches konfrontiert und verfügen oft nicht über Tools, die bei der Priorisierung helfen. Diese Unternehmen stecken in einer Endlosschleife fest, in der sie sich auf manuelle Maßnahmen verlassen müssen, um festzustellen, welchen Systemen welche Patches fehlen, welche fehlenden Patches priorisiert werden müssen und ob Patches angewendet wurden oder nicht. Die gute Nachricht ist: Mit den richtigen Tools und Prozessen ist es möglich, aus dieser Schleife auszubrechen.

Das Patch-Management auf dem neuesten Stand zu halten, ist eine Herausforderung 

Bei den jüngsten Angriffen der Hackergruppe „Elephant Beetle“ werden nach wie vor zwei ältere Sicherheitslücken – der SAP NetWeaver Invoker Servlet Exploit (CVE-2010-5326) und die SAP NetWeaver ConfigServlet Remote Code Execution (EDB-ID-24963) – von Angreifern ausgenutzt. CVE-2010-5326 war die allererste US-CERT-Warnung im Zusammenhang mit der Cybersicherheit von SAP im Jahr 2016. Und diese US-CERT-Warnung bezog sich, obwohl sie 2016 herausgegeben wurde, auf eine bereits fünf Jahre zuvor behobene Schwachstelle. Für beide Schwachstellen gibt es bereits Patches.Cloud Threat Intelligence Cloud Onapsis Research LabsCloud Aktivitäten im Zusammenhang mit den beiden SAP NetWeaver Java-Sicherheitslücken und stellte seit Januar 2020 über 350 Ausnutzungsversuche fest. Ältere, ungepatchte Sicherheitslücken werden weiterhin von Angreifern ausgenutzt und werden auch weiterhin ein Problem für Unternehmen darstellen, die nicht über die richtigen Tools zur Identifizierung, Priorisierung und Behebung verfügen.

Laut einem Bericht des Ponemon Institute gaben 60 % der Opfer von Sicherheitsverletzungen an, dass diese auf eine bekannte, nicht gepatchte Sicherheitslücke zurückzuführen waren, für die kein Patch installiert worden war. Die jüngsten Schlagzeilen über einen Ransomware-Angriff auf ein Versorgungsunternehmen im Zusammenhang mit der RECON-Sicherheitslücke wurden erstmals Onapsis Research Labs Juli 2020 von Onapsis Research Labs veröffentlicht. Das Patchen von Anwendungen und das Schwachstellenmanagement können eine Herausforderung darstellen und zeitaufwändig sein (müssen es aber nicht), doch nur weil eine Schwachstelle alt ist, bedeutet das nicht, dass sie kein Risiko mehr für Ihr Unternehmen darstellt. Sie können davon ausgehen, dass raffinierte, methodisch vorgehende Angreifer einen Weg finden werden, sie auszunutzen, sobald sich die Gelegenheit bietet. 

Die Bedeutung des Patch-Managements

Die Analyse komplexer Sicherheitshinweise sowie die anschließende Priorisierung und Implementierung von Patches stellt eine Herausforderung dar, insbesondere für Unternehmen, die mehrere geschäftskritische Anwendungen und Systeme betreiben. Die manuelle Verwaltung der Patch-Implementierung ist ein zeitaufwändiger und fehleranfälliger Prozess. Es gibt keine einfache Möglichkeit, festzustellen, bei welchen Systemen Patches fehlen, oder Patches und Systeme entsprechend zu priorisieren, was häufig entweder zu einem überstürzten Prozess oder zu einer Herabstufung der Priorität führt. Dies führt zu einem wachsenden Rückstau an Patches. Es ist jedoch wichtig, Patches umgehend zu installieren, da auch Angreifer die Veröffentlichung von Patches im Auge behalten. Untersuchungen von SAP, CISA und Onapsis ergaben, dass kritische SAP-Schwachstellen weniger als 72 Stunden nach Veröffentlichung des Patches ausgenutzt wurden. Die Zeitlücke zwischen der Entdeckung einer Schwachstelle und der Bereitstellung eines Patches ist jedoch wesentlich länger; die durchschnittliche Zeit für die Anwendung, das Testen und die vollständige Bereitstellung eines Patches beträgt 97Tage1

Priorisierung des Schwachstellenmanagements

Diese alten Sicherheitslücken haben uns gezeigt, dass Unternehmen ihre geschäftskritischen Sicherheitsprozesse für Anwendungen durch geeignete Verfahren zum Schwachstellen- und Patch-Management stärken müssen, um es Angreifern deutlich schwerer zu machen, einen ersten Zugriff zu erlangen. Eine Schwachstellenmanagement-Lösung, die auf die Anwendungsebene abzielt, kann erkennen, bei welchen Systemen Patches fehlen, überprüfen, ob die Patches korrekt und vollständig angewendet wurden, und es Unternehmen ermöglichen, das Patchen nach Schweregrad und Auswirkungen zu priorisieren. Mit den richtigen Tools und Prozessen minimieren Unternehmen das Risiko kritischer Schwachstellen, schützen ihre wichtigsten Unternehmensressourcen und durchbrechen den Teufelskreis sich wiederholender manueller Arbeiten.

Weitere Informationen zum Schwachstellenmanagement und zu geschäftskritischen Anwendungen finden Sie in unserem entsprechenden Whitepaper. Um die aktuelle Risikosituation Ihres Unternehmens zu ermitteln, wenden Sie sich bitte an einen Onapsis-Sicherheitsexperten unter https://onapsis.com/company/contact-us/

Weiterführende Literatur: Threat Intelligence Onapsis Research Labs

  • 10K Blaze: Im April 2019 wurden in einem öffentlichen Forum mehrere neue Exploits veröffentlicht, die auf SAP-Anwendungen abzielen. Obwohl die Exploits auf unsichere Konfigurationen abzielen, die bereits in der Vergangenheit von SAP SE und Onapsis gemeldet wurden, erhöht ihre Veröffentlichung das Risiko erfolgreicher Cyberangriffe auf SAP-Implementierungen weltweit erheblich. Diese Exploits könnten 9 von 10 SAP-Systemen betreffen; wir empfehlen Unternehmen, alle relevanten SAP-Sicherheitshinweise zu prüfen und umzusetzen.
  • RECON-Sicherheitslücke: Die Onapsis Research Labs SAP haben Ende 2020 gemeinsam daran gearbeitet, die schwerwiegende RECON-Sicherheitslücke aufzudecken und zu beheben. Die RECON-Sicherheitslücke betrifft eine Standardkomponente, die in jeder SAP-Anwendung vorhanden ist, auf der der SAP NetWeaver Java-Technologie-Stack läuft. Diese technische Komponente wird in vielen SAP-Geschäftslösungen verwendet, und ein erfolgreicher Angriff könnte einem nicht authentifizierten Angreifer vollständigen Zugriff auf das betroffene SAP-System verschaffen
  • Aktuelle Cyberangriffe auf geschäftskritische SAP-Anwendungen: Im April 2021 haben wir gemeinsam threat intelligence SAP threat intelligence veröffentlicht und den ersten öffentlichen Bericht der Onapsis Threat Intelligence Cloud herausgebracht. Nicht nur die Bedrohungslandschaft hat sich in den letzten Jahren ausgeweitet, auch die Angreifer sind raffinierter geworden, nutzen bekannte Sicherheitslücken und handeln schnell. Das Zeitfenster für die Verteidiger wird immer kleiner.
  • Monatliche SAP-Sicherheitshinweise: Onapsis Research Labs leistet Onapsis Research Labs Beiträge zu den SAP-Sicherheitshinweisen und veröffentlicht unsere Analysen jeden Patch Tuesday.
1 Die dritte jährliche Studie zum Stand der Risiken im Bereich Endpoint-Sicherheit – Ponemon Institute LLC Erscheinungsdatum: Januar 2020
Stichworte, ,
Über den Autor

Maaya Alagappan

Maayaa Alagappan ist eine Marketingexpertin mit einem besonderen Schwerpunkt auf Datenschutz und Risikomanagement. Sie nutzt ihr Fachwissen im Bereich Cybersicherheit, um Strategien zu entwickeln, die nicht nur sensible Daten schützen, sondern auch das Vertrauen der Kunden stärken. Indem sie Sicherheitsmaßnahmen mit Marketingzielen in Einklang bringt, unterstützt Maayaa Unternehmen dabei, den Ruf ihrer Marke zu stärken und die Einhaltung gesetzlicher Vorschriften in einem zunehmend digitalen Marktumfeld sicherzustellen. Ihre einzigartige Kombination aus Marketing- und Cybersicherheitskenntnissen macht sie zu einer wertvollen Bereicherung bei der Entwicklung von Kampagnen, die sowohl Kundenbindung als auch Datenschutz in den Vordergrund stellen.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen