Drei Wege ungepatchte Altsysteme sicherer zu machen

Unternehmenskritische Software, die nicht gepatcht ist, ist oft ein Ziel von Cyber-Kriminellen

Verfasser: F-Secure Business Security Insider
Datum: 29. Oktober 2015
Lesedauer: 4 Minuten

Gibt es in Ihrem Unternehmen Software, die schon das Ende ihres Produktzyklus‘ erreicht hat?

Nach unseren Erfahrungen vor Ort fällt uns immer wieder auf, dass viele Unternehmen Server- und Client-Programme nutzen, die länger nicht auf den neuesten Stand gebracht wurden und auch in der näheren Zukunft keine Updates bekommen werden. Oftmals ist das kritische Software wie Enterprise Resource Planning (ERP), Customer Relationship Management (CRM), Rechnungsstellung und Kostenerfassung, bei denen die Unternehmen sich durchaus bewusst sind, dass diese kritischen Bausteine der Software bessere Sicherheit benötigen.

Leider sind diese Systeme entweder zu alt, zu wertvoll, um an ihnen zu arbeiten und es gibt schlicht kein Personal, das sich so gut mit den Systemen auskennt, dass sie Fehler beheben können, sollten diese Systeme ausfallen. Es bleibt zu hoffen, dass die Situation nicht so schlimm ist wie bei diesem Fall aus dem Jahr 2005. Deshalb bleiben diese Systeme ungepatcht und öffnen Angreifern Tür und Tor zum Netzwerk der Unternehmen.

Auf der RSA Konferenz im letzten Jahr sagte Mario Nunez, CEO of Onapsis, dazu:

Über 95 Prozent der von uns analysierten ERP-Systeme wiesen so große Sicherheitslücken auf, dass sie es Cyber-Angreifern ermöglichten, volle Kontrolle über das Unternehmen zu erhalten. In 100 Prozent der Fälle waren Informationen über diese Sicherheitslücken seit mehr als fünf Jahren öffentlich verfügbar.

Die Situation wird nochmals verschlechtert durch Händler und Provider, die aktiv verhindern wollen, dass Sie Ihre Systeme sicherer machen. Haftungsübernahmen, SLAs, Support und Fernwartungsservices  (ja, Händler wollen von extern auf Ihr System zugreifen und Sie haben kaum eine Möglichkeit, das zu verhindern) werden beendet, falls Sie sich dazu entschließen, von Ihrer Seite aus ein System zu updaten, das tief in Ihrem Netzwerk sitzt.

Unternehmen „verstecken“ oft diese Lösungen in ihrem internen Netzwerk und vertrauen darauf, dass niemand ins Netzwerk eindringen kann. Allerdings ist es für Angreifer nach dem Einbruch in ein IT-Netzwerk durchaus möglich, diese ungepatchten Altsysteme zu finden. Vielleicht sogar durch die Fernwartungsverbindung, die die Händler für sich eingerichtet haben.

Was können Sie tun?

Obwohl es natürlich am besten ist, alle Programme auf dem neuesten Stand zu halten, ist das nicht immer möglich. Es gibt verschiedene Wege, ein sichereres Netzwerk zu erreichen, sei es durch die strategische Ausrichtung auf Cloud Services oder durch das Abschotten des Systems und durch die Begrenzung von Zugriffen auf ein absolutes Minimum.

Cyber Security Advisor Erka Koivunen erklärt, wie das geht:

  1. Entfernen Sie Altsysteme aus Ihrem Netzwerk. Viele moderne CRMs, ERPs und Rechnungssysteme bieten Cloud-basierte (also im Web durch Browser zugängliche) Versionen der Altsoftware, die Sie vor Ort nutzen, an. Damit will ich nicht sagen, dass die Cloud von Zauberhand alle Probleme lösen kann, sie werden nur verlagert. Anstatt sich um ungepatchte Server Sorgen zu machen, müssen Sie sich darum kümmern, wie sicher Ihre Daten in der Cloud sind und wie Sie ihre Endgeräte inklusive Browser absichern. Machen Sie die Transition zu einem moderneren System oder beginnen Sie damit, ein Lock-Down-Projekt zu planen. Beide Möglichkeiten beginnen mit einer Neuverhandlung Ihres Servicevertrags.
  2. Isolieren Sie die Server, limitieren Sie den Zugriff und verfolgen Sie die Nutzung. Stellen Sie sicher, dass die ungepatchten und von außen angreifbaren Server in ein isoliertes Netzwerk überführt werden. Kein Netzwerkverkehr darf in ein System oder aus einem System gelangen, es sei denn, es besteht die geschäftliche Notwendigkeit dafür und die Teilnehmer am Kommunikationsfluss sind legitimiert. Setzen Sie auf Nutzungsverfolgung auf jeder Stufe, vom Server bis zu den Endpunkten an jeder Stelle des Netzwerks und den Außengrenzen. Stellen Sie sicher, dass die Logfiles sicher verwahrt sind und auf einem anderen System als dem potenziell unsicheren System aufbewahrt werden. Nutzen Sie Monitoring, um Anzeichen von irregulären Aktivitäten sofort zu erkennen.
  3. Identifizieren Sie die User, die Zugriff benötigen – und schließen Sie alle anderen aus. Entfernen Sie die Gefahr, die das Büronetzwerk und andere Server darstellen aus der Gleichung indem Sie das Netzwerk segmentieren und privilegierte Nutzer mit Zugriffsnotwendigkeit auf eigene Netzwerke umziehen. Werksstudenten und Praktikanten benötigen sicherlich keinen Datenbankzugriff auf das Rechnungssystem und das gesamte Büronetzwerk benötigt keinen Zugang zum Lohnabrechnungssystem. Teilen Sie streng und genau, wer welchen Zugriff benötigt!
    Denken Sie über die Einführung eines internen VPNs für die wichtigsten User nach, wenn Ihr Netzwerk eine strikte Segmentierung nicht erlaubt. Wenn der Umzug von Endpunkten nicht möglich ist, denken Sie weiterhin darüber nach, Zugang zu unsicheren Services durch Terminal Service oder Citrix zu limitieren, isoliert von der normalen Büroumgebung. Dort können Sie dann Clientsoftware für Ihre Nutzer zur Verfügung stellen, auch wenn die Software faktisch in einer isolierten Umgebung läuft. Das sorgt ebenfalls dafür, dass Sie keine Probleme mehr mit dem Support von älteren Browserversionen und Plug-Ins haben, die ältere Software vielleicht benötigen könnte. Die überwiegende Mehrheit Ihrer Endpunkt-Infrastruktur bekommt die neuesten Updates ohne sich darum sorgen zu müssen, ob auch alle Programmteile mit den Altsystemen zusammenarbeiten.

Originalfoto von Miguel Virkkunen Carvalho


One thought on “Drei Wege ungepatchte Altsysteme sicherer zu machen


Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s