IT-Sicherheit: Mit Blick fürs Ganze gegen Schwachstellen

Schwierige Aufgabendefinition

An den Aufgaben scheiden sich allerdings die Geister: Während die einen etwa die Inventarisierung der IT-Systeme dem Thema Asset-Management zuordnen, ist dies für andere Bestandteil des Verwundbarkeits-Managements. Für die begriffliche Unschärfe sorgen nicht zuletzt die Hersteller. "Gerade die Anbieter von Tools zur Erfassung von Schwachstellen wie Symantec, McAfee, ISS, Qualys oder Cisco definieren VM so, dass ihre Produkte genau dazu passen", kommentiert Berater Strobel.

Zumindest die Beraterzunft ist sich über die einzelnen Phasen, die es im Rahmen des Verwundbarkeits-Managements zu durchlaufen gilt, weitgehend einig:

• Asset-Inventarisierung: Unternehmen müssen zunächst sämtliche IT-Ressourcen erfassen und die Komponenten anschließend nach ihrer Bedeutung für das Business klassifizieren.

• Schwachstellenerfassung: Dann gilt es zu ermitteln, wo die IT verwundbar ist.

• Priorisierung: Im nächsten Schritt ist den einzelnen Sicherheitslücken nach ihrer geschäftlichen Bedeutung eine Dringlichkeitsstufe zuzuweisen.

• Schwachstellenbeseitigung: Die identifizierten Schwachstellen müssen behoben werden.

• Verifizierung: Schließlich gilt es, Patches und Workarounds zu überprüfen, um sicherzustellen, dass die Lücken auch ordnungsgemäß geschlossen wurden.

Auch Verwundbarkeiten auf Prozessebene müssen ermittelt, bewertet und korrigiert werden. Daher fällt für Berater Strobel das Thema Security-Audits ebenfalls in den Bereich des Schwachstellen-Managements. "Konsequenterweise müsste sich ein Unternehmen alle zwei bis drei Monate überprüfen lassen, was natürlich wenig praktikabel ist", so der Consultant.