08C01 Erkennen und Behandeln von Sicherheitslücken – CVE, CVSS, CAPEC, ATT&CK und CWE
|
Das Management der Informationssicherheit lässt sich in zwei Hauptabschnitte unterteilen: Risiken bestimmen und Risiken behandeln. Die zentralen Schritte in der Risikobestimmung sind Identifizierung, Analyse und Bewertung von Bedrohungen der Aktiva (Assets) eines Unternehmens.
Die Common Attack Pattern Enumeration and Classification (CAPEC) und die MITRE ATT&CK Informationssammlung helfen dabei, typische Angreiferperspektiven und Vorgehensweisen zu identifizieren und frühzeitig geeignete Gegenmaßnahmen zu planen. Die Common Vulnerability Enumeration listet bekannte Sicherheitslücken und unterstützt damit das gezielte Aufspüren von existierenden Einfallsmöglichkeiten in die IT-Systeme einer Organisation, die dann gepatcht werden können. Entwickelt ein Unternehmen eigene Software, so erlaubt die Common Weakness Enumeration (CWE), Schwachstellen in den eigenen Implementierungen zu vermeiden oder frühzeitig zu erkennen. Das Common Vulnerability Scoring System (CVSS) erlaubt einesystematische und nachvollziehbare Bewertung von Sicherheitslücken und unterstützt damit die Priorisierung der notwendigen Maßnahmen.
Die einzelnen Verfahren werden ausführlich anhand von Beispielen erläutert, und es wird gezeigt, wie sie im Kontext eines ISMS gezielt eingesetzt werden und sich gegenseitig unterstützen. von: |
1 Einleitung
Die zentrale Aufgabe der Informationssicherheit in Organisationen wie Unternehmen, Behörden und Einrichtungen ist es, die Aktivposten der jeweiligen Organisation zu schützen. Als Aktivposten, Aktiva oder Assets werden alle Objekte bezeichnet, die zum Erreichen der Geschäftsziele benötigt werden [1]. Dies können z. B. Kundendaten, von Organisationen entwickelte Software oder die IT-Infrastruktur der Organisation sein. Der Schutz dieser Assets muss aktiv gewährleistet werden. Das ist die Aufgabe des Informationssicherheitsmanagements (ISM). Zertifizierbare Anforderungen an Systeme zum Management der Informationssicherheit werden in der ISO 27001:2022 [2] formuliert. Diese Anforderungen sinnvoll im Organisationskontext umzusetzen ist Aufgabe der Organisation. Der vorliegende Beitrag soll den dafür bestellten Personenkreis bei dieser Aufgabe unterstützen.
Risikomanagement als Teil eines ISMS
Ein Kernprozess in jedem ISM ist das Risikomanagement, insbesondere in Bezug auf den operativen Betrieb, in dem die physische wie die Cybersicherheit betrachtet wird (vgl. [2], Normkapitel 6 und 8). Die Abbildung 1 gibt einen Überblick über die Einsatzmöglichkeiten der Verfahren in der Risikoermittlung und -behandlung eines Informationssicherheitsmanagements.
Ein Kernprozess in jedem ISM ist das Risikomanagement, insbesondere in Bezug auf den operativen Betrieb, in dem die physische wie die Cybersicherheit betrachtet wird (vgl. [2], Normkapitel 6 und 8). Die Abbildung 1 gibt einen Überblick über die Einsatzmöglichkeiten der Verfahren in der Risikoermittlung und -behandlung eines Informationssicherheitsmanagements.
Die in der ISO/IEC 27001 geforderten Aktivitäten lassen sich in fünf Hauptgruppen aufteilen:
