NIS2 rückt Patch-Management stärker in den Fokus

Welche Probleme Virtual Patching löst

12.04.2024 von Andreas Fuchs und Martin Mangold
Patch Management gilt als entscheidender Faktor zur Absicherung von IT-Systemen. Aber was, wenn es keine Patches gibt oder sich die Systeme aus Kompatibilitätsgründen nicht patchen lassen? Und wie ist das Thema im Kontext von NIS2 einzuordnen?
Bekannte Sicherheitslücken zu schließen ist eine seit langem immer wieder gegebene Empfehlung. Die NIS2-Direktive der EU erhöht den Druck. Da Patches in der Produktivumgebung aber nicht immer einfach anzuwenden sind, lohnt es sich, über Virtual Patching nachzudenken.
Foto: ValentinT - shutterstock.com

Patch Management gilt unter anderem als eines der essenziellen Elemente, um IT-Systeme vor Cyberangriffen zu schützen und die Systemfunktionalität durchgehend zu gewährleisten. Schwachstellen, Fehlkonfigurationen und anderen Schwächen mit hoher Priorität zu beheben, erfordert oft mehr als nur die Installation von Patches. Deshalb kann es vorkommen, dass es zum Beispiel für Software von Maschinen, die Teil einer umfangreichen IIoT-Struktur sind, keine Paches gibt.

Auch gibt es Systeme, die aus Garantie- oder Supportgründen gar nicht gepatcht werden dürfen, weil die Anwendung eines Patches mehr schaden als nützen kann; oder es bestehen Bedenken hinsichtlich der Empfindlichkeit des Systems. In solchen Fällen hilft es, den Fokus darauf zu lenken, welches Ziel mit dem Patch eines Systems erreicht werden soll.

Welches Ziel mit Patches erreicht werden soll

Gerade im Bereich der Kritischen Infrastrukturen verfolgt die Europäische Union das Ziel, über den KRITIS-Sektor hinaus auch weitere "wesentliche und wichtige Einrichtungen" künftig besser zu schützen und ein EU-weit einheitliches, hohes Niveau an Cybersicherheit zu etablieren. Dies soll eine effektivere Reaktion auf Sicherheitsvorfälle ermöglichen. Durch die Umsetzung der Risikomanagementmaßnahmen sollen Sicherheitsvorfälle vermieden oder zumindest in ihren Auswirkungen minimiert werden.

NIS2 verlangt, dass die Maßnahmen den "Stand der Technik" unter Berücksichtigung einschlägiger europäischer und internationaler Normen einhalten. Aktuell gibt es jedoch keine konkreten Vorgaben zu den erforderlichen Maßnahmen und Umsetzungsanleitungen. In dieser Übergangszeit können sich Unternehmen und Organisationen an anderen bewährten Regelwerken und Standards orientieren, darunter ISO/IEC 27001:2022.

Maßnahmen zum Risikomanagement bei NIS2

Eine Maßnahme als Teil des Risikomanagements laut NIS2 (Artikel 21 Abs. 2) ist "Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen". Diese Maßnahmen sind nicht nur wesentlich für die Risikominderung, sondern auch für die Offenlegung und das Management von Schwachstellen, was eine präventive und erkennende Funktion im Sicherheitskonzept einer Organisation einnimmt.

Die Norm ISO/IEC 27001, ein anerkannter Standard für Informationssicherheitsmanagementsysteme, bietet im Anhang A einen Katalog von Kontrollen, die als technische Leitplanken für Organisationen dienen können:

Wie wir sehen, kann die Umsetzung dieser Maßnahmen komplex sein, doch das frühzeitige Erkennen von Schwachstellen und deren konsequente Behebung sind effektive Methoden, um den Schutz gegen alle Arten von Malware und Exploits zu gewährleisten.

Virtual Patching - Definition

Beim Patchen von Applikationen oder Betriebssystemen sind Fehlerbehebungen oder kleinere Funktionserweiterungen üblicherweise das Ziel. Letztere sind aus Sicht der Security irrelevant. Im ersten Fall bedeuten sie das Schließen einer Sicherheitslücke. Hier setzt auch Virtual Patching an. Eine Sicherheitslücke kann auf zweierlei Arten geschlossen werden:

  1. Beheben der Ursache: Der virtuelle Patch schließt die Sicherheitslücke durch Code-Optimierung, so dass die Vulnerability/Schwachstelle geschlossen wird.

  2. Beheben des Symptoms: Der virtuelle Patch verändert nicht die Applikation bzw. den Code. Vielmehr werden Sicherheitsregeln etabliert, die das Ausnützen der Sicherheitslücke verhindern.

Was virtuelles Patchen bringt

Es gibt eine Reihe von Gründen beziehungsweise Szenarien, in denen sich virtuelles Patching im Vergleich zu "echtem" Patchen anbietet - oder auch die einzige Option darstellt:

So funktioniert Virtual Patching

Beim Patchen geht es in der Regel darum, Sicherheitslücken zu schließen. Das kann zum einen programmatisch erfolgen. Es kann aber auch dadurch erreicht werden, dass das Ausnutzen von Sicherheitslücken gezielt unterbunden wird.

Hierzu gibt es wiederum unterschiedliche Ansätze. Sie alle haben gemein, dass zunächst die Schwachstellen auf den zu sichernden Endgeräten erkannt werden müssen. Um dies zu erreichen, werden sogenannte Vulnerability Scanner eingesetzt, die eine Reihe von Tests durchführen, um die Sicherheitslücken zu erkennen. Diese sind in sogenannten CVEs (Common Vulnerabilities and Exposures) beschrieben. Hier finden sich in der Regel auch Informationen darüber, wie eine Sicherheitslücke zu schließen ist.

Wenn man bedenkt, dass auf typischen IT-Systemen in der Regel nur ein Teil der dort installierten Software/Funktionen genutzt wird, kann im einfachsten Fall durch den Einsatz von sogenannten Applikationskontrollen das Ausführen von betroffenen Applikationen unterbunden werden.

Je nach Intelligenz und Granularität der Applikationskontrolle kann das Beschneiden der Funktionalität auf ein Minimum reduziert werden. So kann zum Beispiel explizit die Verwendung von Subprozessen kontrolliert bzw. die Parametrisierung von Funktionsaufrufen überwacht werden. In der Regel sind Applikationen ja nicht grundsätzlich unsicher, vielmehr ist es häufig eine sehr spezielle Funktionalität oder deren Aufruf bzw. der Zeitpunkt, zu dem diese aufgerufen wird.

Virtuelles oder reguläres Patching?

Der eine oder andere Leser denkt jetzt sicherlich: Wenn virtuelles Patchen so einfach ist, warum betreiben Softwarehersteller und Unternehmen immer noch den Aufwand des "echten" Patchens? Virtual Patching darf nicht darüber hinwegtäuschen, dass die Ursache für eine Sicherheitslücke weiterhin besteht.

Im Medizinbereich wäre das in etwa vergleichbar damit, wenn lediglich die Schmerzen aber nicht deren Ursache therapiert werden. Dennoch sollte Virtual Patching als wichtige Ergänzung in der Sicherheitsstrategie von Unternehmen seinen Platz finden.

Zurück zu NIS2

Auch wenn die NIS2 Richtlinie keine konkreten Checklisten für Sicherheitsmaßnahmen liefert, bieten vorhandene Modelle wie der BSI IT-Grundschutz oder die ISO 27000 Normenreihe Best Practice Vorgaben, die entsprechende Security Controls enthalten, um das aus Schwachstellen resultierende Informationssicherheitsrisiko dauerhaft und nachweislich zu reduzieren.

Mehr zum Thema

Renaissance des Patch-Managements

Was "Stand der Technik" bei Cyber-Security bedeutet