Regelmäßige Vulnerability-Scans sind ein unverzichtbarer Bestandteil der IT-Sicherheit im Unternehmen. Ein Vulnerability-Scan ist eine Erhebung von Schwachstellen der Unternehmens-IT, die je nach Zweck unterschiedlich umfangreich sein und unterschiedlichen Fokus haben kann. In diesem Zusammenhang ist oft auch die Rede von Compliance-Scans. Aber was genau unterscheidet eigentlich Vulnerability-Scans von Compliance-Scans und was bedeutet das für ihre Umsetzung?

Vulnerability-Scan: explorativ oder umfassend

Vulnerability-Scans sind gemeinsam mit der Priorisierung und Behebung von Sicherheitslücken Bestandteil des kontinuierlichen Schwachstellenmanagements / Vulnerability Managements einer Organisation. Ziel eines Vulnerability-Scans ist stets das rechtzeitige Aufspüren bekannter Schwachstellen (zum Beispiel ungepatchter Software-Sicherheitslücken oder Fehlkonfiguration der Infrastruktur), bevor diese von Angreifern ausgenutzt werden können. 

Ein solcher Vulnerability-Scan kann eine Menge Aufwand mit sich bringen: Die einschlägige Datenbank der Common Vulnerabilities and Exposures (CVE) enthält eine sechsstellige Anzahl solcher möglichen Angriffspunkte. Daher werden diese bekannten Schwachstellen der installierten Systeme nicht bei jedem Scan komplett abgeprüft. Je nach genutztem Werkzeug gibt es verschiedene Scan-Typen oder Scan-Profile, die etwa nur aktive Systeme finden (Discovery Scan), die Anfälligkeit gegen Angriffe über das Internet prüfen (externes Scanning) oder gegen Angriffe von innen (internes / authentifiziertes Scanning).  Bei einem Full Scan wird wiederum versucht, tatsächlich alle Schwachstellen aufzudecken, die aus den Datenbanken bekannt und mit den verwendeten Werkzeugen technisch erreichbar sind.

Compliance Scan: Konformität mit Gesetzen und Normen

Ein Compliance-Scan versucht dagegen gezielt solche bekannten Schwachstellen zu finden, die für die IT-Compliance relevant sind – auch etwa im Bereich Datenschutz. Mit der zunehmenden Vernetzung wächst die Bedeutung der IT-Sicherheit, und auch gesetzliche Vorgaben für Informationssicherheit und Datenschutz sind umfassender und strenger geworden. Schließlich hängt häufig nicht nur die Handlungsfähigkeit von Unternehmen oder die Sicherheit sensibler Kundendaten von der IT-Sicherheit ab, sondern auch Gesundheit und Leben von Menschen, etwa die funktionale Sicherheit elektronisch gesteuerter Geräte oder die öffentliche Sicherheit bei kritischen Infrastrukturen. Aus diesem Grund sind auch branchenspezifische Zertifizierungen oft an die Erfüllung strenger Sicherheitsanforderungen gebunden. Dazu müssen Organisationen Sicherheitsprozesse, Standards und Richtlinien festlegen, umsetzen, regelmäßig prüfen und dokumentieren. Gezielte Compliance-Scans (Audits) können dabei helfen. Da je nach Branche und Unternehmensgröße unterschiedliche gesetzliche Regelungen und andere Normen anwendbar sind, kann die Ausgestaltung eines Compliance-Scans sehr variieren. Branchen, für die IT-Compliance-Fragen besonders relevant sind, sind etwa das Gesundheitswesen, Finanzdienstleister, Einzelhandel und E-Commerce und Betreiber kritischer Infrastrukturen. Im Bereich IT-Sicherheit relevante Vorschriften sind beispielsweise die ISO/IEC 27001 u. 27002, die EU-Datenschutz-Grundverordnung (DSGVO) oder branchenspezifisch HIPAA (Gesundheitswesen, USA), PCI DSS (Verarbeitung von Kreditkartenzahlungen, US und weltweit), EU Digital Operational Resilience Act (DORA, Finanz- und Versicherungswesen, EU-weit), BSI Grundschutz auf ISO27001 und viele andere.

Vulnerability-Scan und Compliance-Scan: Wichtige Bestandteile des Risikomanagements

Organisatorisch gesehen fällt der Vulnerability-Scan in vollem Umfang in den Bereich des Vulnerability Managements, während der Compliance-Scan sowohl Teil des Vulnerability Managements als auch des IT-Compliance-Managements ist. Beide gehören letztlich zum Risikomanagement eines Unternehmens. Das lässt sich gut am Beispiel DSGVO verdeutlichen: Während vor ihrem Inkrafttreten das mit Datenschutzverletzungen verbundene Risiko für Unternehmen überschaubar schien und wenig Handlungsbedarf gesehen wurde, haben die angedrohten Millionenstrafen und auch die zunehmende Awareness bei Kunden und Öffentlichkeit die Risikobewertung geändert.

Vulnerability-Scans sollen also das Risiko erfolgreicher Angriffe auf die IT minimieren, Compliance-Scans darüber hinaus rechtliche Risiken senken und auch Zertifizierungen sichern und beschleunigen. Und nicht zuletzt gibt es für zahlreiche Branchen auch Normen und gesetzliche Vorgaben, die ein Schwachstellen-Management mit regelmäßigen Vulnerability-Scans ausdrücklich fordern. Der Nachweis von Cybersecurity-Compliance erfolgt u. a. über Dokumentation von Maßnahmen, Audits sowie Zertifizierungen für branchenspezifische (z. B. PCI, HIPAA) oder übergeordnete Standards (z. B. ISO/IEC 27001 bzw. BSI IT-Grundschutz, CIS Critical Security Controls).

Werkzeuge und Templates

Effiziente Vulnerability- und Compliance-Scans erfordern viel Know-how, um das richtige Werkzeug auszuwählen, Scans zu planen, vor- und nachzubereiten und natürlich die identifizierten Schwachstellen zu priorisieren und zu beheben. Scans müssen nicht nur regelmäßig – also möglichst automatisiert – durchgeführt, sondern auch immer wieder an die aktuelle Situation angepasst werden. Denn sowohl die IT-Landschaft im Unternehmen als auch die reale Bedrohungslage sowie Gesetze und Normen ändern sich kontinuierlich.

Um ein solides Vulnerability- und IT-Compliance Management umzusetzen, sind leistungsfähige Werkzeuge unabdingbar. Es stehen dafür zahlreiche kommerzielle und Open-Source-Schwachstellenscanner zur Verfügung, um den aufwendigen Prozess des Vulnerability Scans zu erleichtern und möglichst weitgehend zu automatisieren. Mit Outsan NX von Outpost24 können Sie genau dies umsetzen. Voreingestellte Templates für den Compliance Scan nach bestimmten Branchen- und Rechtlichen Vorgaben erlauben einen schnellen Setup in Ihre bestehenden Systeme. Unser Risikobasierter Ansatz im Vulnerability Management unterstützt Ihr Team auch dabei die gefundenen Schwachstellen effizient anhand der Bedrohungslage und der Individuellen Gewichtung der einzelnen Assets zu priorisieren. Somit muss sich die IT-Security von Organisationen nicht übermäßig mit der Bewertung der Schwachstellen aufhalten und kann direkt in die Remediation gehen.

Ein Werkzeug für das Vulnerability-Management sollte es erlauben, Scans nicht nur an die eigene IT-Landschaft, sondern auch an den jeweiligen Scan-Zweck anzupassen. Das gilt gerade auch für Compliance-Scans. Denn hierfür ist nicht mehr nur Security-Know-how erforderlich, sondern auch die genaue Kenntnis der einschlägigen gesetzlichen und Unternehmensvorgaben. Damit solche Scans schnell und möglichst auch automatisiert ablaufen können, sind maßgeschneiderte, anpassbare Vorlagen erforderlich, die die Anforderungen konkreter Standards, Normen oder Richtlinien (extern oder intern) auf passende Scan-Konfigurationen bzw. Profile abbilden.

Outpost24 unterstützt bei Schwachstellenmanagement und Compliance

Als Spezialist für die Minimierung von Cybersecurity-Risiken bietet Ihnen Outpost24 erprobte Produkte und umfassende Services für das risikobasierte Vulnerability Management sowie für kontinuierliche Compliance-Prüfungen. Vorkonfigurierte Scan-Profile für Netzwerk (PCI DSS und Wireless, CIS Controls, NESA, HIPAA, DSGBO, TIBER), Anwendungen (u. a. OWASP Top 10, CWE) und Cloud-Security (CIS Benchmarks für AWS, Azure, Google Cloud, Docker und Kubernetes) helfen Ihnen, automatisiert und mit minimalem Overhead die Compliance mit relevanten Vorschriften und eigenen Richtlinien sicherzustellen.