Warum ist eine Assetverwaltung wichtig? Warum ist sie in der Praxis oft unzureichend vorhanden? Dazu wollen wir Einblicke in unsere Erfahrungen geben.
Wir finden in Pentests immer wieder Systeme, die in Vergessenheit geraten sind. Diese sind fast immer durch veraltete Software angreifbar.
Doch wie kommt es dazu?
In den folgenden Punkten zeigen wir die häufigsten Probleme, die wir bei unseren Kunden beobachten.
Eines der größten Probleme ist eine fehlende Assetverwaltung. Dadurch, dass nirgends dokumentiert wird, wenn neue Systeme eingeführt werden, kann der Gesamtüberblick nicht dauerhaft erhalten bleiben.
Selbst wenn es eine Assetverwaltung gibt, so kann es sein, dass sie nicht vollständig gewartet und gepflegt wird. Beispielsweise ist die Assetverwaltung wenige Jahre alt und es wurden lediglich neue Systeme hinzugefügt. Eine vollständige Bestandsaufnahme wurde nicht bei der Einführung durchgeführt.
Wir kennen Fälle, bei denen es eine rein organisatorische Vorgabe war, alle Systeme einzupflegen. Mit steigender Anzahl an Mitarbeitenden steigt die Chance, dass es vergessen wird. Demnach sind fehlende technische Lösungen auch ein Problem.
Hinzu kommen Systeme, die ohne Zustimmung aufgesetzt wurden. Das sehen wir häufiger bei Unternehmen, die zu viel regulatorische Hürden für Testsysteme haben. Eine Möglichkeit für einen virtuellen Server, der einen Monat lang verwendbar ist und dann automatisch gelöscht wird, kann schon einige Probleme lösen.
Bevor die Assets verwaltet werden können, müssen sie alle einmal aufgelistet werden. Dazu gibt es mehrere Möglichkeiten, von selbst geschriebenen Scripten bis hin zu teuer eingekaufter Software. Am Ende zählt nur eines: dass etwas getan wurde.
Die wichtigsten Anlaufpunkte sind Einträge der DNS-Zone der eigenen Domain und Reverse IP Lookup der eigenen IP-Adressen.
Meist ist das Auffinden in internen Netzwerken einfacher und kann selbst erledigt werden. Systeme, die aus dem Internet erreichbar sind oder bei fremden Hostern bzw. sich bei einem Cloud-Anbieter befinden, ist das Auffinden deutlich schwieriger. Dafür gibt es ein eigenes Handwerk, das OSINT.
OSINT steht für Open Source Intelligence. Damit ist die Informationsbeschaffung durch öffentlich verfügbare Daten über ein Unternehmen gemeint.
Dieses Handwerk beherrschen die meisten Pentester, da auf diese Weise die alten und vergessenen Systeme als Einstiegspunkt gefunden werden können.
Wir empfehlen bei einem ersten externen Penetrationstest OSINT als Bestandteil einzuplanen, sodass ein vollständiger Überblick über die Systeme im Internet gegeben ist.
Sobald alle Assets eingepflegt sind, ist es wichtig, dass neue Systeme nur dann voll funktionstüchtig sind, wenn sie in der Assetverwaltung eingetragen sind. Genauso sollten bei Änderungen, wie ein Wechsel der Verantwortung eines Assets, die Informationen automatisch aktualisiert werden.
Großkonzerne haben hier oft das Problem mit der gewaltigen Datenmenge nicht hinterherzukommen. Das ist ein Vorteil für KMUs. Sie können noch einen Neustart bei diesem Thema wagen und alles eintragen.
Cybersecurity ist nicht der einzige Vorteil, den eine gute Assetverwaltung mit sich bringt. Wir bekommen häufiger mit, wie für alte Subscriptions von Servern oder Domains noch gezahlt werden, obwohl sie nicht mehr benötigt werden. Manchmal sind sogar noch komplette Dienstleistungen für die Administration enthalten, was hohe Kosten verursacht.
Generell sollte jedes Unternehmen genau wissen, welche Systeme und Ressourcen sich im Besitz befinden. Genau das ist mit einer gepflegten Assetverwaltung möglich. Es verschafft einen besseren Überblick und erhöht die Cybersecurity. Doppelter Gewinn!
Unabhängig vom verwendeten Tool sollte eine Assetverwaltung immer mit einer simplen Liste beginnen. In diese kann alles aufgenommen werden, was Ihnen und Ihren Mitarbeitenden einfällt. Das liefert eine Basis, auf der weiter aufgebaut werden kann.
Dabei kristallisiert sich meist schon heraus, ob die Datenmenge zu groß und unübersichtlich wird. Manchmal reicht als Assetverwaltung eine Excel-Tabelle, häufig wird eine eigene Software benötigt. Das ist der zweite Schritt: die Etablierung eines Prozesses und gegebenenfalls die Einführung geeigneter Software.
Danach sollten Online-Tools wie dnsdumpster.com verwendet werden, um sich selbst auf Informationslücken zu prüfen. Erst wenn das getan ist, kann ein externer Berater nützlich sein. Sollten Sie dabei Unterstützung benötigen oder Ihre Systeme mittels OSINT identifizieren lassen wollen, kontaktieren Sie uns gerne.