Im Netzwerk Insider vor 20 Jahren: Eine SNMP-Lücke und die IT-Sicherheit in Unternehmen
02.03.22 / Dr. Markus Ermes
Vor 20 Jahren wurde im Netzwerk Insider eine Sicherheitslücke im Simple Network Management Protocol (SNMP) zum Anlass genommen, um nicht nur die Abhängigkeit von einzelnen Softwareentwicklern, sondern auch die (damals noch) sehr dezentrale IT-Sicherheit in vielen Unternehmen aufzuzeigen.
Die Situation vor 20 Jahren
Vor 20 Jahren wurde eine Schwachstelle in SNMP bekannt, über die mit einem falsch formatierten Paket Systeme zum Absturz gebracht werden konnten, die auf SNMP-Anfragen reagierten. Mit dabei waren damals viele Router, Switches, Firewalls und andere Netzwerkkomponenten. Glücklicherweise war die Lücke relativ schnell behoben und stellte somit nicht lange ein Problem dar. Es zeigte sich jedoch auch ein anderer Aspekt: Seinerzeit war Sicherheit in der IT noch sehr dezentral organisiert. Meistens hat sich jede Abteilung um die Absicherung „ihrer“ Komponenten gekümmert, ohne dass es eine zentrale Stelle gab, die alles koordiniert hat. Dadurch hat man an manchen Stellen zu viel oder zu wenig getan und die Risiken für das Unternehmen als Ganzes dabei nicht richtig abgeschätzt.
Wie sieht es heute mit Sicherheitslücken in zentralen Komponenten und der Sicherheit in Unternehmen aus?
Sicherheitslücken in zentralen Komponenten
Die Situation von damals haben wir vor einigen Wochen in einer sehr ähnlichen Form gesehen. Diesmal war es nicht SNMP, sondern Log4j. Auch hier haben sehr viele Entwickler die Arbeit von anderen übernommen, um schnell eine funktionierende Software zu entwickeln. Zur damaligen Zeit wurde die Software bei einem entsprechenden Entwickler eingekauft, heute wird häufig im Open-Source-Umfeld nach freien Lösungen gesucht. Das Ergebnis ist leider auch nach 20 Jahren immer noch das gleiche: Man ist abhängig davon, dass jemand anderes die Lücken schließt, bevor man seine eigene Software aktualisieren kann. Und für Nutzer einer Software, die in ihren Tiefen eine solche Komponente einsetzt, bleibt nur zu hoffen, dass der Lieferant der Software seine Hausaufgaben macht.
IT-Sicherheit in Unternehmen
Die ehemals angeprangerte, sehr dezentrale Umsetzung von IT-Sicherheit ist heute in vielen Unternehmen weniger verbreitet. Die IT-Sicherheit ist mittlerweile in vielen Unternehmen eine eigene Instanz, die (hoffentlich) in alle wichtigen Entscheidungen bzgl. Netzwerk, Servern, Cloud etc. eingebunden wird. Die Posten des CISOs (Chief Information Security Officer), des ISB (Informationssicherheitsbeauftragter) oder des DSB (Datenschutzbeauftragter) sind bekannt und können intern oder extern besetzt werden. Gerade im Lichte der DSGVO und der immer wieder bekannt werdenden Datenlecks ist eine zentrale Herangehensweise von der heutigen Praxis kaum noch wegzudenken. Hier hat sich einiges zum Besseren gewendet. Doch bei stets zunehmenden Gefahren wie Advanced Persistent Threats, Ransomware und angesichts des Treibens von Gruppen wie Anonymous gibt es auch kaum eine Alternative!
Fazit
Sicherheitslücken in zentralen Abhängigkeiten einer Software kommen immer wieder vor. Das liegt in der Natur der Sache, gerade wenn es einfache und gut funktionierende, frei verfügbare Bibliotheken für bestimmte Funktionalitäten gibt.
Die Planung und Umsetzung der IT-Sicherheit hat sich jedoch maßgeblich verändert. Hier ist mittlerweile ein ganzheitlicher Ansatz eher die Regel und nicht die Ausnahme. In der heutigen Zeit ist dies allerdings auch alternativlos!