Heartbleed, Freak, Logjam: Was tut der Hoster?
Beinahe monatlich tauchen Sicherheitslücken auf, die Attacken auf Anwendungen ermöglichen. Was kann ein Hoster tun, um seine Kunden bei der Beseitigung solcher Lücken zu unterstützen?
Die Kommunikation
Für Hosting-Anbieter ist die technische Lösung von Sicherheitslücken nur die eine Seite der Medaille. Die andere besteht aus einem schnellen und akkuraten Informationsfluss. Dieser sollte nicht nur aus einer Kurzinfo zur entdeckten Sicherheitslücke bestehen, sondern auch Hilfestellungen und Anleitungen umfassen, wie mit der akuten Gefährdung umzugehen ist. Des Weiteren sollte informiert werden, was im Moment und in Zukunft gegen diese und ähnliche Lücken unternommen wird.
Betroffene Kunden sollten zudem aus dem gleichen Grund zeitnah mit einer Auflistung aller ihrer gefährdeten Dienste informiert werden. Noch einfacher haben es die Kunden, wenn man – nach Rücksprache mit den entsprechenden Entscheidungsträgern – sogleich sicherheitsrelevante Empfehlungen an die Systemverantwortlichen übermitteln kann. Selbstverständlich gehört auch eine zeitnahe Entwarnung für die nicht betroffenen Kunden dazu.
Die Prävention
Um im Notfall auch wirklich schnell und kompetent agieren zu können, ist eine gewisse Vorbereitung hilfreich.
Ein tägliches Scannen der kompletten IT-Umgebung nach offenen Ports sowie verwendeten Protokollen und Diensten erzeugt eine aktuelle Liste von potentiellen Einfallstoren. Ordnet man die dazugehörigen Hosts/IPs noch automatisch den einzelnen Projekten oder Kunden zu, ist man im Bedarfsfall schon gut gerüstet.
Wird nun eine neue Sicherheitslücke bekannt, muss nur noch ein entsprechendes Abfrage-Script aufbereitet und über die schon vollständig präparierte Host-Liste auf die IT-Umgebung losgelassen werden (z.B. mit Nmap). Innert kürzester Zeit liegt danach schon das Resultat mit allen betroffenen Systemen und den zu informierenden Kunden automatisch aufbereitet vor.
Die Umsetzung
Taucht nun eine Lücke auf, können anhand der Scanresultate in den einzelnen Projekten Tickets eröffnet und damit die entsprechenden Schritte eingeleitet werden. Natürlich ist es mit der Delegation an die Projektverantwortlichen noch nicht getan. Die Scans müssen auch im Nachhinein weiter gefahren werden um den Fortschritt der Massnahmen zu dokumentieren. Dies wiederum bedingt, dass die präventiven Scans chronologisch und in geeigneten Tools gespeichert werden, damit auch später Vergleiche von einzelnen Scans gemacht werden können. Idealerweise stellt man solche Scans auch seinen Kunden zur Verfügung.