Bei einem Exploit handelt es sich um ein Computerprogramm, das Sicherheitslücken von Software-Produkten aufzeigt und deren Ausnutzung ermöglicht. Sie stellen potente Werkzeuge für Hacker und Cyberkriminelle dar, um in geschützte Computersysteme einzudringen, um Datendiebstahl und ähnliche illegale Aktivitäten zu begehen. Exploits können jedoch auch bei der Beseitigung von Schwachstellen genutzt werden.

Allgemeine Informationen

Exploits stellen systematische Wege dar, um aufgrund von Schwachstellen in Form von Programmierfehlern der Software in Computersysteme und Netzwerke einzudringen. Dabei kann es sich sowohl um rein theoretische Beschreibungen der Sicherheitslücke (Proof of Concept), als auch um ausführbare Programme zur direkten Ausnutzung der jeweiligen Sicherheitslücke handeln. Für Hacker und andere Cyberkriminelle sind sie wichtige Tools, um unbefugten Zugriff auf ein Computersystem zu erlangen und dieses nach persönlichen Wünschen zu manipulieren. Darüber hinaus werden Exploits eingesetzt, um Sicherheitsschwachstellen genau zu dokumentieren und für deren Beseitigung mittels Software-Updates und -Patches zu sorgen. In vielen Fällen machen sich Exploits sogenannte „Pufferüberläufe“ (Buffer Overflow) zunutze. Dabei handelt es sich um Programmierfehler, die es ermöglichen, Programmcode in einem nicht dafür vorgesehenen Bereich des Arbeitsspeichers auszuführen, um beispielsweise Adminrechte oder Zugriff auf geschützte Dateien und Ordner zu erhalten. Viele nutzen zudem schlecht programmierte Schnittstellen aus, mit denen eigene Codefragmente zur Ausführung gebracht werden können.

Bedeutung für Netzwerk- und Systemsicherheit

Durch den Einsatz gängiger Exploits können Computersysteme und Netzwerke auf Schwachstellen geprüft werden. Falls bereits Patches und Updates für bekannte Sicherheitslücken installiert sind, kann mit den entsprechenden Exploits die Wirksamkeit dieser Updates verifiziert werden. Neben einzelnen gibt es auch sogenannte „Exploit-Pakete“, die eine Vielzahl unterschiedlicher Schwachstellen in einem einzelnen Programm sammeln. Ein System lässt sich auf diese Weise auf eine Großzahl verschiedener Lücken prüfen. Für den Cyberkriminellen erhöht sich jedoch durch den Einsatz solcher Pakete die Wahrscheinlichkeit, dass er in ein System eindringt und dieses manipuliert.

Einteilung von Exploits nach Angriffsart und zeitlichen Aspekten

Abhängig von der eingesetzten Angriffsart und den zeitlichen Aspekten lassen sich Exploits in folgende Kategorien einteilen.

Remote-Exploits sind in erster Linie darauf ausgelegt, Schwachstellen in Netzwerksoftware auszunutzen. Sie basieren auf dem Einsatz manipulierter Datenpakete. Ein lokaler Exploit hingegen wird direkt auf dem Computersystem des Opfers ausgeführt. Eine auf den ersten Blick harmlos wirkende Datei kann beispielsweise mit einem bösartigen Codefragment versehen sein, der beim Ausführen der Datei eine Schwachstelle des Systems ausnutzt. Bei Denial-of-Service-Exploits (DoS-Exploits) wird kein eigener Programmcode auf den angegriffenen Computersystemen ausgeführt, sondern ein solcher Exploit verursacht eine Überlastung der Anwendung. Webanwendungen, die SQL-Datenbanken als Datastore verwenden, sind unter Umständen für Injection-Exploits anfällig. Ein Zero-Day-Exploit ist eine Sicherheitslücke, die erst kürzlich entdeckt wurde und die dem Hersteller des Computersystems noch nicht bekannt ist. Diese Art  ist besonders tückisch. Da sie frühestens beim ersten Angriff auf ein System entdeckt werden kann und für die kein entsprechendes Sicherheitsupdate existiert. Da die Hersteller erst einen Patch für den Exploit entwickeln müssen, erhalten die Angreifer mehr Zeit, um eine größere Zahl von Systemen zu infiltrieren und großen Schaden anzurichten.

Exploits als Hacker Tools

Exploits werden in vielen Fällen zusammengepackt, sodass der Hacker ein System auf eine große Zahl von Sicherheitslücken prüfen kann. Sollten eine oder mehrere Sicherheitslücken entdeckt werden, kommen die entsprechenden Exploits zum Einsatz. Solche Pakete verwenden zudem clevere Verschlüsselungsverfahren wie die sogenannte „Code-Obfuskation“, um es Sicherheitsforschern zu erschweren, ihre Funktionsweise nachzuvollziehen. Zu den bekanntesten und meistgenutzten Paketen gehören:

–     Neutrino: Hierbei handelt es sich um ein russisches Kit, das einige für die Java-Plattform enthält.

–     Nuclear Pack: Dieser  befällt seine Opfer mit PDF– und Java-Exploits und infiziert befallene Computer auch mit dem tückischen Bank-Trojaner „Caphaw“.

–     Blackhole Kit: Hierbei handelt es sich um eine der größten Gefahren des Jahres 2012, die ältere Browser-Versionen von Chrome, Firefox, Safari und Internet Explorer  Millionen von Rechnern infiziert hat.

–     Angler: Bei diesem handelt es sich um eines der hoch entwickelsten Kits, die auf dem Underground-Markt erhältlich sind.

Schutzmaßnahmen

Um sich  zu schützen, sollten regelmäßig veröffentlichte Patches und Updates auf das Computersystem installiert werden. So können Sie sicherstellen, dass der Rechner vor bereits bekannten Exploits geschützt ist und dass Sicherheitslücken geschlossen sind. Es können Firewalls, leistungsstarke Virenscanner, oder Intrusion Detection und Intrusion Prevention Systeme eingesetzt werden, die Hacker-Angriffe rechtzeitig erkennen und ungewollten Datenverkehr aus dem Internet automatisch unterbinden. Das Ausnutzen bisher unbekannter Sicherheitsprobleme durch Zero-Day-Exploits lässt sich jedoch kaum verhindern. Diese Hacker-Angriffe lassen sich nur dann abwehren, wenn bei der Programmierung der Anwendungen hohe Qualitätskriterien beachtet wurden. Durch durchdachte Testverfahren und ein hohes Maß an Sorgfalt können Design- und Programmierfehler bereits während der Entwicklungsphase entdeckt und behoben werden.

Unter Vulnerability versteht man in der Informationstechnik eine Verwundbarkeit der Hard- oder Software. Immer wieder tauchen Meldungen über neue Vulnerabilitäten auf. Sogar in als unverwundbar geltenden Architekturen, wie der des iPhone von Apple, hat ein Hacker mit dem Checkm8-Exploit kürzlich eine mächtige Sicherheitslücke aufgetan. Kann man also davon ausgehen, dass in jedem Programm und in jeder Hardware-Architektur unbekannte Fehler schlummern?

Der Exploit, des Hackers Werkzeug

Eine Vulnerability wird dadurch gefährlich, dass jemand herausfindet, wie er sie ausnutzen kann. Das Programm, mit dem die Sicherheitslücke für einen bestimmten Zweck „ausgebeutet“ werden kann, ist der . Im günstigsten Fall ist der Hacker ein Sicherheitsforscher, der mit einem Proof-of-concept (PoC) nur den Beweis der Verwundbarkeit antreten will. Dann wird er vor der Veröffentlichung das betroffene Unternehmen in Kenntnis setzen. Kriminelle Hacker hingegen, nutzen die Vulnerability aus, um größtmöglichen Profit zu erzielen oder hohen Schaden anzurichten.

Bekannte Hardware-Sicherheitslücken

Rowhammer (2015): Verwendet eine Vulnerability in der Architektur von Arbeitsspeicher. Hier wird ausgenutzt, dass der Speicher mittels elektrischer Spannung beschrieben wird. Werden viele Schreib- und Leseoperationen in einem Bereich ausgeführt, kann das auch nicht betroffene Bits verändern. Eine Cache-Funktion, die genau diesen Umstand verhindern soll, kann vom Angreifer gezielt ausgehebelt werden.

Meltdown/Spectre (2017): Sind Exploits, die Schwachstellen in Prozessoren der drei großen Anbieter Intel, AMD und ARM ausnutzen. Sie erlauben Zugriffe auf privilegierte Speicherbereiche. In einem Szenario greifen dafür vorgesehene Sicherheitsmechanismen nicht schnell genug, da aus Performance-Gründen unkontrolliert Befehle vorab in internen Registern ausgeführt werden dürfen.

Bekannte Software-Vulnerabilitäten

Heartbleed (2014): Nutzt die Schwäche in einer älteren Version von SSL aus. In dieser kontrolliert SSL das Bestehen der Verbindung regelmäßig durch das Senden von Kontrollbits. Dieselbe Menge wird als Bestätigung zurückgesandt. Jedoch ist es möglich, die vorgesehene Größe zu überschreiten. Die zurückgesandten Bits werden dann mit zufällig im Speicher befindlichen Inhalten aufgefüllt. Dies können auch sensible Daten sein.

-KRACK (2016): Benennt einen Angriff auf die bis dahin als sicher geltende WPA2-Verschlüsselung in WLANs. Bei diesem werden im Authentifizierungsprozess (Handshake) übersandte Pakete abgefangen und Wiederholungen der Versendungen erzwungen. Ein zum Schutz vorgesehener, temporärer Zufallswert (Nonce) wird angreifbar, da er dadurch erneut verwendet wird.

DirtyCow (2016): Benutzt eine Vulnerability, die den Linux-Kernel betrifft. Daher sind auch Android-Geräte betroffen. Namensgebend ist die Ursache, der sogenannte Copy-on-write-Mechanismus. Durch geschickte Mehrfachöffnung einer virtuellen Datei in parallelen Threads, gelingt es dem Exploit, sich nicht vorgesehene Rechte zu verschaffen.

-BlueBorne (2017): Basiert auf einer Vulnerability bei der Implementierung von Bluetooth in nahezu allen Betriebssystemen. Der Angreifer muss sich im Funkbereich der aktivierten Schnittstelle befinden. Dann kann er sich als Man-in-the-Middle betätigen und den Netzwerkverkehr mitlesen. Unter Linux ist es ihm möglich, Schadcode mit den Rechten des Bluetooth-Prozesses auszuführen.

Der Zero-Day-Exploit und CVE

Verwendet der Hacker einen Exploit, bevor er dem betroffenen Entwickler mitgeteilt wurde, spricht man von einem Zero-Day-Exploit. Teilweise wird dieser über einen längeren Zeitraum genutzt, bevor der Hersteller davon erfährt.

Das Gegenstück dazu sind die Common Vulnerabilities and Exposures (CVE). Hierbei handelt es sich um eine Sammlung veröffentlichter Sicherheitslücken. Den Entwicklern wird vor der Bekanntgabe Zeit zur Beseitigung des Fehlers gegeben. Die Veröffentlichung erfolgt, damit Forscher und Hersteller sich damit beschäftigten können. Die CVE erhalten eindeutige Nummern, die es Herstellern von Schutzsoftware ermöglichen, die Vulnerability konkret zu benennen.

Warum gibt es so viele Vulnerabilitäten?

Es gilt auch hier die Weisheit: Wo Menschen arbeiten, werden Fehler gemacht. Allerdings sind Betriebssysteme und viele Programme heutzutage derart komplex, dass Fehler niemals völlig ausgeschlossen werden können. Zudem steht es nicht immer in der Macht eines Entwicklers, derartige Probleme zu vermeiden. Vielmehr muss er sich oftmals auf Module anderer Anbieter verlassen. So wird TLS/SSL in Mailprogrammen und auch im HTTPS-Protokoll genutzt. In vielen Betriebssystemen ist es als Bibliothek fest implementiert. Daher sind durch eine Vulnerability in SSL, die durch den Heartbleed-Exploit ausgenutzt wurde, eine derart hohe Anzahl an Endgeräten und Software-Produkten betroffen. Bei der KRACK-Attacke wiederum wurde ein Hinweis im WPA2-Standard in einem unter Linux und Android gebräuchlichen Treiber fehlerhaft implementiert, so dass nach Durchführung des Angriffs der verwendete Schlüssel nur noch aus Nullen bestand.

Schutz und Gegenmaßnahmen

Um sich vor Vulnerabilitäten zu schützen, sollten Sie als Anwender oder Verantwortlicher auf mehrere Maßnahmen setzen.

Viele Exploits werden von Virenscannern erkannt. Voraussetzung sind tagesaktuelle Signaturen und leistungsfähige Schutzsoftware. Eine Firewall kann verhindern, dass Daten zugänglich werden oder abfließen.

Essentiell sind Sicherheitsupdates für Hard- und Software. Für den Großteil der aufgeführten Exploits haben die Hersteller Sicherheitsupdates veröffentlicht.

Nicht zu vergessen bleibt eine vernünftige Backup-Strategie, da Exploits auch Daten korrumpieren können. Schließlich sollten Sie als Verantwortlicher die aktuelle Bedrohungslage im Auge behalten. Dies können Sie anhand öffentlich zugänglicher CVE-Datenbanken. Im Zweifel macht es möglicherweise Sinn, auf bestimmte Hard- oder Software zu verzichten, bis die Vulnerability geschlossen ist.

Die Begriffe „IT-Sicherheit“ sowie „Informationssicherheit“ werden oftmals fälschlicherweise als Synonyme in unserem täglichen Sprachgebrauch verwendet. Schlimmer noch: Die Wahrscheinlichkeit ist groß, dass sich in einem Unternehmen falsch Begriffe etablieren und daraus ein ausgewachsenes Verständnisproblem entsteht. Eine klare Abgrenzung von IT-Sicherheit und Informationssicherheit ist daher zwingend notwendig und von international geltenden Standards auch genau so gewollt.

Die Informationssicherheit

Der Begriff Informationssicherheit ist unter Experten wohl die Bezeichnung, welcher an Bedeutung zukommt. Die Bezeichnung orientiert sich sowohl am IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie der internationale Sicherheitsstandard ISO 27001/27002. Im Vordergrund steht der Schutz von Daten und Informationen in analoger sowie digitaler Form, welche einen Bezug zu personenbezogenen Daten haben. Die IT-Sicherheit wird hierbei letztendlich als ein wichtiger Bestandteil der Informationssicherheit angesehen.

Die wichtigsten IT-Sicherheitsbegriffe

Grundsätzlich besteht die Informationssicherheit unter anderem aus den Schutzwerten der „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“, um Informationen ein angemessenes Schutzniveau zukommen zu lassen. Im Rahmen einer so genannten (Erweiterten) Bestandsanalyse/Schutzbedarfsanalyse, welche fester Bestandteil des BSI-Grundschutzkataloges sowie der ISO 27001 ist, werden alle IT-Systeme (Räume, Server, Anwendungen, Netzwerkkomponenten, etc.) erfasst und auf die erwähnten Schutzwerte hin in Kombination mit der Bedeutung für das Unternehmen bewertet. Darauf basierend gewinnen sowohl die Geschäftsleitung sowie alle jeweils betroffenen Abteilungen einen sehr genauen Überblick über die vorherrschende Unternehmensstruktur. Darüber hinaus sollte die hier erfassten Daten unbedingt für ein das anschließende Risikomanagement zur Verfügung stehen, um Informationen vor potentiell möglichen Gefahren einer „Akzeptanz“, „Minderung“, oder „Vermeidung“ unterordnen zu können.

 

Grundsätzlich lässt sich also festhalten, dass die Informationssicherheit nicht nur IT-Komponenten, sondern auch technische sowie nicht-technische System in ihrer Grundidee berücksichtigt. Das oberste Ziel ist hierbei in einer so genannten Sicherheitsleitlinie festzuhalten, welche den Schutz vor Gefahren und Bedrohungen sowie wirtschaftlichen Schäden beinhaltet.

Die IT-Sicherheit in Unternehmen

Auch wenn die IT-Sicherheit lediglich einen Teil der Informationssicherheit darstellt, ist sie nicht weniger wichtig und vielmehr als ein notwendiger Baustein für den optimalen Schutz vor Gefahren und Bedrohungen (personenbezogener) Daten und Informationen. IT-Sicherheit beschränkt sich ausschließlich auf elektronisch gespeicherte Informationen sowie IT-Systeme. Oft sind IT-Abteilungen der Auffassung, dass die IT-Sicherheit ausnahmslos dem Schutz des technischen Verarbeitungsvorgangs von Informationen dient. Fakt ist jedoch, dass bei der IT-Sicherheit eine möglichst fehlerfreie und zuverlässige Funktion aller zum Einsatz kommenden IT-Systeme im Mittelpunkt steht.

Unter Berücksichtigung der oben erwähnten Schutzwerte „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ beinhaltet die IT-Sicherheit alle hierfür notwendigen Planungen, Maßnahmen sowie Kontrollmechanismen, welche letztendlich dem Schutz der IT-Infrastruktur dienen. Alle IT-Komponenten unterliegen im Idealfall dem Business-Continuity-Management, welches seinerseits die Aufrechterhaltung des Geschäftsbetriebs zum Ziel hat.

IT-Sicherheit in der Praxis

Im Gegensatz zur Datensicherheit oder Informationssicherheit orientiert sich die IT-Sicherheit nicht nur am Schutz personenbezogener Daten. Vielmehr steht bei der IT-Sicherheit alle Informationen im Fokus, die einem bestimmten Schutzbedürfnis aus der Bestandsanalyse/Schutzbedarfsanalyse unterliegen.

Sicherheit für die internen Systeme

In der Praxis berücksichtigt die IT-Sicherheit in der Regel Desktop-PCs, Tablet und Smartphones sowie Notebooks, welche Mitarbeiter eines Unternehmens zur Erfüllung ihrer Aufgaben erhalten. Zusammengefasst handelt es sich hierbei um Endpoint Security. Im Bereich der Betriebssystemsicherheit sowie Applikationssicherheit spielen, wie die Bezeichnung bereits vermuten lässt, alle auf den Endgeräten installierten Betriebssystem sowie Anwendungen eine wichtige Rolle.

Aufgrund der zunehmenden Komplexität von IT-Systemen gilt es heutzutage als obligatorisch, dass Endgeräte sowie Anwendung weit über das Unternehmensnetzwerk hinaus über das Internet kommunizieren. Dieser Umstand ist ebenfalls ein wichtiger Faktor im Rahmen der IT-Sicherheit, welcher in all seinen Facetten von den Verantwortlichen sowie der Geschäftsleitung in gemeinsamer Abstimmung beleuchtet werden muss.

Red Hat, innovative Open-Source-Lösungen, kurz vorgestellt

Wer sich über ein geeignetes Server-Betriebssystem oder über Cloud-Anwendungen Gedanken macht, stößt über kurz oder lang auf Red Hat. Was ist Red Hat und wofür steht der rote Hut als Markenzeichen?

Der Begriff Red Hat kennzeichnet sowohl das amerikanische Software-Unternehmen als auch die gleichnamigen Linux-Distributionen. Der rote Hut symbolisiert das Engagement von Red Hat als Agent im Einsatz für Open Source in der digitalen Welt.

Die Geschichte der Entwicklung von Red Hat

Das weltweit agierende Unternehmen Red Hat wurde im Jahr 1993 gegründet und hat seinen Hauptsitz im nordamerikanischen Raleigh, North Carolina.

Das Unternehmen hat sich mit seinen Produkten dem Dienst an der Entwicklung von Open Source verschrieben. Anders als häufig gemeint, bedeutet Open Source dabei nicht immer kostenlos, sondern quelloffen, d. h. der Quellcode der Software ist für jedermann einsehbar.
Die ursprünglich kostenfreie Distrubution Red Hat Linux (RHL) wurde bereits 1994 vorgestellt und zählt damit zu den ältesten Linux-Distributionen.

2003 wurde die freie, nicht kommerzielle Distribution von Red Hat eingestellt und wird seitdem als eigenes Projekt von der Fedora Community fortgeführt. Das Unternehmen Red Hat konzentriert sich nun auf kommerzielle Open-Source-Lösungen für den Unternehmensbereich, u. a. mit dem Projekt Red Hat Enterprise Linux (RHEL).

RHEL gilt unter den Linux-Distributionen im unternehmsbezogenen Anwendungsbereich als Markt- und Innovationsführer. Sie wird seit vielen Jahren durch eine Vielzahl unabhängiger Software-Hersteller im Unternehmensbereich unterstützt u. a. von SAP und Oracle. RHEL zeichnet sich durch lange und stabile Laufzeitzyklen von rund 10 Jahren pro Version aus und gewährleistet damit unternehmerische Planungssicherheit.

Unter Berücksichtigung der Quelloffenheit des Systems hat das Unternehmen Red Hat zur Betreuung seiner Firmenkunden ein besonderes Lizenzsystem eingeführt. Die Nutzung von RHEL wird mit dem Abschluss verschiedener kostenpflichtige Supportverträge (Subskriptionsmodell) verknüpft.

Seit Ende 2018 gehört das Unternehmen Red Hat zum IBM-Konzern. Mit rund 30 Milliarden Euro gehört dies zu den größten Übernahmen in der Unternehmensgeschichte von IBM.

Red Hat heute

Das Geschäftsfeld von Red Hat konzentriert sich beim IBM-Konzern heute auf zunehmend auf Unternehmensanwendungen im Cloud Computing, hier vor allem im Feld der Hybrid-Cloud-Lösungen.

Unternehmen jeder Branche und Größe wenden sich zunehmend Cloud-Anwendungen zu. Sie benötigen vor allem flexible, hybride Lösungen und Multi-Cloud-Services. Ziel ist es, die eigenen Server mit unterschiedlichsten Cloud-Plattformen sowie Cloud-Services zu verbinden und diese gemeinsam zu nutzen. Open-Source stellt aufgrund der Quelloffenheit oftmals eine sinnvollere Atlernative dar, als proprietäre, d. h. geschlossene Cloud-Lösungen.

Daher ist es auch erklärtes Ziel von IBM, die Unabhängigkeit von Red Hat im Bereich Open-Source zu wahren und fortzuführen. Nicht ohne Grund zählt Red Hat seit Jahren als zu den Innovationführern und Vordenkern im Bereich der Open-Source-Anwendungen.

Das Unternehmen Red Hat bietet im IBM-Konzern ein umfangreiches Produktportfolio an, darunter Lösungen für Hybrid-Cloud-Infrastrukturen und Middleware. Agile Integration sowie cloudnative Anwendungsentwicklung kommen hinzu, ebenso wie Services zum Management und zur Automatisierung. Auch die Entwicklung von Container-Technologien und das Kubernetes-Projektes werden von Red Hat beim Cloud Computing unterstützt.

Red Hat bietet Unternehmen jeder Größe Technologien, die diese im Zeitalter der digitalen Transformation sowie Vernetzung zukunftsfähig machen und ihnen die notwendige Anpassungsfähigkeit ermöglichen.

Für kleinere Unternehmen: CentOS

RHEL ist als kostenpflichtiges Linux-Betriebssystem eher im Hochpreissegment angesiedelt und wird von Red Hat nur in Verbindung mit den zugehörigen Supportverträgen geliefert. Daher kommt es in der Regel auf den Servern großer Unternehmen zum Einsatz.

Kleinere und mittelständische Unternehmen (KMU) haben die Möglichkeit, auf CentOS als Alternative auszuweichen. Das sog. Community Enterprise Operating System gehört zu neben Debian und Ubuntu mittlerweile zu den erfolgreichsten Linux-Distributionen. CentOS legt bei der Entwicklung Wert darauf, möglichst langfristig einsetzbar und stabil zu sein. Dies wiederum führt dazu, dass es häufig auf Servern zur Anwendung kommt.

Engagierte Entwickler

CentOS basiert als Gemeinschaftprojekt freiwilliger Softwareentwickler auf der Red Hat Enterprise Linux-Distribution (RHEL). Möglich ist dies dadurch, dass Red Hat die Quellpakete von RHEL als Open Source im Internet zur Verfügung stellt. Damit konnten engagierte Entwickler im Projekt CentOS eine mit RHEL-kompatible eigene Linux-Distribution schaffen. Aktuell unterstützt Red Hat das Projekt CentOS Stream, ein sog. Rolling Release. CentOS bietet damit eine Beta-Version kommender Versionen von RHEL an.

Die Binärkompatibilität bringt es mit sich, dass Unternehmen die Vorteile von RHEL nebst zugehöriger freier Software nutzen können, ohne sich an entsprechende Supportverträge binden zu müssen. Eine kurze zeitliche Verzögerung, die die um meist zwei bis drei Monate gegenüber RHEL nachgelagerte Entwicklung der jeweils neuesten Version von CentOS mit sich bringt, fällt demgegenüber nicht sehr ins Gewicht.

Digitale Transformation – die richtigen Entscheidungen treffen

Professionelle Systemhäuser unterstützen Sie mit Erfahrung und Sachverstand bei der richtigen Entscheidung für die IT-Landschaft Ihres Unternehmens. Welche IT-Lösungen Sie am Ende für Ihr Unternehmen auch bevorzugen, ob ausschließlich eigene Server, Hybrid- und /oder Multi-Cloud-Modelle: Ziehen Sie frühzeitig qualifizierte IT-Fachleute für Ihr Unternehmen hinzu. So gelingt es Ihnen, den digitalen Wandel zu meistern und Ihr Unternehmen erfolgreich in die Zukunft digitaler Transformation zu führen.

Das Open Vulnerability Assessment System (OpenVAS) ist ein Framework zum Aufspüren von Schwachstellen in Netzwerken. Es gilt als Standardwerkzeug von Penetration Testern. Gleichermaßen nutzen es auch Administratoren zur Überwachung von Netzwerken. Die Software wird kostenfrei unter der GPL-Lizenz angeboten. Sie ist unter Linux und FreeBSD lauffähig. Der Quellcode kann über die Entwicklerplattform GitHub bezogen werden.

Herkunft und Entwicklung von OpenVAS

OpenVAS hat seinen Ursprung im Schwachstellenscanner Nessus. Als dieser im Jahr 2005 nur noch kommerziell vermarktet wurde, bildete sich das OpenVAS-Projekt auf Basis der letzten freien Version von Nessus. Entwickler ist seitdem die Osnabrücker Firma Greenbone. Neben der Entwicklung von OpenVAS, bietet Greenbone mit der Software vorkonfigurierte Server an. Das gesamte Framework wurde 2017 in Greenbone Vulnerability Management (GVM) umbenannt. Seit 2019 ist OpenVAS nur noch die Bezeichnung für den eigentlichen Schwachstellen-Scanner.

Funktionsweise von OpenVAS

OpenVAS läuft in mehreren Server-Diensten auf dem ausführenden Rechner. Daher ist es möglich, das Framework auf einem leistungsfähigen Server arbeiten zu lassen und die Bedienung von einem anderen Rechner im Netz vorzunehmen. Die Software greift auf eine umfangreiche Datenbank zu, in der Merkmale und Schwachstellen von Betriebssystemen sowie Softwareprodukten hinterlegt sind. Diese werden als Feeds bezeichnet. Den größten Anteil machen die Network Vulnerability Tests (NVT) aus. Dies sind vorkonfigurierte Scans, von denen über 50.000 zugreifbar sind. Die Feeds können abonniert werden und der Bestand wird regelmäßig erneuert. Der Schwachstellentest läuft in mehreren Stufen ab. Nach einem Portscan werden erkannte Betriebssysteme und Softwareprodukte auf bekannte Lücken und Konfigurationsfehler hin untersucht. Dies betrifft beispielsweise auf dem untersuchten System laufende Dienste wie SSH oder den Webserver. Nach Abschluss des Scans wird ein Bericht erstellt. Zudem gibt es grafische Darstellungen der Resultate, wie eine Übersicht von Rechnern im gescannten Netzwerk.

Installation von OpenVAS

Vor der Installation müssen einige softwareseitige Voraussetzungen erfüllt werden. Diese betreffen beispielsweise TLS, SSH und die Bibliothek Libpcap, die erforderlich ist, um Netzwerkverkehr im bekannten Format PCAP verarbeiten zu können. Die Software muss für den Rechner, auf dem es zum Einsatz kommen soll, kompiliert werden. Eine detaillierte Anleitung und Hilfe bei der Installation werden sowohl auf Github, als auch im Community-Forum gegeben. Zudem bietet Greenbone kostenfrei virtuelle Maschinen mit der vorinstallierten Software an. Dazu, wie bereits erwähnt, kommerzielle, mit GVM vorkonfigurierte Hardware-Lösungen. Für Distributionen wie CentOS, Fedora/RHEL (Red Hat Enterprise Linux) und Ubuntu werden Installationspakete bereitgestellt. Besonders einfach lässt sich OpenVAS unter KALI-Linux installieren, da die Abhängigkeiten durch die vorinstallierte Software schon nahezu komplett erfüllt sind.

Bedienung und Ablauf eines Scans

Die Bedienoberfläche von OpenVAS kann standardmäßig über den Browser unter der IP-Adresse des ausführenden Rechners und dem Port 9392 aufgerufen werden. Bei Aufruf vom ausführenden Rechner selber, entsprechend über die Loopbackadresse 127.0.0.1.

Die Bedienoberfläche gliedert sich in die folgenden Menüpunkte:

-Dashboard: Ist die Start- und Übersichtsseite. Es werden grafische Übersichten zu vorangegangenen Scans (sog. Tasks), Topologien gescannter Netze und zur Verfügung stehende NVTs angezeigt.

-Scans: In diesem Menüpunkt kann die Scans als Tasks konfigurieren und starten. Dabei kann auf Vorlagen aus den NVTs zurückgegriffen werden. Auch eine zeitgesteuerte Ausführung ist wählbar. Weiterhin finden sich hier Resultate und Berichte vorangegangener Scans.

-Assets: Entsprechend der wörtlichen Übersetzung „Anlagen“ befinden sich dort Informationen über Routing zum gescannten Ziel, sowie festgestellte Betriebssysteme.

-SecInfo: Steht für Security Information. Hier findet man die Übersicht für die NVTs und veröffentlichte Schwachstellen. Eine Quelle ist das Emergency Response Team der Bundesverwaltung (CERT-Bund).

-Configuration: Im Bereich der Konfiguration lassen sich beispielsweise Scans konfigurieren und Formate für die Reporte festlegen.

-Extras: Hierunter befinden sich persönliche Einstellungen und der Status der Feeds.

-Administration: Dieser Menüpunkt ist unter anderem für die Benutzerverwaltung des OpenVAS-Systems gedacht. Hier können auch Gruppen und Rollen festgelegt werden.

-Help: Beinhaltet die ausführliche Hilfe.

Alternativ kann OpenVAS über die Kommandozeile bedient werden. Dies ist vorteilhaft, wenn es zur ständigen Überwachung (Monitoring) im Netz verwendet werden soll. Dann lassen sich die Ergebnisse beispielsweise über Shell-Skripte weiterverarbeiten. Zudem gibt es mit dem OpenVAS-Manager eine Client-Software zur Bedienung. Diese ist in den Repositiories einiger Linux-Distributionen enthalten.

Es können IP-Adressen einzelner Rechner oder ganze IP-Ranges (Bereiche von Adressen in einem Netzwerk) als Ziel gewählt werden. Die Scantiefe ist einstellbar. Sie reicht von einer schnellen, oberflächlichen Prüfung festgestellter Systeme und deren offenen Ports, hin zu einer intensiven Untersuchung einzelner Anwendungen. Eine Stärke von OpenVAS sind die ausführlichen Berichte. Sofern Verwundbarkeiten festgestellt werden, die auf Softwarelücken basieren,  dann erfolgt zum Beispiel eine Zuordnung zur CVE-Nummer (Common Vulnerabilities and Exposures). Hierbei handelt es sich um Nummern, die von Experten gemeldeten Sicherheitslücken („Exploits“) zur eindeutigen Unterscheidbarkeit zugeteilt werden. Dies erleichtert es dem Administrator, konkrete Maßnahmen zur Beseitigung des Sicherheitsproblems zu treffen.

Empfehlung durch das BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt auf seiner Webpräsenz die Nutzung von OpenVAS. Es unterstützt die Entwicklung von Funktionen der Software und von NVTs. Zudem nutzt es die Software zum Einsatz bei Bundesbehörden und bietet diesen Schulungen und Support.