Wie Ihr Backlog Sie Tausende kosten könnte

Könnten Sie auf Anhieb sagen, wie viele Schwachstellen Ihre IT-Umgebung im Moment bedrohen? Würde es Sie erschrecken zu erfahren, dass mehr als die Hälfte (66 %) der Sicherheitsverantwortlichen angaben, dass ihr Backlog mehr als 100.000 identifizierte Schwachstellen aufweist? Und dass die durchschnittliche Anzahl der Schwachstellen in den Backlogs insgesamt 1,1 Millionen beträgt? Dies geht zumindest aus einer Umfrage von Rezilion und dem Ponemon Institute hervor.

Und das ist noch lange nicht alles: 54 % der Befragten gaben an, dass sie weniger als 50 % der Schwachstellen in den Backlogs beheben können. Bei der Mehrheit (78 %) dauerte die Beseitigung mehr als drei Wochen, während sogar 29 % eine Verzögerung von mehr als fünf Wochen feststellten, um die Probleme zu beheben.

Als ob diese Angaben nicht schon genug Grund zur Sorge wären, gehen auch noch Tausende von Produktivitätsstunden verloren, weil die IT-Manager den riesigen Backlog nicht effektiv beseitigen können. „Wir glauben, dass diese Zahlen die Herausforderungen verdeutlichen, denen sich Unternehmen bei der Bewältigung des wachsenden Rückstaus von Sicherheitslücken gegenübersehen. In den letzten zwölf Monaten wurden durchschnittlich 1,1 Millionen Schwachstellen gemeldet. Von diesen wurde weniger als die Hälfte behoben. Laut den IT-Sicherheitsexperten, die an unserer Studie teilgenommen haben, lässt sich die Zeit, die zur Behebung von Schwachstellen benötigt wird, allerdings durch Automatisierungsprozesse erheblich verkürzen“, kommentiert Larry Ponemon, Präsident des Ponemon Institute.

Zu den Faktoren, die die Behebung von Schwachstellen erschweren, gehören die Unfähigkeit, Prioritäten zu setzen (47 %), der Mangel an wirksamen Werkzeugen (43 %), Ressourcen (38 %) und Informationen über Bedrohungen, die solche Schwachstellen ausnutzen (45 %). Mehr als ein Viertel (28 %) gab außerdem an, dass die Behebung von Schwachstellen ein zeitaufwendiger Prozess ist.

So ergab die Umfrage, dass 77 % der Befragten mehr als 21 Minuten benötigten, um eine einzige Schwachstelle in der Produktionsumgebung zu erkennen, zu priorisieren und zu beheben. In Entwicklungsumgebungen benötigten etwa 80 % der Unternehmen allein für die Erkennung einer Schwachstelle mehr als 16 Minuten. Aber auch die anderen Prozesse gestalten sich langwierig: Bei 82 % der Befragten dauerte die Behebung mehr als 21 Minuten, die Priorisierung bei 85 % mehr als 16 Minuten.

„Das stellt eine enorme Zeit- und Geldverschwendung dar, wenn man nur versucht, die riesigen Rückstände an Schwachstellen in Unternehmen zu reduzieren“, sagt Liran Tancman, CEO von Rezilion, dem Unternehmen, dass die Studie sponserte.

An der Umfrage lässt sich erkennen, dass die Organisationen etwas effektiver bei der Priorisierung der kritischsten Schwachstellen sind als bei deren Behebung. Dabei ist die Bewertung der Schwachstellen nach dem Common Vulnerability Scoring System (CVSS) die wichtigste Methode zur Festlegung der Prioritäten. Darauf folgen eine eigene Einschätzung und eine Bewertung der gefährdeten kritischen Anlagen (beide mit 23 % der Antworten).

Insgesamt gaben die meisten Befragten an, dass es sehr schwierig (36 %) oder schwierig (25 %) ist, Schwachstellen in Anwendungen zu beheben. Allerdings gibt es Tools und Strategien, die bei diesem Prozess helfen können. So gab die Mehrheit (56 %) an, dass automatisierte Prozesse zur Behebung von Sicherheitslücken Vorteile mit sich bringen können. Auf die Frage, wie dies geschieht, waren 43 % der Meinung, dass sich die Reaktionszeit erheblich verkürzt hat.

„Wir haben jetzt die wichtigen Daten, um genau zu verfolgen, wie viel Zeit die Schwachstellen den Teams letztendlich im gesamten Softwareentwicklungszyklus stehlen. Zudem wissen wir, dass dieser Prozess nicht effektiv funktioniert. Rückstände können nicht länger so gehandhabt werden. Denn sie erweitern das Angriffsfenster für böswillige Akteure, die häufig ungepatchte Schwachstellen ausnutzen. Daher brauchen Sicherheitsteams und Entwickler Priorisierungs- und Automatisierungstools, um ihre Bemühungen effektiver zu gestalten”, sagt Tankman.

Empfehlungen zur Entlastung des Drucks

Der enorme Rückstand bei den gemeldeten Schwachstellen lässt erahnen, unter welchem Druck Unternehmen stehen, diese rechtzeitig zu beheben. Gartner empfiehlt, sich darauf vorzubereiten, innerhalb von Stunden nach der Bekanntgabe von Schwachstellen oder der Veröffentlichung von Patches Notfallkorrekturen vorzunehmen. Hierfür sollten Unternehmen auch in Abhilfemaßnahmen investieren. Darüber hinaus ist es wichtig, Prozesse zur Behebung von Schwachstellen weiter zu verbessern – auch, wenn diese keine Notfälle darstellen.

Es existieren vier grundlegende Handlungsempfehlungen, um die Korrekturprozesse effektiver zu gestalten:

1. Schwachstellenmanagement an der Risikobereitschaft ausrichten – Jede Organisation hat ihre eigenen Methoden und ihre eigene Geschwindigkeit, mit der sie handeln kann. Dies hängt zum Teil mit der Risikobereitschaft des Unternehmens sowie mit den IT-Ressourcen und der Kapazität zur Bewältigung von Ausfallzeiten zusammen.

2. Risikobasierte Priorisierung von Schwachstellen – Die Priorisierung muss facettenreich und risikobasiert erfolgen. Dabei sind Elemente wie die Schwere des Ausfalls, die Aktivität bösartiger Agenten, die Kritikalität des Geschäfts und die Gefährdung durch Bedrohungen zu berücksichtigen.

3. Kombinieren Sie kompensierende Kontrollen und Abhilfelösungen – Auf diese Weise können Sie die Angriffsfläche effizienter reduzieren und haben weniger Auswirkungen auf den Betrieb. Mit anderen Worten: Patches sind nicht alles. Es gibt andere Möglichkeiten, um potenzielle Bedrohungen zu vermeiden, anstatt zu versuchen, die Schwachstellen zu beheben.

4. Nutzung von Automatisierungstechnologien zur Analyse von Schwachstellen – Überprüfen Sie die derzeit verwendeten Lösungen und stellen Sie sicher, dass sie die neuesten Asset-Typen wie Cloud, Container und cyber-physische Systeme berücksichtigen.