Unternehmen brauchen viele Wochen, um eine Sicherheitsschwachstelle bei ihren Endpunkten nach der Entdeckung zu beheben. Angreifern stehen in dieser Zeit alle Türen offen. Diese Lücke schließen Lösungen für das Schwachstellen-Management auf Basis einer Peer-to-Peer-Architektur: Sie überwachen Endpunkte kontinuierlich und automatisiert, finden Schwachstellen und beheben sie nahezu in Echtzeit.

Endgeräte wie PCs, Notebooks oder Smartphones sind die am stärksten gefährdeten Stellen im Unternehmen. Die große Mehrzahl der Angriffe findet dort statt, etwa in Form von Ransomware, als Phishing-Mail oder als Malware-Attacke mit dem Ziel, sensible Daten abzugreifen. Die Angreifer nutzen als Einfallstor Sicherheitslücken in Anwendungen, Browsern oder Plug-ins wie dem Flash Player oder Java. Für Unternehmen heißt das: Sie müssen ihre Endpunkte kontinuierlich auf Schwachstellen untersuchen und diese so schnell wie möglich beheben, um die Risiken zu reduzieren und Compliance-Probleme zu vermeiden.

Grenzen traditioneller Ansätze

Doch die Realität sieht anders aus. Laut der tCell-Studie von 2018 über die Sicherheit von Web-Applikationen benötigen Unternehmen durchschnittlich 38 Tage, um eine Sicherheitslücke zu schließen, nachdem man sie einmal entdeckt hat. Hacker haben also viel Zeit, um ihre Angriffe zu planen, in die Tat umzusetzen, Daten zu stehlen oder schlimmstenfalls tiefer in die IT-Systeme einzudringen.

Warum aber brauchen Unternehmen so lange, um Schwachstellen zu entdecken und zu beheben? Ein Grund dafür ist zunächst die große Anzahl der Endpunkte und damit auch die große Anzahl entdeckter Schwachstellen im Unternehmen. Diese Schwachstellen zu klassifizieren und schnell zu fixen kann die oft dünn besetzten IT-Teams überfordern. Hinzu kommt, dass traditionelle Schwachstellen-Management-Lösungen heute an ihre Grenzen gelangen: Sie sind sehr ressourcenintensiv und verlassen sich darauf, dass Menschen die erkannten Schwachstellen beheben. Nützlicher wäre es, Sicherheitslücken automatisch erkennen und beseitigen zu können.

Traditionelle Lösungen konzentrieren sich aber darauf, so viele Schwachstellen wie möglich zu finden, statt erkannte Probleme möglichst schnell zu bekämpfen. Da sie oft Tausende von Clients untersuchen, ist zudem viel Bandbreite notwendig. Das kann die Leistung des Netzwerks beeinträchtigen und das Schwachstellen- und Patch-Management erheblich verlangsamen. Abhilfe schaffen hier Lösungen auf Basis einer Peer-to-Peer-Architektur (P2P). Diese reduziert den Netzwerkverkehr erheblich, indem sie möglichst viel Arbeit lokal auf den Endpunkt verlagert.

P2P-Technik für Security

Peer-to-Peer-Netzwerke kommen ohne zentrale Server aus. Die Rechner arbeiten also gleichberechtigt zusammen, können Ressourcen und Services anbieten oder auch nutzen. Auch die Daten sind dezentral organisiert und verteilt. In einem P2P-Netzwerk kann grundsätzlich jeder Rechner mit jedem anderen Rechner verbunden sein. Einfache P2P-Strukturen organisieren sich meist selbstständig, komplexere Systeme lassen sich in Gruppen aufteilen, die spezifische Aufgaben erfüllen, zum Beispiel Suchfunktionen. Es gibt auch P2P-Systeme mit sogenannten Supernodes, die dem Netzwerk hohe Bandbreite und Rechenleistung zur Verfügung stellen.

Im Gegensatz dazu sind beim Client/Server-Modell die Rollen des Servers und der Clients eindeutig verteilt: Der Server stellt die Dienste bereit, die Clients nutzen sie. In einer solchen Architektur muss der Server ständig online und verfügbar sein und eine gute Netzwerkanbindung haben. Probleme am Server oder im Netzwerk beeinträchtigen folglich den Service für alle Clients. Wächst die Anzahl der Clients, muss auch die Ausstattung eines Servers mit CPU-, Speicher- und Netzwerkleistung mitwachsen, damit der Server die zunehmenden Workloads und Anforderungen bewältigen kann.

Problemlose Skalierung

Ein P2P-Netzwerk lässt sich hingegen problemlos skalieren, da jeder zusätzliche Rechner zusätzliche Leistung in Form von Speicherplatz, Bandbreite oder Rechenkapazität ins Gesamtsystem einbringt. Die Services sind hochverfügbar, weil jeder Client auch als Server fungiert und damit der Ausfall eines einzelnen Rechners das komplette System kaum beeinträchtigt. Auch gegenüber externen Angriffen sind diese Infrastrukturen resistent: Bei Bedarf lassen sich Aufgaben im P2P-Rechnerverbund flexibel verteilen und den aktuellen Anforderungen individuell anpassen, ohne dass zusätzlich Hardware notwendig ist. Das bringt Geschwindigkeitsvorteile etwa beim Verteilen von Patches für Schwachstellen.

Ein Nachteil des dezentralen P2P-Modells ist der hohe Aufwand für die Verwaltung der Teilnehmer in Selbstorganisation. Zudem sind zusätzliche Sicherheitsmechanismen notwendig, die eine gegenseitige Authentifizierung und Autorisierung sowie Zugriffskontrolle und Traffic-Verschlüsselung ermöglichen. Moderne P2P-Lösungen für das Schwachstellen-Management integrieren diese Funktionen allerdings bereits und vereinfachen die Organisation des P2P-Netzwerks. Sie bieten rollenbasierte Sicherheits- und Zugriffskontrollsysteme mit fein abgestuften Berechtigungen ebenso wie signierte, verschlüsselte Kommunikation und stellen eindeutige Identitäten und AES-Schlüssel für die Clients zur Verfügung. So sichern und validieren die Lösungen alle P2P-Übertragungen automatisch.

Validierungsmethoden zum Schutz vor Malware

Diese Validierungsmethoden sind unabhängig von der Identität des Quell-Peer-Clients. Ist dieser durch Malware oder einen bösartigen Benutzer kompromittiert, kann er keine schädlichen Inhalte in das P2P-System einbringen, da ein Abgleich der Encryption-Schlüssel stattfindet. Der empfangende Client erkennt alle Änderungen automatisch und lehnt sie ab.

Des Weiteren ist es auch möglich, alle Inhalte je nach Geschäftsanforderungen zusätzlich zu verschlüsseln. Den Schlüssel sendet das System automatisch an die Clients der befugten Mitarbeiter.

Moderne Lösungen für Schwachstellen-Management auf P2P-Basis umfassen vorkonfigurierte Schwachstellenprüfungen für Endgeräte und zugleich Korrekturmaßnahmen, um Compliance- und Sicherheitsprobleme automatisiert nahezu in Echtzeit zu beheben. Die Palette reicht von der Aktualisierung der Konfigurationseinstellungen bis hin zur Bereitstellung eines Patches.

Über einen Visual Workflow Designer ist es zudem möglich, neue Sicherheitsprüfungen und Korrekturmaßnahmen zu erstellen, ohne Codezeilen schreiben zu müssen. Den Status ihrer Endpunkte behalten Unternehmen über interaktive Echtzeit-Dashboards im Auge. Diese bieten einen Live-Überblick über Schwachstellen, Sicherheits-Checks sowie den Erfolg der Maßnahmen.

Unternehmen sind mit einer modernen Schwachstellen-Management-Lösung auf Basis einer Peer-to-Peer-Architektur in der Lage, Tausende Endpunkte innerhalb weniger Minuten zu analysieren. Dies erhöht die Sicherheit signifikant und minimiert Compliance-Risiken. Zudem entlastet dieser Ansatz die IT, da die automatische Beseitigung von Schwachstellen die Anzahl von Trouble-Tickets sowie erforderliche lokale Support-Maßnahmen auf ein Minimum reduziert.

Géza Lauturner ist Country Manager DACH bei Adaptiva, www.adaptiva.com.