Wer hat Schwachstellen in meinen Patch gesteckt?

Warum Updates dich nicht retten können

Foto von Neeqolah Creative Works auf Unsplash

Willkommen im Sicherheitstheater

Jeder Sicherheitspatch hat sowohl für Verteidiger als auch für Angreifer etwas Besonderes bereit. Für jede „Korrektur” schleichen sich unvermeidlich Änderungen ein – mehr Code, gefertigt aus denselben fehleranfälligen Materialien wie das Original!

Noch schlimmer: Es ist ein Bauplan für Angreifer! Änderungen bestehen aus Binärcode, der genauso leicht diff’t werden kann wie Verhaltensänderungen. Sie sind reif für Reverse Engineering.

ABP: Always Be Patching

WARNUNG: Patch kann heutige Fixes (und definitiv morgige Schwachstellen) enthalten.

Die Realität ist unordentlicher, als mir lieb ist. Frag irgendeinen Grauhaar-Sysadmin nach schnellen Updates und du wirst hart verdiente Weisheit hören: „Warte sechs Monate. Sei nicht ihr kostenloser Beta-Tester.”

Nimm dir einen Moment, um das Dilemma des IT-Teams zu würdigen:

• Jetzt sofort patchen: Risiko, die Produktion zu brechen.
• Später patchen: Risiko, gehackt zu werden.
• Nicht patchen können (oder wollen): ernsthaftes Risiko, gehackt zu werden.
• Verteidigen & mildern: Systeme härten, schwache Chiffren, Passwörter ändern usw. Wer hat dafür Zeit?!? CVEs lesen? Oh, liebes Kind, ich habe schlechte Nachrichten…

Die besten Absichten

Patches töten Systeme auch – ganz ohne Angreifer.

Der CrowdStrike-Vorfall vom Juli 2024 bewies eine harte Wahrheit: Das Befolgen von „Best Practices” bietet keine Immunität, wenn ungeprüfter Code kritische Infrastruktur zum Absturz bringt. Innerhalb von Stunden wurden weltweit Flüge gestrichen und Krankenhäuser weitgehend lahmgelegt.

Aber Patches ignorieren? Das garantiert die Ausnutzung bekannter Schwachstellen.

Die Lügen, die wir uns erzählen

Geld für Sicherheit zu werfen, geht oft nach hinten los. Komplexe, geschichtete Kontrollen werden unmöglich zu verwalten – und unmöglich zu überwachen.

Das richtige Investitionsniveau? Die optimalen Kontrollen? Die perfekte Sicherheit-Nutzbarkeit-Balance?

Es kommt darauf an. (Ja, die Lieblingsantwort des Beraters.)

Aber das ist eigentlich gute Nachricht: Personalisiertes Risikomanagement schlägt Einheitslösungen jedes Mal.

Raus aus dem Sicherheitstheater-Lager

Hör mit dem Theater auf und fang mit proaktivem Risikomanagement an.

Bestimme & dokumentiere alles, was zählt:

• Deine tatsächliche Bedrohungslandschaft (nicht die FUD des Anbieters)
• Zeitpläne für Incident-Response- und Wiederherstellungstests
• Toleranzen für Ausfallzeiten, Datenverlust und Reputationsschäden
• Rechtliche Verpflichtungen, wenn Dinge schiefgehen
• Wer was während einer Krise tut

Gibt es universelle Best Practices? Ja, obwohl die Implementierung variiert:

Wichtige Überlegungen

• Hardware-Sicherheitsschlüssel wie YubiKeys für alle Nutzer einführen oder zumindest Passkeys vorschreiben.
  • OTPs sind anfällig für Social Engineering, Hardware-Tokens nicht.
  • MFA universell für alle Dienste vorschreiben.
• Robuste & verifizierte Backups.
  • Stelle sicher, dass Cloud-Infrastruktur Offline-Backups hat – idealerweise unveränderlich und geografisch verteilt.
    • „Offline” bedeutet cross-vendor oder cross-account (z. B. AWS-Backups in GCP oder Azure, oder Drittanbieterlösungen wie Backblaze B2).
  • Backup-Strategien auf Mitarbeitergeräte ausweiten, unter Berücksichtigung von Wiederherstellungsszenarien wie unzuverlässigem Konferenz-WLAN (im Einklang mit SLAs und Wiederherstellungszielen).
• Vierteljährliche Wiederherstellungsübungen durchführen: Vollständige Infrastruktur in einer ungenutzten Region aus Backups, Snapshots und Infrastructure-as-Code-Tools wiederherstellen.
• Platziere CanaryTokens neben echten Anmeldedaten, um als Erster zu wissen, wenn ein Bruch beginnt.

Die andere Seite der Angst

Kenne dein Risikoprofil: Welche Daten schützt du? Welche Bedrohungen sind relevant? Wie viel Ausfallzeit kannst du dir leisten? Was ist günstiger – Wiederherstellung oder Neuaufbau?

Berücksichtige deine tatsächliche Exposition:

• Zugriff auf sensible Daten (Banking/Krypto)
• Webanwendungs-Schwachstellen (XSS/CSRF)
• Supply-Chain-Risiken und Insider-Bedrohungen
• Öffentlich zugängliche Dienste (Zero-Day-Ziele)
• Toleranzen für Ransomware, Bußgelder, Reputationsschäden

Die unromantische Wahrheit: Sicherheit besteht aus Schichten, nicht aus Wunderwaffen. Verteidigung in der Tiefe, Offline-Backups, Katastrophenübungen, kompensierende Kontrollen. Behandle Patches als notwendiges Übel, nicht als Allheilmittel.

Intelligent bereitstellen: Tests automatisieren, Rollouts staffeln, Rollbacks planen, Ausfälle üben.