Universität Stuttgart

Regelmäßige Schwachstellenscans

Schwachstellen in Software sind weit verbreitet und stellen ein potentielles Einfallstor für Angreifer dar. Daher ist ein gutes Schwachstellenmanagement und das zeitnahe Installieren verfügbarer Patches essentiell.

Wir unterstützen unsere Ansprechpersonen beim Schwachstellenmanagement der Systeme in ihrem Zuständigkeitsbereich, indem wir regelmäßige Schwachstellenscans aller Systeme durchführen, die über mindestens eine Freischaltung an der Borderfirewall verfügen.

Warum werden nur freigeschaltete Systeme gescannt?

Systeme mit Freischaltungen sind besonders exponiert und daher im Vergleich zu Systemen ohne Freischaltung stärker gefährdet.

Ein regelmäßiges Scannen aller Systeme an der Universität ist uns im Moment aus Kapazitätsgründen leider nicht möglich. Das liegt insbesondere auch daran, dass wir die Ergebnisse der Scans an unsere Ansprechpersonen kommunizieren müssen und auch bei Rückfragen und Problemen bei der Behebung der Funde zeitnah unterstützen können möchten.

Sollten Sie als Ansprechperson an einem Scan zusätzlicher Systeme in Ihrem Zuständigkeitsbereich interessiert sein, wenden Sie sich gerne unter mail@cert.uni-stuttgart.de an uns.

Wie scannen wir?

Die Scans werden mithilfe einer auf OpenVAS basierenden Appliance durchgeführt und kommen vom System mit den folgenden IP-Adressen:

141.58.89.82
2001:7c0:2025:1016::1

Beeinträchtigungen von Systemen durch Scans

Wir haben unsere Scankonfiguration bewusst defensiv und nicht-disruptiv gewählt, so dass in der Regel keine Beeinträchtigung der gescannten Systeme auftreten sollten. Da wir die Scans im Moment zudem auf freigeschaltete Systeme beschränken und besonders sensible Systeme wie Messgeräte in der Regel nicht über Freischaltungen verfügen, sind auch in diesem Zusammenhang keine Probleme zu befürchten.

Sollte trotz unserer Vorsichtsmaßnahmen eine Beeinträchtigung bei einem Ihrer Systeme durch einen Schwachstellenscan auftreten, wenden Sie sich bitte mit Informationen zum betroffenen System und den beobachteten Problemen unter mail@cert.uni-stuttgart.de an uns.

Was passiert mit den Ergebnissen?

Wir informieren unsere Ansprechpersonen über die Ergebnisse der Scans und unterstützen wo notwendig bei der Behebung der gefundenen Schwachstellen.

Nach einigen Testläufen haben wir uns dabei für folgendes Vorgehen entschieden:

Wir verschicken nach einem Scandurchlauf Benachrichtigungen zu ausgewählten Schwachstellentypen, Konfigurationsproblemen (zum Beispiel: Webserver nutzt unsichere Verschlüsselungsalgorithmen) und ähnlichen schwerwiegenden Problemen (zum Beispiel: veraltete Software oder veraltetes Betriebssystem im Einsatz) an alle Ansprechpersonen, die mindestens ein entsprechend betroffenes System in ihrem Zuständigkeitsbereich betreiben. Dabei beginnen wir mit den aus unserer Sicht schwerwiegendsten Problemen.

Warum habe ich keine Meldung zur Schwachstelle X erhalten?

Hier gibt es mehrere Möglichkeiten:

Warum werden normalerweise keine vollständigen Berichte verschickt?

Eine mehrfach genannte Rückmeldung aus unseren Testläufen war, dass die vollständigen Berichte zu allen Funden des Schwachstellenscanners sehr unübersichtlich und nur bedingt hilfreich sind.

Außerdem ist es uns wichtig, gefundene Schwachstellen und die zugehörigen Möglichkeiten zur Behebung zumindest soweit verstanden zu haben, dass wir entsprechende Nachfragen dazu beantworten und bei Problemen bei der Umsetzung unterstützen können. Darüber hinaus wollen wir auch die Einschätzungen der Scan-Appliance bezüglich der Schwere von Schwachstellen nicht ungeprüft übernehmen.

Sollten Sie als Ansprechperson an einem vollständigen Bericht zu einem oder mehreren Systemen in Ihrem Zuständigkeitsbereich interessiert sein, wenden Sie sich gerne unter mail@cert.uni-stuttgart.de an uns.

Was passiert, wenn Schwachstellen nach einer Benachrichtigung nicht behoben werden?

Sollten wir auf eine Benachrichtigung keinerlei Rückmeldung von unseren Ansprechpersonen erhalten, prüfen wir zuerst, ob die Schwachstelle möglicherweise behoben und die Rückmeldung nur vergessen wurde.

Besteht die Schwachstelle weiterhin, schicken wir eine Erinnerung und bitten erneut um Behebung der genannten Schwachstellen.

Wenn auch dann keinerlei Rückmeldung erfolgt und die Schwachstelle nicht behoben wurde, behalten wir uns die vorübergehende Rücknahme von Freischaltungen für das betroffene System nach vorheriger Ankündigung und angemessener Frist vor. Sobald das Problem nachweislich behoben wurde und wir eine entsprechende Rückmeldung der zuständigen Ansprechpersonen erhalten haben, tragen wir die Freischaltung selbstverständlich wieder ein.

Unabhängig davon behalten wir uns wie bisher die Möglichkeit vor, als Notfallmaßnahme bei aktiver Ausnutzung von kritischen Schwachstellen ("Gefahr im Verzug") Freischaltungen für betroffene Systeme vorübergehend auch ohne vorherige Ankündigung zu entfernen. In diesen Fällen geben wir Ihnen umgehend Bescheid und unterstützen Sie dabei, betroffene Systeme so bald wie möglich soweit abzusichern, dass die Freischaltungen wieder eingetragen werden können.

Anlassbezogene Schwachstellenscans

Unabhängig von den regelmäßigen Schwachstellenscans führen wir bei neu bekanntgewordenen kritischen Schwachstellen wenn möglich zeitnah einen Scan durch, um die entsprechenden Informationen gezielt weitergeben zu können. Hierfür nutzen wir üblicherweise speziell darauf abgestimmte Werkzeuge. In diesem Fall kommen die Scans vom System mit den folgenden IP-Adressen:

141.58.88.56
2001:7c0:2025:1006::1