Schwachstellenmanagement mit OpenVAS und der Greenbone Community Edition (GCE)

Schwachstellenmanagement: Keine Kür, sondern Pflicht!

Fast alle Cyberangriffe nutzen Schwachstellen oder Fehlkonfigurationen (z. B. schlecht gewählte Passwörter oder die Verwendung unsicherer Protokolle) aus, um ihr Ziel zu erreichen. Angriffsziele sind dabei nicht nur klassische Hard- und Softwareprodukte, sondern auch Maschinen und Anlagen sowie smarte Alltagsgegenstände, die mit dem Internet verbunden sind.

Stand früher das Aufspüren von Schwachstellen im Fokus, ist heute der Umgang mit Schwachstellen als große Herausforderung hinzugekommen: Ein professioneller IT-Betrieb unterhält nicht selten hunderte unterschiedliche IT-Systeme, die alle über das Internet erreichbar sind. Administratoren werden somit täglich mit einer Vielzahl von Updates, Patches und Sicherheitsmeldungen konfrontiert. Die Abhängigkeit der Geschäftsprozesse von der IT, verbunden mit hohen Performanceanforderungen und einem immer dramatischeren Fachkräftemangel können daher schnell zu einer Überlastsituation des IT-Personals führen. Es ist dann nur noch eine Frage der Zeit, bis ein ernster IT-Sicherheitsvorfall eintritt.

Professionelle Lösungen für Schwachstellenmanagement (Vulnerability-Management) sind daher in jedem IT-Betrieb unverzichtbar. Sie helfen nicht nur dabei, Schwachstellen zu finden, sondern unterstützen auch bei der Einschätzung des Risikos und der Priorisierung von IT-Sicherheitsmaßnahmen. Mit den meisten Produkten lässt sich zudem noch prüfen, ob Konfigurationsvorgaben und Policies eingehalten werden.

Open Source Schwachstellenscanner: Greenbone Community Edition (GCE)

Einer der bekanntesten und funktionsreichsten Open Source Schwachstellenscanner ist OpenVAS (Open Vulnerability Assessment Scanner). Seit 2006 ist die Greenbone AG aus Osnabrück Hauptentwickler von OpenVAS und stellt den Schwachstellenscanner zusammen mit anderen Open-Source-Modulen als „Greenbone Community Edition“ der Allgemeinheit kostenlos zur Verfügung. Die Entwicklung von „OpenVAS“ wurde durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterstützt. So war es u. a. möglich, zahlreiche Features und Testroutinen des kommerziellem Schwachstellenscanners der Greenbone AG kostenlos als Open Source zur Verfügung zu stellen.

OpenVAS, sowie alle anderen Komponenten der GCE, werden täglich aktualisiert und umfassen inzwischen mehr als 120.000 Schwachstellentests (Stand 01.08.2023) und Compliance-Prüfungen. Im Forum (siehe https://forum.geenbone.net) finden Anwender Unterstützung zu zahlreichen Themen rund um die GCE. Im Folgenden finden Sie eine Übersicht über die wichtigsten Funktionen und Eigenschaften:

Prüfungen:

• Security-Scanning kompletter Netzwerke
• Prüfung von Applikationen und Diensten
• Prüfung gemäß Richtlinienvorgaben
• Unterstützung bei der Inventarisierung von Rechnern und Netzwerken
• Abdeckung von High- und Low-Level-Protokollen des Internets und typischer Industrieanwendungen
• Klassifizierung von Schwachstellen und Sicherheitsmeldungen zur Priorisierung von Gegenmaßnahmen

Betriebliche Aspekte:

• Eignung für große IT-Verbünde
• Mehrbenutzer- und Mandantenfähigkeit
• Import- und Exportschnittstellen zur Integration von OpenVAS in eine komplexe IT-Sicherheitsinfrastruktur (beispielsweise Schnittstellen zu Intrusion-Detection Systemen)

Technische Eigenschaften

• Skalierbarer Master-Sensor-Betrieb mit Scan-Sensoren in entfernten Netzwerken
• Nicht authentifizierte sowie authentifizierte Sicherheitsprüfungen
• Umfangreiche interne Programmiersprache zur Implementierung jeder Art von Schwachstellentests
• Umfangreiche Funktionen zum Management von Prüfaufgaben

Berichtsmanagement

• Umfangreiche Reportfunktionen (Auswertung, Präsentation, Suche, Vergleich und Export von Prüfergebnissen)
• Beschreibung von Maßnahmen zur Behebung der Schwachstellen mit Angabe des Gefährdungsgrads und Vorschlägen zur Priorisierung
• Integration aktueller CVE-Informationen (Common Vulnerabilities and Exposures) inkl. Verlinkung zum CERT-Bund (Computer Emergency Response Team des BSI) u. a.
• Alarmierung bei Richtlinien-Verstoß oder erkannten Schwachstellen

Installation der Greenbone Community Edition

Die Installation der Greenbone Community Edition mit OpenVAS ist auf nahezu jedem aktuellen Linux-basierten Rechner möglich. Für die Linux-Distributionen Debian, Ubuntu, Fedora und CentOS stellt Greenbone eine umfangreiche Installationsanleitung bereit.

Weitere Hilfe finden Anwender auch im Greenbone Community-Forum.

Um die Installation zu erleichtern, bietet Greenbone seit 2022 auch Container auf Dockerhub an. Diese Docker Container laufen auch unter den Betriebssystemen Windows und MacOS. Eine Anleitung dazu findet sich auf https://greenbone.github.io. Auch für andere Distributionen (z. B. Kali Linux) gibt es Installationspakete aus der Community.

Auch für andere Distributionen (z. B. Kali Linux) gibt es Installationspakete aus der Community.

Rahmenvertrag und Bundesverwaltung

Das BSI hat über das Beschaffungsamt des Bundes einen Rahmenvertrag mit der Greenbone AG geschlossen. Dessen Portfolio enthält vorinstallierte Hardware-Appliances sowie virtuelle Appliances mit OpenVAS als Schwachstellenscanner in verschiedenen Dimensionierungen der Greenbone Enterprise Appliances sowie einen Herstellersupport. Diese Appliances verfügen über einen erweiterten Datenfeed und zusätzliche Funktionen gegenüber der GCE (siehe auch Greenbone-Produktvergleich).

Für weitere Informationen zu Nutzungsberechtigung, Umfang und Details des Rahmenvertrags mit der Greenbone AG können sich Bundesbehörden an die Mailadresse smp-bund@bsi.bund.de wenden.