Die Bekanntmachung der Sicherheitslücke CVE-2023-36884 hat die Welt der IT-Sicherheit erneut erschüttert. Diese Lücke, die in allen Windows- und Office-Versionen vorhanden ist, erlaubt das Ausführen von Code aus der Ferne und hat daher das Potenzial, die Türen für Ransomware-Angriffe zu öffnen.
Im Kontext von Standards wie der ISO 27001 und dem VDA ISA, kann auch diese Lücke Auswirkungen auf die Prüfung des Patch- und Schwachstellenmanagements haben. Denn ein kritischer Aspekt der ISO 27001 und des VDA ISA ist das Vorhandensein und die Einhaltung von Prozessen zur Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken. CVE-2023-36884 ist ein solches Risiko und die Reaktion des Unternehmens darauf kann wesentlich zur Compliance mit diesen Standards beitragen.
Für den Auditor im Kontext einer ISO 27001 oder TISAX®-Prüfung ist die Schwachstelle CVE-2023-36884 ein schöner Testpunkt. Er kann in der Prüfung darauf achten, wie das Unternehmen auf die Bekanntgabe dieser Lücke reagiert hat, wie schnell und effektiv das Patch- und Schwachstellenmanagement erfolgte und ob entsprechende Maßnahmen zur Minimierung des Risikos einer Ausnutzung der Schwachstelle ergriffen wurden.
CVE-2023-36884 unterstreicht erneut die Notwendigkeit einer systematischen und proaktiven Vorgehensweise beim Patch- und Schwachstellenmanagement. Unternehmen müssen ihre Patchmanagement-Prozesse so ausrichten, dass sie auch auf Notfälle vorbereitet sind. Das bedeutet, dass sie die Fähigkeit haben müssen, Sicherheitsupdates sofort zu testen und zu implementieren, sobald sie verfügbar sind. Darüber hinaus sollte das Schwachstellenmanagement nicht nur reaktiv, sondern auch präventiv gestaltet sein. Das bedeutet, dass es Prozesse zur Identifizierung und Bewertung potenzieller Schwachstellen beinhalten sollte, bevor sie ausgenutzt werden können. Das könnte beispielsweise durch regelmäßige Sicherheitsüberprüfungen, Penetrationstests und das Abonnieren von Sicherheitsbenachrichtigungen von Softwarelieferanten erreicht werden.
Abschließend lässt sich sagen, dass die Sicherheitslücke CVE-2023-36884 ein ernsthafter Weckruf für alle Unternehmen sein sollte, die die ISO 27001 oder den VDA ISA einhalten müssen. Die Bedeutung eines effektiven Patch- und Schwachstellenmanagements kann nicht hoch genug eingeschätzt werden und es ist entscheidend, dass Unternehmen hier proaktiv handeln, um die Sicherheit ihrer IT-Infrastrukturen zu gewährleisten und Compliance mit den geltenden Standards zu erreichen.
