Unterstützung für die Risiko-Analyse

Das bieten Security-Assessment-Tools

25. November 2013
Der Diplom-Physiker Oliver Schonschek ist freier IT-Fachjournalist und IT-Analyst in Bad Ems.
Risikoanalysen fallen vielen Unternehmen schwer. Security-Assessment-Tools können helfen, sollten aber mit Bedacht ausgewählt werden.

Wesentliche Probleme bei der Entwicklung von IT-Sicherheitsrichtlinien sind die Aktualität und Vollständigkeit. Um aktuelle Policies für alle relevanten Bereiche der IT-Sicherheit erstellen zu können, müssen Unternehmen ihre tatsächlichen, aktuellen Risiken kennen und bewerten. Für diese wichtige Arbeit aber fehlen oft Zeit und Budget, wie beispielsweise die Kaspersky-Studie "Global Corporate IT Security Risks: 2013" herausfand.

Unterstützung finden Unternehmen durch zumeist kostenlose Security-Assessment-Tools - das sind in aller Regel Online-Dienste, die auf unterschiedlichen Wegen bei der Ermittlung von Schwachstellen und Risiken in der IT helfen.

Die ToolsTools unterscheiden sich allerdings stark im Leistungsumfang und in der konkreten Hilfestellung. Im Folgenden werden deshalb mehrere Beispiele für Security-Assessment-Werkzeuge untersucht und Empfehlungen gegeben, was bei der Auswahl und Verwendung generell zu beachten ist. Alles zu Tools auf CIO.de

1. Mit dem Browser fängt es an

Zu den Security-Assessment-Tools gehören auch Browser-Tests, die Nutzer im Internet ausführen können, um Schwachstellen im Browser oder in Browsererweiterungen aufzuspüren. Dadurch werden Risiken im Bereich Browsersicherheit und der Bedarf für entsprechende Browser-Richtlinien sichtbar.
Zu den Security-Assessment-Tools gehören auch Browser-Tests, die Nutzer im Internet ausführen können, um Schwachstellen im Browser oder in Browsererweiterungen aufzuspüren. Dadurch werden Risiken im Bereich Browsersicherheit und der Bedarf für entsprechende Browser-Richtlinien sichtbar.
Foto: Deutsches Sicherheitsnetz e.V.

Wesentliche Bedrohungen für die IT-Sicherheit kommen aus dem Internet. Ein klassischer Angriffsweg besteht darin, Schwachstellen von Browsern und Browser-Erweiterungen auszunutzen. Es verwundert nicht, dass gerade für die Prüfung der Browser-Sicherheit zahlreiche Assessment-Tools existieren.

Beispiele sind der Browsercheck des Deutschen Sicherheitsnetz e.V., der Qualys BrowserCheck,Rapid7 BrowserScan und der Browser- und Plugincheck des Anti-Botnet Beratungszentrums. Diese und vergleichbare Browser-Tests richten sich an den einzelnen Internetnutzer und bieten Hinweise zur Aktualisierung von Browser und Plug-Ins.

Schon ein einfacher Plugin-Check im Firefox liefert Hinweise zum Sicherheitsstatus des Browsers.
Schon ein einfacher Plugin-Check im Firefox liefert Hinweise zum Sicherheitsstatus des Browsers.
Foto: Oliver Schonschek / Screenshot Mozilla Firefox

Aussagen zu möglichen Risiken auf Unternehmensebene sind möglich, wenn ein einheitlicher Browser und eine einheitliche Plug-In-Ausstattung vorgeschrieben sind. In diese Richtlinie sollte dann auch die regelmäßige oder automatische Aktualisierung des Browsers und der Erweiterungen aufgenommen werden.

Zudem bietet beispielsweise Qualys eine Business-Version für Browser-Tests an, die zentral gesteuert und ausgewertet werden kann. Administratoren erhalten so mittels Dashboard einen Überblick über die bestehende Browser- und Plug-In-Sicherheit.

2. Websites im Blick

Online-Risiken zu begegnen bedeutet auch, die eigene Website in den Blick zu nehmen. Ob diese verseucht und für Besucher zur Gefahr werden kann, zeigt zum Beispiel der Website-Test der Initiative-S. Wer ganze Web-Applikationen einem Sicherheitstest unterziehen möchte, kann das unter anderem mit dem Veracode Web Application Testing Tool tun.

Administratoren können die eigene Website auf typische Schwachstellen (siehe beispielsweise OWASP Top Ten Project) untersuchen und so testen, ob diese durch entsprechende Attacken gefährdet wäre. Ein Beispiel-Tool für Web-Administratoren ist Ratproxy. Solche Werkzeuge sollten aber nur Anwender mit genügend Erfahrung und ausschließlich für die eigene Website einsetzen.