Unterstützung für die Risikoanalyse

Security-Assessment-Tools im Überblick

Risikoanalysen fallen vielen Unternehmen schwer. Security-Assessment-Tools können helfen, sollten aber mit Bedacht ausgewählt werden. Lesen Sie, was die Tools leisten und welche es gibt.

Wesentliche Probleme bei der Entwicklung von IT-Sicherheitsrichtlinien sind die Aktualität und Vollständigkeit. Um aktuelle Policies für alle relevanten Bereiche der IT-Sicherheit erstellen zu können, müssen Unternehmen ihre tatsächlichen, aktuellen Risiken kennen und bewerten. Für diese wichtige Arbeit aber fehlen oft Zeit und Budget, wie beispielsweise die Kaspersky-Studie Global Corporate IT Security Risks: 2013 herausfand.

Unterstützung finden Unternehmen durch zumeist kostenlose Security-Assessment-Tools - das sind in aller Regel Online-Dienste, die auf unterschiedlichen Wegen bei der Ermittlung von Schwachstellen und Risiken in der IT helfen.

Die Tools unterscheiden sich allerdings stark im Leistungsumfang und in der konkreten Hilfestellung. Im Folgenden werden deshalb mehrere Beispiele für Security-Assessment-Werkzeuge untersucht und Empfehlungen gegeben, was bei der Auswahl und Verwendung generell zu beachten ist.

1. Mit dem Browser fängt es an

Wesentliche Bedrohungen für die IT-Sicherheit kommen aus dem Internet. Ein klassischer Angriffsweg besteht darin, Schwachstellen von Browsern und Browser-Erweiterungen auszunutzen. Es verwundert nicht, dass gerade für die Prüfung der Browser-Sicherheit zahlreiche Assessment-Tools existieren.

Beispiele sind der Browsercheck des Deutschen Sicherheitsnetz e.V., der Qualys BrowserCheck,Rapid7 BrowserScan und der Browser- und Plugincheck des Anti-Botnet Beratungszentrums. Diese und vergleichbare Browser-Tests richten sich an den einzelnen Internetnutzer und bieten Hinweise zur Aktualisierung von Browser und Plug-Ins.

Schon ein einfacher Plugin-Check im Firefox liefert Hinweise zum Sicherheitsstatus des Browsers.
Schon ein einfacher Plugin-Check im Firefox liefert Hinweise zum Sicherheitsstatus des Browsers.
Foto: Oliver Schonschek / Screenshot Mozilla Firefox

Aussagen zu möglichen Risiken auf Unternehmensebene sind möglich, wenn ein einheitlicher Browser und eine einheitliche Plug-In-Ausstattung vorgeschrieben sind. In diese Richtlinie sollte dann auch die regelmäßige oder automatische Aktualisierung des Browsers und der Erweiterungen aufgenommen werden.

Zudem bietet beispielsweise Qualys eine Business-Version für Browser-Tests an, die zentral gesteuert und ausgewertet werden kann. Administratoren erhalten so mittels Dashboard einen Überblick über die bestehende Browser- und Plug-In-Sicherheit.