Security-Assessment-Tools im Überblick

2. Websites im Blick

Online-Risiken zu begegnen bedeutet auch, die eigene Website in den Blick zu nehmen. Ob diese verseucht und für Besucher zur Gefahr werden kann, zeigt zum Beispiel der Website-Test der Initiative-S. Wer ganze Web-Applikationen einem Sicherheitstest unterziehen möchte, kann das unter anderem mit dem Veracode Web Application Testing Tool tun.

Administratoren können die eigene Website auf typische Schwachstellen (siehe beispielsweise OWASP Top Ten Project) untersuchen und so testen, ob diese durch entsprechende Attacken gefährdet wäre. Ein Beispiel-Tool für Web-Administratoren ist Ratproxy. Solche Werkzeuge sollten aber nur Anwender mit genügend Erfahrung und ausschließlich für die eigene Website einsetzen.

3. Systemanalyse auf Knopfdruck

Neue IT-Risiken können zum Beispiel dann auftreten, wenn eine neue Software installiert wurde, die auch potenziell neue Angriffsflächen bietet. Ebenso entstehen Sicherheitslücken durch fehlende Patches und falsche Sicherheitskonfigurationen. Security-Assessment-Tools wie Windows Attack Surface untersuchen den Einfluss einer Installation auf das Betriebssystem, indem das Windows-System vor und nach der Installation verglichen wird.

Der Microsoft Baseline Security Analyzer unterstützt Administratoren dabei, Windows-Systeme nach fehlerhaften Sicherheitseinstellungen und fehlenden Sicherheits-Updates zu durchsuchen.

4. Der Fehler steckt im Quellcode

Sicherheitslücken beginnen in aller Regel damit, dass bei der Softwareentwicklung eine Sicherheitsfunktion vergessen oder ein Programmfehler begangen wurde. Ein Security Assessment auf Basis des Programm-Codes bietet zum Beispiel HP Fortify on Demand, wobei der Nutzer die Tests startet und die Resultate der auswertenden Sicherheitsexperten innerhalb einer definierten Zeitspanne erhält. Veracode bietet eine Reihe von Code-Assessments - darunter die Veracode Static Analysis.

Solche Assessments richten sich an Entwickler und interne Tester und zeigen, an welchen Stellen der Quellcode noch verwundbar ist. Sie können eine wichtige Ergänzung der internen Qualitätssicherung darstellen und den Bedarf an neuen oder geänderten Entwicklungsrichtlinien aufzeigen.

5. Den Nutzer nicht vergessen

Ein wesentliches Sicherheitsrisiko stellen Nutzer dar, die die Sicherheitsrichtlinien nicht kennen oder nicht umsetzen - ob unwissentlich oder vorsätzlich. Zumindest gegen ersteres können Tools helfen. Ein entsprechendes Angebot kommt zum Beispiel von SANS: CyberTalent Assessments - Wissenstests, die für Beschäftigte wie für Bewerber und Dienstleister gleichermaßen geeignet sind. Auch das Microsoft Security Assessment Tool bietet einen Fragenbereich, bei dem die Mitarbeiter, ihre Awareness und die für sie geplanten Schulungen im Fokus stehen.