Von: Dr. Johannes Wiele
Administratoren sind in meisten Unternehmen vollauf damit beschäftigt, die vorhanden Systeme in Betrieb zu halten. Neben vielen anderen Gründen trägt dies dazu bei, dass Sicherheitslösungen oft "blind" gekauft werden, oder dass deren Installation lediglich auf vermuteten Bedarf hin oder "dank" des Überredungstalents eines Anbieters erfolgt, der beim Kunden den richtigen Nerv getroffen hat. "Angstmarketing", gekoppelt mit der Unsicherheit der Anwender über die eigene Risikolage, ist deshalb ein häufiger Grund für Fehlinvestitionen im Bereich Sicherheit.
Abhilfe schaffen können Vulnerability Assessment und Penetration Tests. Beide Angebote dienen dazu, Netze und Applikationen auf Verwundbarkeit zu prüfen. Das Ergebnis eröffnet auch ein echtes Sparpotenzial: Viele Gefahren lassen sich allein durch das Einspielen von Updates, korrekte Konfiguration von Servern und Applikationen und durch angemessenes Verhalten der End-User entweder minimieren oder sogar ausschalten.
Vulnerability Assessment ist die automatisierte Variante. Im Falle dieser Schwachstellenanalyse startet der Anbieter auf das System des Kunden eine Reihe von Angriffen, die bekannte Fehlkonfigurationen und Sicherheitslücken verbreiteter Anwendungen ausnutzen. Selbstverständlich arbeiten die Systeme nur mit Pseudo-Attacken, die keinen Schaden verursachen. Mit den Checks wird anhand der "Signaturen" von Angriffen überprüft, ob die Zielapplikationen auf die jeweils nachgestellte Vorgehensweise ansprechen.
Bequeme Lückensuche
Das automatische Audit hat technische Grenzen:
- Die Scanner können nur nach bereits bekannten Lücken fahnden.
- Zwischen der Entdeckung einer Lücke und der Integration der Signatur in die Scan-Engine vergeht eine gewisse Zeit.
- Die Systeme untersuchen nur Standardanwendungen und keine Individualsoftware, sie haben es schwer mit komplexen Web-Applikationen.
- Nur die Technik steht auf dem Prüfstand, nicht mögliches Fehlverhalten von Anwendern.
Zugleich hat die Automatisierung aber auch Vorteile:
- Die meisten erfolgreichen Hacker nutzen bekannte technische Sicherheitslücken, die durch automatische Audits schnell und preiswert gefunden werden können.
- Automatische Scans lassen sich häufig wiederholen, was in großen Netzen, in denen sich der Hard- und Softwarebestand ständig ändert, von großer Bedeutung ist.
Die Aktualität der Vulnerability-Scanner muss ähnlich wie bei Virenscannern durch Signatur-Updates erhalten werden. Der Anbieter Qualys - seine Datenbank umfasst etwa 2000 Sicherheitslücken von zirka 300 Anwendungen auf 20 Betriebssystemen - versucht dieses Problem zu entschärfen, indem er keine Programme für den lokalen Einsatz offeriert, sondern seine Dienste übers Web anbietet und die Audits von zentralen Engines durchführen lässt. Die Ergebnisse werden auf den Qualys-Servern verschlüsselt gespeichert, sodass nur der jeweilige Anwender die Daten lesen kann und nicht einmal ein Mitarbeiter des Schwachstellenanalyse-Unternehmens. Kein prinzipielles Problem mehr ist der Einsatz dieser Technik hinter der Unternehmens-Firewall. Der Anbieter hat für diesen Bereich eine Appliance auf den Markt gebracht, die ihre Test-Attacken im internen Netz startet und die Signaturlisten für die Angriffsszenarien wie ein Virenscanner automatisch als Update-Dateien vom Anbieter lädt.
Penetration Tests sind demgegenüber Handarbeit. Dienstleister wie System Security Schreiber (SySS), Pecos oder das "Tiger Team" des Trierer Instituts für Telematik versuchen sich gezielt als Hacker und nehmen sich dabei auch organisatorische Probleme vor. Sie arbeiten beispielsweise mit unangekündigtem "Social Engineering" und ermitteln, wie es um das Sicherheitsbewusstsein und die Kenntnisse der Mitarbeiter ihres Auftraggebers bestellt ist. "Gegenüber automatisierten Analysen haben wir außerdem den Vorteil, dass wir das, was wir finden, besser interpretieren können und so auch ungewöhnliche Probleme aufdecken und keine False Positives produzieren", erklärt Sebastian Schreiber, Geschäftsführer von SySS. "Gleichzeitig deckt unsere Analyse auch individuell programmierte Lösungen ab." Ein weiterer Aspekt, den maschinelle Analysen nicht bieten könnten, sei die Korrelation mit Faktoren der klassischen Sicherheit, beispielsweise der Zugänglichkeit von Gebäudekomplexen. "Ganz wichtig ist außerdem, dass wir gezielt Risikoanalyse betreiben können und im Gegensatz zu den Automaten wissen, ob eine Schwachstelle wirklich wichtige Informationen betrifft oder solche, die gar nicht besonders abgesichert werden müssen. Wir können zum Beispiel die Perspektive eines Spions einnehmen, der an den wichtigsten Dateien im Kundennetz interessiert ist."
Beide Verfahren haben Sinn
Für Schreiber haben beide Verfahren jeweils ihren eigenen Einsatzbereich. Dem stimmt auch Robert Christian, Geschäftsführer von Qualys Deutschland, zu: "Ein Angebot wie unseres kann ohne großen Aufwand benutzt werden und findet eine hohe Zahl von Schwachstellen", erklärt er. "Die Penetration-Tester liefern zwar exaktere Ergebnisse und können aufgrund ihrer Exploit-Versuche wirklich nachweisen, dass eine Schwachstelle auch eine echte Bedrohung darstellt - aber ihr Service kann im Normalfall bei weitem nicht so häufig in Anspruch genommen werden wie ein Auto-Scan und beschränkt sich oft auf die gezielte Erprobung einiger bestimmter Angriffstechniken."
Somit lässt sich folgendes Fazit ziehen: Unternehmen sollten beide Methoden in Betracht ziehen, denn sie ergänzen sich perfekt.