Security-Assessment-Tools im Überblick

Wesentliche Probleme bei der Entwicklung von IT-Sicherheitsrichtlinien sind die Aktualität und Vollständigkeit. Um aktuelle Policies für alle relevanten Bereiche der IT-Sicherheit erstellen zu können, müssen Unternehmen ihre tatsächlichen, aktuellen Risiken kennen und bewerten. Für diese wichtige Arbeit aber fehlen oft Zeit und Budget, wie beispielsweise die Kaspersky-Studie Global Corporate IT Security Risks: 2013 herausfand.

Unterstützung finden Unternehmen durch zumeist kostenlose Security-Assessment-Tools - das sind in aller Regel Online-Dienste, die auf unterschiedlichen Wegen bei der Ermittlung von Schwachstellen und Risiken in der IT helfen.

Die Tools unterscheiden sich allerdings stark im Leistungsumfang und in der konkreten Hilfestellung. Im Folgenden werden deshalb mehrere Beispiele für Security-Assessment-Werkzeuge untersucht und Empfehlungen gegeben, was bei der Auswahl und Verwendung generell zu beachten ist.

Next Generation Firewall
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung. Als Risiko eingestufte Anwendungen lassen sich blockieren, ohne für den Nutzer den kompletten Internetzugriff zu verhindern.

Webfilter
Webfilter-Dienste wie der Barracuda Web Security Service bieten nicht nur die Möglichkeit, bestimmte Internetadressen zu erlauben oder zu blockieren. Die Zugriffsregelung kann zum Beispiel von der Zeit abhängig gemacht werden, so dass beispielsweise bestimmte Online-Dienste während der Arbeitszeit für die jeweiligen Nutzer nicht zugänglich sind.

Policy-Manager
Während URL- und Content-Filter das Aufrufen riskanter Seiten und Inhalte unterbinden können, erlaubt es die Application Control wie beispielsweise einer gateprotect Appliance GPZ, granularer vorzugehen und nur bestimmte Teile eines Dienstes oder einer Webseite zu blockieren.

Policy Manager
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll. Dadurch lassen sich bestimmte, als riskant eingestufte Regionen für den Zugriff sperren.

Security Appliances
Eine Security-Appliance wie aus der Dell SonicWALL SRA-Reihe kann die Zugriffsberechtigung auch von dem Sicherheitsstatus des zugreifenden Gerätes abhängig machen. Die Funktion End Point Control sorgt dann für die Blockade von Geräten, die nicht den definierten Gerätestatus entsprechen. Dazu werden unter anderem Firewall-Einstellung, Betriebssystemversion und installierte Sicherheitslösung auf dem Gerät geprüft und bewertet.

1. Mit dem Browser fängt es an

Wesentliche Bedrohungen für die IT-Sicherheit kommen aus dem Internet. Ein klassischer Angriffsweg besteht darin, Schwachstellen von Browsern und Browser-Erweiterungen auszunutzen. Es verwundert nicht, dass gerade für die Prüfung der Browser-Sicherheit zahlreiche Assessment-Tools existieren.

Beispiele sind der Browsercheck des Deutschen Sicherheitsnetz e.V., der Qualys BrowserCheck,Rapid7 BrowserScan und der Browser- und Plugincheck des Anti-Botnet Beratungszentrums. Diese und vergleichbare Browser-Tests richten sich an den einzelnen Internetnutzer und bieten Hinweise zur Aktualisierung von Browser und Plug-Ins.

Aussagen zu möglichen Risiken auf Unternehmensebene sind möglich, wenn ein einheitlicher Browser und eine einheitliche Plug-In-Ausstattung vorgeschrieben sind. In diese Richtlinie sollte dann auch die regelmäßige oder automatische Aktualisierung des Browsers und der Erweiterungen aufgenommen werden.

Zudem bietet beispielsweise Qualys eine Business-Version für Browser-Tests an, die zentral gesteuert und ausgewertet werden kann. Administratoren erhalten so mittels Dashboard einen Überblick über die bestehende Browser- und Plug-In-Sicherheit.

2. Websites im Blick

Online-Risiken zu begegnen bedeutet auch, die eigene Website in den Blick zu nehmen. Ob diese verseucht und für Besucher zur Gefahr werden kann, zeigt zum Beispiel der Website-Test der Initiative-S. Wer ganze Web-Applikationen einem Sicherheitstest unterziehen möchte, kann das unter anderem mit dem Veracode Web Application Testing Tool tun.

Administratoren können die eigene Website auf typische Schwachstellen (siehe beispielsweise OWASP Top Ten Project) untersuchen und so testen, ob diese durch entsprechende Attacken gefährdet wäre. Ein Beispiel-Tool für Web-Administratoren ist Ratproxy. Solche Werkzeuge sollten aber nur Anwender mit genügend Erfahrung und ausschließlich für die eigene Website einsetzen.

3. Systemanalyse auf Knopfdruck

Neue IT-Risiken können zum Beispiel dann auftreten, wenn eine neue Software installiert wurde, die auch potenziell neue Angriffsflächen bietet. Ebenso entstehen Sicherheitslücken durch fehlende Patches und falsche Sicherheitskonfigurationen. Security-Assessment-Tools wie Windows Attack Surface untersuchen den Einfluss einer Installation auf das Betriebssystem, indem das Windows-System vor und nach der Installation verglichen wird.

Der Microsoft Baseline Security Analyzer unterstützt Administratoren dabei, Windows-Systeme nach fehlerhaften Sicherheitseinstellungen und fehlenden Sicherheits-Updates zu durchsuchen.

4. Der Fehler steckt im Quellcode

Sicherheitslücken beginnen in aller Regel damit, dass bei der Softwareentwicklung eine Sicherheitsfunktion vergessen oder ein Programmfehler begangen wurde. Ein Security Assessment auf Basis des Programm-Codes bietet zum Beispiel HP Fortify on Demand, wobei der Nutzer die Tests startet und die Resultate der auswertenden Sicherheitsexperten innerhalb einer definierten Zeitspanne erhält. Veracode bietet eine Reihe von Code-Assessments - darunter die Veracode Static Analysis.

Solche Assessments richten sich an Entwickler und interne Tester und zeigen, an welchen Stellen der Quellcode noch verwundbar ist. Sie können eine wichtige Ergänzung der internen Qualitätssicherung darstellen und den Bedarf an neuen oder geänderten Entwicklungsrichtlinien aufzeigen.

5. Den Nutzer nicht vergessen

Ein wesentliches Sicherheitsrisiko stellen Nutzer dar, die die Sicherheitsrichtlinien nicht kennen oder nicht umsetzen - ob unwissentlich oder vorsätzlich. Zumindest gegen ersteres können Tools helfen. Ein entsprechendes Angebot kommt zum Beispiel von SANS: CyberTalent Assessments - Wissenstests, die für Beschäftigte wie für Bewerber und Dienstleister gleichermaßen geeignet sind. Auch das Microsoft Security Assessment Tool bietet einen Fragenbereich, bei dem die Mitarbeiter, ihre Awareness und die für sie geplanten Schulungen im Fokus stehen.

6. Befragung statt Angriff

Security-Assessment-Tools unterscheiden sich nicht nur in der Zielgruppe, sondern auch darin, wie sie den Sicherheitsstatus im Unternehmen ermitteln, ob sie einen Fragenkatalog dazu anbieten, die Antworten auswerten und ob sie sogar einen Angriff simulieren.

Eine Befragung im Bereich IT-Sicherheit bieten zum Beispiel das Oracle Enterprise Data Security Assessment, das IT Security Assessment Tool der Aberdeen Group, der DsiN-Sicherheitscheck und das Microsoft Security Assessment Tool mit Fragen aus den Themenbereichen Infrastruktursicherheit, Anwendungssicherheit, Betriebssicherheit und Mitarbeitersicherheit. Im Anschluss an die Beantwortung liefern die Tools eine Auswertung mit technisch-organisatorischen Handlungsempfehlungen im Bereich IT-Sicherheit.

Ebenfalls eine Befragung zur IT-Sicherheit mit anschließender Auswertung bietet RiskRater. Teilnehmende Unternehmen erhalten ein Benchmarking darüber, wie das eigene Unternehmen seine IT-Sicherheit im Vergleich zu anderen Teilnehmern im Griff hat.

Trend Micro bietet verschiedene Assessment-Tools, die Befragungen und Auswertungen für die Bereiche Internetsicherheit, Cloud-Sicherheit und mobile Sicherheit vornehmen. Fragen und Auswertungen speziell im Bereich Mobile Security bietet auch das Tool Secure Mobility Hot Zone von Mobile Work Exchange. Von HP gibt es eine Befragung als Assessment-Tool zum Thema Sicheres Drucken.

Übersichtstabelle: Security Assessment Tools

Die folgende Tabelle zeigt nochmals die verschiedenen Typen von Security Assessment Tools und nennt entsprechende Beispiele.

Security Assessment Bereich	Beispiellösung
Browser-Assessment	Browsercheck des Deutschen Sicherheitsnetz e.V. Qualys BrowserCheck Rapid7 BrowserScan Browser- und Plugincheck des Anti-Botnet Beratungszentrums
Web-Assessment	Webseiten-Test der Initiative-S Veracode Web Application Testing Tool Ratproxy
System-Assessment	Windows Attack Surface Microsoft Baseline Security Analyzer
Code-Assessment	HP Fortify on Demand Veracode Static Analysis
Nutzer-Assessment	SANS Institute CyberTalent Assessment Microsoft Security Assessment Tool
Enterprise-Assessment	Oracle Enterprise Data Security Assessment IT Security Assessment Tool der Aberdeen Group DsiN-Sicherheitscheck Microsoft Security Assessment Tool RiskRater
Special-Interest-Assessment	Trend Micro Assessment-Tools (Cyber, Cloud, Mobile) Secure Mobility Hot Zone HP Print Security Assessment

Fazit

Die zahlreichen Security-Assessment-Tools, die es auf dem IT-Sicherheitsmarkt bereits gibt, bieten durchaus wertvolle Hilfestellungen bei der Suche nach Risiken, für die es entsprechende IT-Sicherheitsrichtlinien geben sollte.

Allerdings sollten Unternehmen nicht vorschnell scheinbar nützliche Online-Dienste verwenden, um ihre IT nach Schwachstellen zu durchsuchen. Es sollte immer zuerst überprüft werden, wer der Anbieter ist, was mit den eingegebenen oder ermittelten Daten geschieht (Nutzungsbedingung, Datenschutzerklärung) und ob von dem (angeblichen) Sicherheitstool nicht selbst eine Bedrohung ausgeht. Statt eines hilfreichen System-Scans könnte der Online-Test schließlich auch Schadsoftware installieren oder nach vertraulichen Informationen suchen wollen.

Es ist ratsam, vor der Verwendung von Security-Assessment-Tools eine spezielle IT-Sicherheitsrichtlinie zum Umgang mit diesen Werkzeugen einzusetzen. Dazu gehören die erwähnte Prüfung von Impressum, Nutzungsbedingung und Datenschutzerklärung sowie eine Kontrolle, ob sich hinter dem Online-Dienst eine schadhafte Webseite verbirgt (beispielsweise durch Verwendung eines Link-Scanners). Auf keinen Fall sollten die eigenen Sicherheitslösungen deaktiviert werden, um angeblich den Sicherheitstest zu ermöglichen. Dann würde die Suche nach Risiken selbst zum gefährlichen Risiko. (cvi)