Einbruch in eigener Sache

Bequeme Lückensuche

Das automatische Audit hat technische Grenzen:

- Die Scanner können nur nach bereits bekannten Lücken fahnden.

- Zwischen der Entdeckung einer Lücke und der Integration der Signatur in die Scan-Engine vergeht eine gewisse Zeit.

- Die Systeme untersuchen nur Standardanwendungen und keine Individualsoftware, sie haben es schwer mit komplexen Web-Applikationen.

- Nur die Technik steht auf dem Prüfstand, nicht mögliches Fehlverhalten von Anwendern.

Zugleich hat die Automatisierung aber auch Vorteile:

- Die meisten erfolgreichen Hacker nutzen bekannte technische Sicherheitslücken, die durch automatische Audits schnell und preiswert gefunden werden können.

- Automatische Scans lassen sich häufig wiederholen, was in großen Netzen, in denen sich der Hard- und Softwarebestand ständig ändert, von großer Bedeutung ist.

Die Aktualität der Vulnerability-Scanner muss ähnlich wie bei Virenscannern durch Signatur-Updates erhalten werden. Der Anbieter Qualys - seine Datenbank umfasst etwa 2000 Sicherheitslücken von zirka 300 Anwendungen auf 20 Betriebssystemen - versucht dieses Problem zu entschärfen, indem er keine Programme für den lokalen Einsatz offeriert, sondern seine Dienste übers Web anbietet und die Audits von zentralen Engines durchführen lässt. Die Ergebnisse werden auf den Qualys-Servern verschlüsselt gespeichert, sodass nur der jeweilige Anwender die Daten lesen kann und nicht einmal ein Mitarbeiter des Schwachstellenanalyse-Unternehmens. Kein prinzipielles Problem mehr ist der Einsatz dieser Technik hinter der Unternehmens-Firewall. Der Anbieter hat für diesen Bereich eine Appliance auf den Markt gebracht, die ihre Test-Attacken im internen Netz startet und die Signaturlisten für die Angriffsszenarien wie ein Virenscanner automatisch als Update-Dateien vom Anbieter lädt.

Penetration Tests sind demgegenüber Handarbeit. Dienstleister wie System Security Schreiber (SySS), Pecos oder das "Tiger Team" des Trierer Instituts für Telematik versuchen sich gezielt als Hacker und nehmen sich dabei auch organisatorische Probleme vor. Sie arbeiten beispielsweise mit unangekündigtem "Social Engineering" und ermitteln, wie es um das Sicherheitsbewusstsein und die Kenntnisse der Mitarbeiter ihres Auftraggebers bestellt ist. "Gegenüber automatisierten Analysen haben wir außerdem den Vorteil, dass wir das, was wir finden, besser interpretieren können und so auch ungewöhnliche Probleme aufdecken und keine False Positives produzieren", erklärt Sebastian Schreiber, Geschäftsführer von SySS. "Gleichzeitig deckt unsere Analyse auch individuell programmierte Lösungen ab." Ein weiterer Aspekt, den maschinelle Analysen nicht bieten könnten, sei die Korrelation mit Faktoren der klassischen Sicherheit, beispielsweise der Zugänglichkeit von Gebäudekomplexen. "Ganz wichtig ist außerdem, dass wir gezielt Risikoanalyse betreiben können und im Gegensatz zu den Automaten wissen, ob eine Schwachstelle wirklich wichtige Informationen betrifft oder solche, die gar nicht besonders abgesichert werden müssen. Wir können zum Beispiel die Perspektive eines Spions einnehmen, der an den wichtigsten Dateien im Kundennetz interessiert ist."