Unterstützung für die Risiko-Analyse
Das bieten Security-Assessment-Tools
Wesentliche Probleme bei der Entwicklung von IT-Sicherheitsrichtlinien sind die Aktualität und Vollständigkeit. Um aktuelle Policies für alle relevanten Bereiche der IT-Sicherheit erstellen zu können, müssen Unternehmen ihre tatsächlichen, aktuellen Risiken kennen und bewerten. Für diese wichtige Arbeit aber fehlen oft Zeit und Budget, wie beispielsweise die Kaspersky-Studie "Global Corporate IT Security Risks: 2013" herausfand.
- Next Generation Firewall
Sogenannte Next Generation Firewalls wie die Barracuda NG Firewalls verfügen über Funktionen zur Applikationserkennung und liefern den Administratoren zu zahlreichen Anwendungen Hinweise zur Risikoeinstufung. Als Risiko eingestufte Anwendungen lassen sich blockieren, ohne für den Nutzer den kompletten Internetzugriff zu verhindern. - Webfilter
Webfilter-Dienste wie der Barracuda Web Security Service bieten nicht nur die Möglichkeit, bestimmte Internetadressen zu erlauben oder zu blockieren. Die Zugriffsregelung kann zum Beispiel von der Zeit abhängig gemacht werden, so dass beispielsweise bestimmte Online-Dienste während der Arbeitszeit für die jeweiligen Nutzer nicht zugänglich sind. - Policy-Manager
Während URL- und Content-Filter das Aufrufen riskanter Seiten und Inhalte unterbinden können, erlaubt es die Application Control wie beispielsweise einer gateprotect Appliance GPZ, granularer vorzugehen und nur bestimmte Teile eines Dienstes oder einer Webseite zu blockieren. - Policy Manager
Policy-Manager wie F5 Networks Big-IP APM können den Standort eines Gerätes ermitteln, von dem aus ein Netzwerkzugriff erfolgen soll. Dadurch lassen sich bestimmte, als riskant eingestufte Regionen für den Zugriff sperren. - Security Appliances
Eine Security-Appliance wie aus der Dell SonicWALL SRA-Reihe kann die Zugriffsberechtigung auch von dem Sicherheitsstatus des zugreifenden Gerätes abhängig machen. Die Funktion End Point Control sorgt dann für die Blockade von Geräten, die nicht den definierten Gerätestatus entsprechen. Dazu werden unter anderem Firewall-Einstellung, Betriebssystemversion und installierte Sicherheitslösung auf dem Gerät geprüft und bewertet.
Unterstützung finden Unternehmen durch zumeist kostenlose Security-Assessment-Tools - das sind in aller Regel Online-Dienste, die auf unterschiedlichen Wegen bei der Ermittlung von Schwachstellen und Risiken in der IT helfen.
Die ToolsTools unterscheiden sich allerdings stark im Leistungsumfang und in der konkreten Hilfestellung. Im Folgenden werden deshalb mehrere Beispiele für Security-Assessment-Werkzeuge untersucht und Empfehlungen gegeben, was bei der Auswahl und Verwendung generell zu beachten ist. Alles zu Tools auf CIO.de
1. Mit dem Browser fängt es an
Foto: Deutsches Sicherheitsnetz e.V.
Wesentliche Bedrohungen für die IT-Sicherheit kommen aus dem Internet. Ein klassischer Angriffsweg besteht darin, Schwachstellen von Browsern und Browser-Erweiterungen auszunutzen. Es verwundert nicht, dass gerade für die Prüfung der Browser-Sicherheit zahlreiche Assessment-Tools existieren.
Beispiele sind der Browsercheck des Deutschen Sicherheitsnetz e.V., der Qualys BrowserCheck,Rapid7 BrowserScan und der Browser- und Plugincheck des Anti-Botnet Beratungszentrums. Diese und vergleichbare Browser-Tests richten sich an den einzelnen Internetnutzer und bieten Hinweise zur Aktualisierung von Browser und Plug-Ins.
Foto: Oliver Schonschek / Screenshot Mozilla Firefox
Aussagen zu möglichen Risiken auf Unternehmensebene sind möglich, wenn ein einheitlicher Browser und eine einheitliche Plug-In-Ausstattung vorgeschrieben sind. In diese Richtlinie sollte dann auch die regelmäßige oder automatische Aktualisierung des Browsers und der Erweiterungen aufgenommen werden.
Zudem bietet beispielsweise Qualys eine Business-Version für Browser-Tests an, die zentral gesteuert und ausgewertet werden kann. Administratoren erhalten so mittels Dashboard einen Überblick über die bestehende Browser- und Plug-In-Sicherheit.
2. Websites im Blick
Online-Risiken zu begegnen bedeutet auch, die eigene Website in den Blick zu nehmen. Ob diese verseucht und für Besucher zur Gefahr werden kann, zeigt zum Beispiel der Website-Test der Initiative-S. Wer ganze Web-Applikationen einem Sicherheitstest unterziehen möchte, kann das unter anderem mit dem Veracode Web Application Testing Tool tun.
Administratoren können die eigene Website auf typische Schwachstellen (siehe beispielsweise OWASP Top Ten Project) untersuchen und so testen, ob diese durch entsprechende Attacken gefährdet wäre. Ein Beispiel-Tool für Web-Administratoren ist Ratproxy. Solche Werkzeuge sollten aber nur Anwender mit genügend Erfahrung und ausschließlich für die eigene Website einsetzen.