Unterstützung für die Risiko-Analyse
Das bieten Security-Assessment-Tools
Fazit
Foto: Trend Micro
Die zahlreichen Security-Assessment-Tools, die es auf dem IT-Sicherheitsmarkt bereits gibt, bieten durchaus wertvolle Hilfestellungen bei der Suche nach Risiken, für die es entsprechende IT-Sicherheitsrichtlinien geben sollte.
Allerdings sollten Unternehmen nicht vorschnell scheinbar nützliche Online-Dienste verwenden, um ihre IT nach Schwachstellen zu durchsuchen. Es sollte immer zuerst überprüft werden, wer der Anbieter ist, was mit den eingegebenen oder ermittelten Daten geschieht (Nutzungsbedingung, Datenschutzerklärung) und ob von dem (angeblichen) Sicherheitstool nicht selbst eine Bedrohung ausgeht. Statt eines hilfreichen System-Scans könnte der Online-Test schließlich auch Schadsoftware installieren oder nach vertraulichen Informationen suchen wollen.
Es ist ratsam, vor der Verwendung von Security-Assessment-Tools eine spezielle IT-Sicherheitsrichtlinie zum Umgang mit diesen Werkzeugen einzusetzen. Dazu gehören die erwähnte Prüfung von Impressum, Nutzungsbedingung und Datenschutzerklärung sowie eine Kontrolle, ob sich hinter dem Online-Dienst eine schadhafte Webseite verbirgt (beispielsweise durch Verwendung eines Link-Scanners). Auf keinen Fall sollten die eigenen Sicherheitslösungen deaktiviert werden, um angeblich den Sicherheitstest zu ermöglichen. Dann würde die Suche nach Risiken selbst zum gefährlichen Risiko.
Übersichtstabelle: Security Assessment Tools
Die folgende Tabelle zeigt nochmals die verschiedenen Typen von Security Assessment Tools und nennt entsprechende Beispiele.
|
Security Assessment Bereich |
Beispiellösung |
|
Browser-Assessment |
|
|
Web-Assessment |
Webseiten-Test der Initiative-S |
|
System-Assessment |
|
|
Code-Assessment |
|
|
Nutzer-Assessment |
|
|
Enterprise-Assessment |
Oracle Enterprise Data Security Assessment IT Security Assessment Tool der Aberdeen Group |
|
Special-Interest-Assessment |
Trend Micro Assessment-Tools (Cyber, Cloud, Mobile) |