Schwachstellenbewertung und -analyse
Bei der Bewertung und Analyse von Schwachstellen geht es um das Bestimmen, Identifizieren, Klassifizieren und Priorisieren von Sicherheitslücken in Computern, Anwendungen und in Netzwerkgeräten. Unternehmen, die eine Schwachstellenanalyse durchführen oder durchführen lassen, erhalten damit essentielle Informationen über Vorgänge in ihrer Infrastruktur und über derzeit noch bestehende Risiken. Dadurch stärken sie nicht nur ihre Kenntnisse über mögliche Gefahren und Risiken. Sie lernen dabei auch, wie sie darauf reagieren können.
Eine Schwachstellenanalyse dient dazu, Bedrohungen und die damit zusammenhängenden Risiken zu identifizieren. In der Regel werden dafür automatisierte Werkzeuge wie Netzwerkscanner eingesetzt. Die gefundenen Ergebnisse werden dann in einem Bericht zusammengefasst.
Unternehmen jeder Größe und sogar Einzelpersonen, die einer steigenden Gefahr durch Cyberangriffe ausgesetzt sind, können von einer sorgsam umgesetzten Schwachstellenanalyse profitieren. Große Firmen und Unternehmen, die wiederholte Attacken erleben, haben jedoch die meisten Vorteile, wenn sie umfassende Scans auf Sicherheitslücken durchführen.
Da viele Schwachstellen von Hackern genutzt werden, um in fremde IT-Systeme und Anwendungen einzudringen, ist es für Unternehmen heutzutage unverzichtbar, Sicherheitslücken zu erkennen und möglichst schnell zu schließen, bevor ein Schaden entstehen kann. Eine umfassende und gründlich durchgeführte Schwachstellenanalyse kann zusammen mit einem geeigneten Managementprogramm Unternehmen dabei helfen, die Sicherheit ihrer IT-Systeme zu verbessern.
Wichtige Gründe für Schwachstellenanalysen
Eine Schwachstellenanalyse verschafft einem Unternehmen äußerst wichtige Informationen über vorhandene Sicherheitslücken in seiner IT-Umgebung. Sie ist darüber hinaus hilfreich, wenn es um die Bewertung der Risiken geht, die mit den gefundenen Schwachstellen einhergehen. Ein Unternehmen erhält durch eine Schwachstellenanalyse wesentliche Informationen über seine Systeme, die darin aktuell vorhandenen Sicherheitslücken sowie eine Einschätzung seines allgemeinen Risikos. Dadurch lässt sich die Wahrscheinlichkeit senken, dass es einem Cyberkriminellen gelingt, ein Unternehmen zu überrumpeln und in die Systeme einzudringen.
Verschiedene Arten von Schwachstellenanalysen
Schwachstellenanalysen sollen verschiedene Arten von Lücken in den genutzten Systemen oder im Netzwerk aufspüren. Das bedeutet, dass bei der Analyse meist mehrere unterschiedliche Tools, Scanner und Methoden genutzt werden, um alle Schwachstellen, Bedrohungen und Risiken zu identifizieren.
Zu den aktuell zur Verfügung stehenden Typen von Schwachstellen-Scans gehören die folgenden:
- Netzwerk-basierte Scans werden eingesetzt, um mögliche Angriffe auf das Firmennetz zu verhindern. Mit dieser Art von Analysen lassen sich Schwachstellen sowohl in verkabelten als auch in kabellosen Netzwerken erkennen.
- Host-basierte Scans werden genutzt, um Sicherheitslücken in Servern, Workstations und anderen Netzwerk-fähigen Geräten zu lokalisieren und zu beheben. Bei dieser Art von Untersuchungen werden meist auch Ports und Dienste untersucht, die auch bei Netzwerk-basierten Scans analysiert werden. Host-basierte Scans bieten aber einen tieferen Einblick in die Konfiguration und den jeweiligen Patch-Level der geprüften Systeme.
- WLAN-Scans der drahtlosen Infrastruktur eines Unternehmens konzentrieren sich dagegen auf mögliche Eintritts- und Angriffspunkte im Funknetz. Damit lässt sich überprüfen, ob eventuell fremde Access Points (APs), so genannte Rogue APs, im Netzwerk platziert wurden und ob das WLAN eines Unternehmens insgesamt sicher konfiguriert ist.
- Application-Scans werden verwendet, um zum Beispiel Webseiten auf bereits bekannte Schwachstellen zu testen oder um mangelhafte Konfigurationen in Netzwerk- oder Webanwendungen zu finden.
- Database-Scans können genutzt werden, um unsichere Stellen in den Datenbanken eines Unternehmens zu identifizieren. Auf diese Weise lassen sich beispielsweise auch die gefürchteten SQL-Injection-Angriffe verhindern.
Schwachstellenanalysen vs. Penetrationstests
Die meisten Analysen auf Schwachstellen enthalten eine Pentest-Komponente, um Sicherheitslücken in einem Unternehmen aufzudecken. Manche der dabei identifizierten Probleme lassen sich mit normalen Netzwerk- oder System-Scans nicht aufspüren. Im englischen Sprachgebrauch wird dafür auch die Abkürzung VAPT verwendet. Sie steht für eine Kombination aus Vulnerability Assessment und Penetration Testing.
Das ändert aber nichts daran, dass ein reines Durchführen von Pentests als Schwachstellenanalyse nicht ausreicht, sondern dass es sich dabei um einen separaten Prozess handelt. Eine Schwachstellenanalyse dient dazu, prekäre Punkte in einem Netzwerk aufzudecken und um geeignete Gegenmaßnahmen zu finden. So lassen sich die Risiken senken oder sogar komplett eliminieren.
Bei einer Schwachstellenanalyse werden automatisierte Netzwerkscanner eingesetzt. Die Ergebnisse werden dann in einem Bericht aufgeführt, der sich darauf konzentriert, einem Unternehmen möglichst alle Schwachstellen aufzulisten, die behoben werden müssen. Es geht dabei aber nicht darum, bestimmte Angriffsziele oder auch -szenarien zu untersuchen.
Unternehmen sollten Schwachstellenanalysen in regelmäßigen Abständen selbst oder durch einen Dienstleister durchführen lassen. Nur so können sie ihre Netzwerke und Systeme auf einem sicheren Stand halten. Das gilt insbesondere dann, wenn Änderungen vorgenommen werden. So sollte erneut eine Schwachstellenanalyse durchgeführt werden, wenn zum Beispiel neue Dienste hinzugefügt, neue Netzwerkgeräte installiert oder wenn neue Ports geöffnet werden.
Im Gegensatz dazu geht es bei einem Penetrationstest nicht nur darum, Schwachstellen im Netzwerk zu finden. Es wird auch aktiv versucht, sie – kontrolliert und ohne Schaden anzurichten – auszunutzen. Auch wenn sie manchmal in Verbindung mit Schwachstellenanalysen durchgeführt werden, soll mit Pentests herausgefunden werden, ob die erkannte Sicherheitslücke auch wirklich besteht und ob sie von einem Angreifer für seine Zwecke missbraucht werden kann. Es wird also versucht, mit einem Pentest herauszufinden, ob durch eine erkannte Schwachstelle ein potentieller Schaden auch wirklich an einer Anwendung oder am Netzwerk entstehen kann.
Ein weiterer Unterschied ist, dass Schwachstellenanalysen in der Regel komplett automatisiert durchgeführt werden, um eine möglichst breite Palette an nicht gepatchten Sicherheitslücken zu erkennen. Penetrationstests bestehen dagegen meist sowohl aus automatischen als auch aus manuell durchgeführten Tests. So können sich die Tester intensiver mit den erkannten Problemen befassen und versuchen, darüber zum Beispiel einen Zugriff auf das Firmennetz zu erlangen.