zurück Blog
Mann betrachtet Tablet-Display mit Lupe

Ein Schwachstellenscan ist mehr als nur ein Scan

Die Zeiten, in denen Unternehmen IT-Security ganz unten auf ihre Prioritätsliste setzten, sind vorbei. In den letzten Jahren ist es mehr als deutlich geworden, dass Hackerangriffe kein medial aufgebauschter Hokuspokus sind, sondern eine reale, geschäftskritische Gefahr. Nicht zuletzt deswegen ist in unserer täglichen Arbeit mit Kunden das Thema Schwachstellenscan zum Dauerbrenner geworden. Was hat es damit genau auf sich und was sind unsere Erfahrungen aus den Einsätzen der letzten zwei Jahre?

Was unterscheidet Schwachstellenscan, Penetrationtest und Patchmanagement?

Veraltete Softwareversionen – inklusive des Betriebssystems samt essentieller Komponenten – stellen eine der wichtigsten Schwachstellen in der IT-Sicherheitsarchitektur eines Unternehmens dar. Auch ein solides Patchmanagement kann nicht immer garantieren, dass keine veralteten Softwareversionen zurückbleiben. Das liegt unter anderem daran, dass die Softwarehersteller mit den Updates manchmal hinterherhinken. Schwachstellenscans können die Lücken, die ein Patchmanagement hinterlässt, aufdecken. Im Gegensatz zu einem Penetrationstest stellt ein Schwachstellenscan auch nicht einen gezielten Angriff auf potentielle Lücken in bestimmten Systemen dar. Ein solcher Scan gleicht eher einem Vogelblick, der auf eine weitläufigere Weise Schwachstellen in der gesamten IT-Sicherheitsarchitektur sichtbar macht. Neben veralteten Softwareversionen deckt ein Schwachstellenscan so unter anderem auch unsichere Passwörter und Lücken in der Firewall auf (10-Punkte-Checkliste).

Die am häufigsten auftretenden Probleme

Von Firma zu Firma unterscheiden sich die aufgedeckten Schwachstellen. Dennoch stellen wir mit einiger Regelmäßigkeit fest, dass gerade in dem wichtigen Bereich der Microsoft Updates ein Verbesserungsbedarf besteht. Durch Folgescans können da signifikante Steigerungen in Puncto Sicherheit und Performance erzielt werden. Ein weiteres großes Problem sind veraltete Versionen von elementaren, häufig genutzten Drittanbieter-Tools, wie beispielsweise Java, Flash oder Reader. Diese Programme werden häufig vernachlässigt oder müssen in bestimmten Versionen auf den Systemen vorliegen, damit andere, wichtige Softwareanwendungen funktionieren. Generell finden wir durch unsere Erfahrung bei fast jedem Suchlauf die Schwachstellen und Konfigurationsprobleme, auch abseits von Microsoft Updates und Drittanbieter-Tools. Aus jedem Scan lernen wir schließlich etwas Neues dazu.

Ein automatisch erstellter Report nutzt dem Kunden wenig

Wenn wir Schwachstellenscans durchführen, überprüfen wir zwischen 200 und 3.000 Systeme, je nach Beschaffenheit und Größe des Unternehmens. Dabei fällt eine Menge Daten an, die gesammelt, kategorisiert und in einem Report zusammengefasst werden. Diese komplexen Reports allein, die zehn bis fünfzehn Tausend Seiten lang sein können, bieten dem Kunden allerdings keinen Mehrwert. Darum bereiten wir für den Kunden einen kompakten Bericht auf, den wir in einem Ergebnis-Workshop präsentieren. So hat der Kunde die wichtigsten Schwachstellen samt vorgeschlagenen Lösungen schnell im Blick und kann diese in seiner Umgebung umsetzen.

 

Wenn Ihnen dieser Artikel gefällt, sagen Sie es weiter!
1 Star2 Stars3 Stars4 Stars5 Stars (1 votes, average: 5,00 out of 5)
Loading...


Kommentarrichtlinien
Wenn Sie Kommentare auf dem Angebot hinterlassen, werden Daten wie bspw. IP-Adressen gespeichert. Dies geschieht zur Sicherheit der Anbieterin für den Fall, dass jemand im Bereich „Comments“ rechtlich unzulässige bzw. strafbare Inhalte hinterlässt (bspw. Beleidigungen etc.). Da die Anbieterin hier selbst in Anspruch genommen werden kann, ist sie an der Identität des Nutzers interessiert.

LESEN SIE AUCH

On Premise war gestern – das neue Arbeiten in der Cloud mehr
In den Unternehmen ist Blackberry wieder eine Macht mehr
Windows 10: Wie Sie die Datenschutz-Einstellungen ändern können mehr
Wann hatten Sie Ihre letzte Datenpanne? mehr

AKTUELLE ARTIKEL

Fröhliche Weihnachten und ein gutes neues Jahr!

Wir wünschen Ihnen und Ihren Familien an Weihnachten viel Freude und Spaß in angenehmer und entspannter Atmosphäre sowie einen guten Rutsch in ein erfolgreiches Jahr 2016. In diesem Jahr hat unsere Gesellschaft besonders die Flüchtlingskrise […]

mehr
Licht im Dunkel der Schatten-IT – Ein Kommentar zu Gartners Top 10 Security Technology 2014 mehr
Philipp Boos auf Fachtagung Mobile Device Management mehr
mod IT Services Tech-Day mit Dell und CONTECHNET im Mai mehr
Fachkenntnisse und Soft Skills mehr