Ein Schwachstellenscan überprüft möglichst viele IT-Systeme möglichst schnell auf ihre Schwächen. Damit erhöhen Unternehmen unaufwendig den Standard ihrer IT-Sicherheit.Administratoren sorgen dafür, dass ihre IT-Systeme auf dem neuesten Stand sind. Jedenfalls so gut wie möglich, denn irgendwas rutscht immer durch. Das hat verschiedene Gründe: Software-Hersteller liefern ihre Updates manchmal spät aus, vielleicht arbeitet das Windows-Patch-Management nicht hundertprozentig reibungslos, mitunter sind Server oder Peripheriegeräte fehlerhaft konfiguriert. Um zu prüfen, was den IT-Administratoren durchgerutscht ist, bietet sich ein Schwachstellenscan an. Er checkt in kurzer Zeit möglichst viele IT-Systeme durch.
Dieser Scan überprüft IT-Systeme mit einer speziellen Software automatisch auf Schwachpunkte. Er ist wesentlich unaufwendiger als ein
Penetrationstest oder der Einsatz eines
White Hat Hackers und doch ausgesprochen sinnvoll. Beim Einsatz des Schwachstellenscans werden Zehntausende von möglichen Schwachstellen untersucht.
Bei dieser Analyse werden alle Geräte innerhalb des Unternehmensnetzwerks gescannt, unabhängig von Betriebssystem und Hersteller. Der Scan zeigt, welche Geräte auf einer veralteten Version laufen und wo sich daher Sicherheitslücken öffnen. Indirekt zeigt er damit zugleich, wie gut das Patch-Management – also das regelmäßige Aktualisieren zum Nachbessern der Software – funktioniert.
Schwachstellenscan: invasiv oder nicht?
Schwachstellenscans gibt es in zwei Varianten: invasiv und nicht invasiv.
- Bei der nicht invasiven Analyse wird das Netzwerk nur gescannt. So wird beobachtet, wie sich ein fremdes Gerät im Netz verhält und was es sieht. Der Nachteil dieses Vorgehens: Es könnten „False Positives“ gemeldet werden, also angebliche Sicherheitslücken. Zum Beispiel wird das Nutzen einer alten Betriebssystemversion als Sicherheitslücke gemeldet, auch wenn diese Version bewusst genutzt wird, um die Kompatibilität zu anderen Systemen zu wahren.
Bei der invasiven Analyse werden Exploits eingesetzt. Diese Programme werden extra geschrieben, um bekannte Schwachstellen auszunutzen. So weisen sie nach, wie die IT-Systeme angreifbar sind. Ihr Nachteil: Anders als nicht invasive Scans können sie nicht parallel zum Tagesgeschäft laufen.
Erst planen, dann loslegen
„Einfach mal so“ sollte ein Schwachstellenscan niemals gestartet werden. Im Vorfeld sollten die IT-Administratoren eingebunden werden: Sie kennen die Systeme am besten und können eventuelle Probleme beim Scanning schon im Vorfeld benennen. Sie wissen auch, wann (nachts, am Wochenende) ein Scan die Systeme möglichst wenig beeinträchtigt. Ebenfalls im Vorfeld muss geklärt werden, ob die Bereiche der IT-Infrastruktur, die von externen Dienstleistern betrieben werden (etwa als Hosting- oder Cloud-Lösung), ebenfalls überprüft werden sollen. Rechtlich ist das nur möglich, wenn diese Dienstleister explizit einwilligen.
Jeder Schwachstellenscan sorgt für eine riesige Menge an Informationen. Das meiste davon ist unkritisch und den Administratoren bereits bekannt. Trotzdem ist es mühselig, aus den Ergebnissen eine „Und jetzt?“-Liste zu erstellen und zu priorisieren. Hier können externe Experten beraten.
Ein Scan sollte kein einmaliges Erlebnis bleiben. Sein Nutzen zeigt sich vor allem, wenn er regelmäßig wiederholt wird. Laufend ermittelte Kennzahlen erlauben Vergleiche und das Erkennen von Trends und ermöglichen schließlich Vorhersagen – zugleich sinkt der Aufwand. So lässt sich ein dauerhaftes Schwachstellen-Management etablieren.