Was ist eine Schwachstellenanalyse?

Was ist eine Schwachstellenanalyse?

Eine Schwachstellenanalyse hat einen festen Bestandteil im Security-Prozess. Mit dieser Analyse können Dienste und Technologien auf bereits bekannte Schwachstellen, nachhaltig untersucht werden. Ziel ist es, den Usern durch ein einfaches Benutzerinterface die Möglichkeit zu geben, ihre Systeme kontinuierlich zu überprüfen

Der Umfang solch einer Analyse ist die sicherheitstechnische Überprüfung sensibler Systeme, die durch ihre Erreichbarkeit aus dem Internet das Hauptangriffsziel von Hackern, Würmern und auch von Benutzerfehlern sind. Ziel ist die Evaluierung der Systeme, Herstellung eines umfassenden Überblicks über den Sicherheitsstatus und die Bereitstellung von Empfehlungen zur Optimierung der Sicherheit.

Die Inhalte und Schwerpunkte der Untersuchung umfassen folgende Aspekte:

  • Grundsätzliche Absicherung der Systeme
  • Erkennung und Verifizierung von Schwachstellen
  • Empfehlungen zur Behebung erkannter Schwachstellen
  • Darstellung von möglichen Konfigurationsfehlern

Die Bewertung von Risiken, welche durch gefundene Schwachstellen bestehen, erfolgt aufgrund von CVE-Bewertungen. Diese Einstufung ist als Richtwert zu verstehen. Ob die Beeinträchtigung relevant für das Unternehmen ist, hängt von dem Verwendungszweck des geprüften Systems ab. Dem Scan ist der Verwendungszweck und die Gewichtung eines Systems nie vollständig bekannt. Es kann deshalb erforderlich sein, die aufgezeigten Risiken intern anders zu werten.

Beispielsweise werden Denial-of-Service-Angriffe generell als Risikoklasse “Mittel” eingestuft, da der mögliche Geschäftsschaden unbekannt ist. Eine Ausnahme bilden hierbei Denial-of-Service-Angriffe gegen Router, da hierbei davon ausgegangen wird, dass ihr Ausfall die gesamte Netzwerk-Infrastruktur beeinträchtigt.

Es werden vier verschiedenen Risikostufen unterschieden, welche im Folgenden aufgeführt sind. Es kann vorkommen, dass Schwachstellen, welche anhand ihrer Beschreibung eindeutig einer Risikostufe zuzuordnen sind, dennoch anders eingestuft werden. Dies ist zum Beispiel der Fall, wenn sich durch die Kombination von Schwachstellen ein höheres oder geringeres Risiko ergibt oder eine Schwachstelle für ein bestimmtes System im Kontext kritischer betrachtet werden muss.

Risikoklasse "Hoch"

Eine Sicherheitslücke oder Fehlkonfiguration, durch welche ein Angreifer zum Beispiel:

  • das System unter seine Kontrolle bringen kann
  • die Mandantenfähigkeit einer Applikation kompromittieren kann
  • die Zugriffsrechte ausweiten kann
  • die Zugriffsbeschränkungen umgehen kann und somit an sensible Informationen gelangen kann
  • durch Cross Site Scripting Schadcode auf der Webseite ausführen kann
  • durch SQL Injection Datenbankstrukturen auslesen kann

Risikoklasse "Mittel"

Eine Sicherheitslücke oder Fehlkonfiguration, durch welche ein Angreifer zum Beispiel:

  • Kernfunktionen des Systems beeinträchtigen kann, das System selbst jedoch nicht weiter kompromittiert werden kann
  • an Informationen gelangen kann, welche für weitergehende Angriffe entscheidend sein könnten

Risikoklasse "Tief"

Durch die Sicherheitslücke können Informationen erlangt werden, die für weitere Angriffe nützlich sind. Diese Informationen erleichtern bzw. ermöglichen erst einen erfolgreichen Angriff. Sicherheitslücken, die detaillierte Informationen über das Internet zugänglich machen, müssen fallweise bewertet werden und können unter Umständen auch als Risiko “Medium” bewertet werden.

Risikoklasse "Information"

Eine Möglichkeit zur Verbesserung der aktuellen Konfiguration des Systems, um möglichen zukünftigen Angriffen vorzubeugen.

Wie können Sie Ihre Systeme auf Schwachstellen prüfen?

Möchten Sie Ihre Systeme auf Schwachstellen analysieren? Gerne beraten wir Sie umfangreich zu diesem Thema.

Jetzt Beratung anfordern

Oder lernen Sie AssetSec kennen: AssetSec ist unser selbst entwickeltes Tool zur kontinuierlichen Schwachstellenanalyse Ihrer Systeme.

Mehr zu AssetSec erfahren

Autor: Lennart Blom

Das könnte Sie auch interessieren