Seminararbeit. Security Scanner. Tobias Vötisch (10730) 03Inf2

Transkript

1 Seminararbeit Security Scanner Tobias Vötisch (10730) 03Inf2

2 Inhaltsverzeichnis 1 Einleitung und die alles umfassende Frage "Warum?" 1.1 Definition des Begriffs "hacken" 1.2 Sicherheitslücken im Internet 1.3 potentielle Angriffsziele 2 Security Scanning: Theorie zum Einsatz von Security Scannern in Unternehmen 2.1 Security Scanning als Element einer Sicherheitsstrategie 2.2 Vor einem Scan: grosse / kleine Rechnernetze zentrale / dezentrale Scans Verantwortlichkeiten bei einem Scan die Scan-Berechtigungen die Untersuchungszeitpunkte 2.3 Nach einem Scan: Berichte Massnahmen 3 Security Scanner 3.1 Terminologie 3.2 Funktionsweise eines Security Scanners 3.3 Nessus Security Scanner (Version 3) 4 Fazit 5 Quellen und weiterführende Links

3 1 Einleitung und die alles umfassende Frage "Warum?" "Warum?" gibt es Security Scanner? Welche Gefahren sich hinter mangelhaft geschützten Rechnern verbergen, hat der amerikanische Computerexperte Lance Spitzner mit dem so genannten Honeynet-Projekt gezeigt (der Name Honeynet bezieht sich auf eine Honigtopf-Falle). Das Projekt stellt Server, die ganz bewusst markante Sicherheitsmängel aufweisen, als Köder ins Internet und überwacht diese genauestens. Das Ergebnis: Spitzner wartete durchschnittlich etwa acht Stunden, bis sich ein nicht autorisierter Eindringling Zutritt zu einem der Rechner verschaffte. Macht man sich nun bewusst, dass auch in vielen Unternehmen und Behörden Systeme am Netz sind, welche unzureichend geschützt sind, so wird das Szenario erschreckend: Ungebetene Eindringlinge könnten auf diese Weise ganze Firmennetze für Stunden lahm legen, auf sicherheitsrelevante Daten zugreifen, Dateien beliebig verändern oder löschen. Und die Techniken der Hacker werden immer tückischer, so dass ein ständiger Wettlauf zwischen Softwarehersteller, Sicherheitsfirmen und Hackern entsteht. Wenn eine Sicherheitslücke ausfindig gemacht und der nötige Patch, um diese zu schliessen, installiert wurde, versuchen Hacker diesen wieder zu umgehen. Aber woher kennt man mögliche Sicherheitslücken und wie schliesst man diese? Für diese Art der Systemüberprüfung sind spezielle Diagnosetools unverzichtbar. Sie liefern wertvolle Ergebnisse und verschaffen auch arbeitsökonomische Vorteile. Doch Vorsicht: Diagnosetools verfügen über gravierende Unterschiede, z.b. im Hinblick auf: - ihre Wirkungsprinzipien - ihren technischen sowie thematischen Fokus - ihre Qualität der Schwachstellenidentifizierung und -analyse Zudem bieten sie definitiv keine allumfassende Lösung. Zur Durchführung effektiver Sicherheitsprüfungen sind erfahrene Experten notwendig, um nicht nur sämtliche Schwachstellen zu finden, sondern diese darüber hinaus auch bewerten und durch Empfehlungen geeigneter Gegenmaßnahmen effizient beseitigen zu können. Zwar können Systeme mit geeigneter Software (Firewalls / Virenscanner etc.) Angreifer abwehren, doch öffnen sich durch installierte Dienste und Applikationen wieder andere Möglichkeiten für das Eindringen nicht erwünschter Personen / Programme.

4 Security Scanner sind solche speziellen Diagnosetools mit welchen Sicherheitslücken aufgespürt und geschlossen werden können. Ein Security Scanner greift in der Regel auf eine interne Datenbank mit vorgefertigten Intrusion-Routinen (Intrusion => engl. Eindringen) zu und untersucht mittels dieser Scripte das System auf bekannte Sicherheitslücken. Nach dem scan wird vom Programm selber ein Report angefertigt, der die Resultate aufbereitet präsentiert. Zu bedenken ist jedoch, dass ein Security Scanner nur so gut ist, wie auch die vorgefertigten Routinen. Er kann bekannte Sicherheitslücken aufdecken, ist aber nie so intelligent wie ein Hacker. Darum sollten security-scans regelmässig und kontinuierlich durchgeführt werden. 100%igen Schutz vor Angreifern bieten Security Scanner nicht, sie zeigen allenfalls auf, ob bekannte Sicherheitslücken auf dem System vorhanden sind. 1.1 Definition des Begriffs "hacken" In der Grundbedeutung bezeichnet Hacken das Teilen oder Spalten eines Gegenstandes. Von dieser Grundbedeutung abgeleitet bezeichnet es das Eindringen in Computersysteme Hier einige Beispiele: - Der Eindringling erhält Zugang, aber nicht mehr (Zugang wird hier definiert als einfacher unautorisierter Eintritt in ein Netzwerk, das mindestens ein Login und ein Passwort fordert). - Der Eindringling erhält Zugang und zerstört, verfälscht oder ändert Daten. - Der Eindringling erhält Zugang und übernimmt die Kontrolle über einen Teil des Systems, der zu einer bestimmten Abteilung gehört, oder über das ganze System und verweigert möglicherweise selbst privilegierten Benutzern den Zugang. - Der Eindringling erhält keinen Zugang, fälscht aber Nachrichten des Systems - Der Eindringling erhält keinen Zugang, führt aber böswillige Prozesse durch, die das System dazu bringen abzustürzen, neu zu booten, nicht mehr zu reagieren oder auf eine andere Art und Weise seinen Arbeitsablauf zu unterbrechen, sei es auf Dauer oder vorübergehend.

5 1.2 Sicherheitslücken im Internet Tatsache ist, das Internet ist nicht sicher. Jeden Monat bahnen sich Hacker einen Weg durch einen weiteren Sicherheitsmechanismus, der als Industriestandard gilt. Aufgrund der hohen Komplexität ist das Internet von unzähligen Funktionsfehlern durchsetzt und Werkzeuge zum Angreifen von Computern (für so genannte Script Kiddies) sind im Internet genügend vorhanden und können ohne Probleme herunter geladen werden. Es gibt unzählige Webseiten, auf welchen man sich verschiedenster Tools, Scripte oder Exploits zum penetrieren (Penetration (lat. penetrare = eindringen, durchdringen) bezeichnet das Eindringen einer Sache in eine andere -Wikipedia-) eines Systems bedienen kann. Es gibt vor allem drei Gründe, die zu Sicherheitslücken im Internet führen können: - Ungenügende Konfiguration von Software und Betriebssystemen - Systemfehler oder unzulängliche Reaktionen der Softwarehersteller / Administratoren - Ungenügende Schulung der Öffentlichkeit 1.3 potentielle Angriffsziele Prinzipiell ist jeder der eine Verbindung mit dem Internet hergestellt ein potentielles Angriffsziel, d.h. nicht nur grosse Unternehmen und Bereiche der Regierungen, sondern auch der private Bereich und kleinere Büros sind gefährdet, in welchem sich die Anwender oftmals gar nicht bewusst sind, welche Gefahren mit einem Internet-Zugang verbunden sind. Dabei können auf dem privaten PC durchaus schützenswerte Daten liegen wie etwa Passwörter für kostenpflichtige Online-Zugänge, Lizenznummern gekaufter Software und womöglich auch die Datenbasis einer Homebanking- Software.

6 2 Security Scanning: Theorie zum Einsatz von Security Scannern in Unternehmen Um die Sicherheit in einem unternehmen zu gewährleisten ist mehr von Nöten als nur ein einmaliger scan des Systems. Um ein Unternehmen vor Angreifern halbwegs sicher zu Schützen ist der regelmässige Einsatz von Security Scannern in Verbindung mit ausführlichen Reports, dem beheben der Schwachstellen sowie weiteren Tests notwendig. Somit ist wirkungsvolles security-scanning viel mehr (und kostenintensiver) als nur das reine einsetzen eines Scanners und das Erzeugen der zugehörigen Reports. Grundlage für die erfolgreiche Einbindung von Sicherheitslösungen mit dem dazugehörigen Einsatz von Werkzeugen wie z.b. Security Scannern ist immer eine unternehmensspezifische Sicherheitsstrategie. Die Durchführung von security-scans bzw. der Einsatz von Scannern darf in Bezug auf die Informatik-Sicherheit in einem Unternehmen nie losgelöst betrachtet werden. Für die Sicherheit entscheidend ist hier die gesamtheitliche Sicherheitsstrategie, in dem der Einsatz eines solchen Werkzeuges eingebettet ist (denn auch hier gilt: Eine Kette ist nur so stark, wie ihr schwächstes Glied). Der beste Security Scanner nützt nichts, wenn sein Einsatz planlos und nach nicht genau definierten Regeln erfolgt, die wiederum aus der übergreifenden Sicherheitsstrategie abgeleitet werden. Wenn ein Unternehmen zum Aufdecken von Schwachstellen in ihren Netzwerken auf den Einsatz eines Security Scanners zurückgreift, so steht die eigentliche Durchführung der scans am Schluss einer ganzen Kette von verschiedenen Einflussfaktoren. Um ein wirklich repräsentatives Abbild der Verwundbarkeit der eigenen Systeme zu erhalten, ist in der Vorbereitung und Planung eines scans das Berücksichtigen diverser Faktoren und Vorgaben zwingend, dass heisst so wichtig, wie die Wahl eines geeigneten Scanners und der richtigen Konfiguration und Bedienung dessen, ist, so wichtig ist auch die richtige Planung des Scanner-Einsatzes. Zu den zu berücksichtigenden Faktoren und Bedingungen für effiziente scans. mehr unter Punkt 2.2.

7 2.1 Security Scanning als Element einer Sicherheitsstrategie Ein Security Scanner soll Sicherheitsrisiken in bestehenden Netzwerken aufdecken, damit mit den so gewonnenen Erkenntnissen Systeme entsprechend angepasst und Sicherheitslücken geschlossen werden können. Die Bewertung der Risiken und der Bedrohungslage erfolgt aufgrund der Sichheitsrichtlinien, welche stets überprüft und bei Anzeichen auf eine veränderte Bedrohungslage dementsprechend korrigiert werden müssen. Aus diesen Richtlinien und den zu erwartenden Angriffen werden die verschiedenen Routinen für den Security Scanner festgelegt. Die Reports über Sicherheitslücken, die beim scan erzeugt werden, zeigen auf, wo Konfigurationsänderungen nötig sind und wo Patches installiert werden müssen. Je nach dem, welche Systeme sich als besonders anfällig erweisen, können die Sicherheitsrichtlinien optimiert bzw. verschärft werden. 2.2 Vor einem Scan grosse / kleine Rechnernetze Scan- Security Scanning Policy zentrale / dezentrale Scans Verantwortlichkeiten / Scanberechtigungen Untersuchungszeitpunkte Vor der Durchführung eines scans in grösseren Unternehmen, gibt es zahlreiche Faktoren zu berücksichtigen. Zum Beispiel kann sich grösse eines Rechnernetzes vor- oder nachteilig auf einen scan auswirken.

8 2.2.1 grosse / kleine Rechnernetze Bei einem kleineren Rechnernetz kann man davon ausgehen, dass die kritischen Produktivsysteme bekannt und keine unbekannten Geräte im Netz vorhanden sind, bzw dass die Administratoren dieser Systeme bekannt sind, was gerade für die nach einem scan nötigen Anpassungen und das Installieren der Patches wichtig ist. im Gegesatz dazu sind bei einem grossen Rechnernetz unter Umständen die kritischen Produktivsysteme unbekannt woraus ein recht grosser Abstimmungsbedarf mit vielen Administratoren resultiert. Zudem kann das Patchen der Schwachstellen zu einem grösseren Problem werden, da der Scan-Manager in der Regel nicht für das Gesamtsystem verantwortlich ist und die Wahrscheinlichkeit, dass unbekannte Geräte und Applikationen im Netz vorhanden sind, die die Scan-Ergebnisse beeinflussen ist ebenfalls sehr hoch Zentrale / dezentrale Scans - dezentrale bzw. lokale Scans: - es kann ein aggressiverer Scan durchgeführt werden, als bei einem zentralen Scan, da dieser genauer auf den zu scannenden Bereich abgestimmt werden kann - gemeinsames Sicherheitsniveau wird ermöglicht, was zwar einen grossen Aufwand im Anpassen und Patchen aller Systeme bedeutet, aber ntwendig für ein wirkungsvolles Sicherheitsmanagement ist - zentrale Scans: - die Spezifikationen der einzelnen Rechner weisen eine viel grössere Bandbreite auf und es werden sehr verschiedenartige Bereiche gescannt - die Aggressivität des Scanners muss tiefer angesetzt werden, vor allem bei DoS-Attacken (DoS = denial of service => Ziel einen oder mehrere Dienste arbeitsunfähig zu machen), da mehr Server ein grösseres Sicherheitsrisiko bezüglich der individuellen Sicherheitseinstellungen darstellen.

9 2.2.3 Verantwortlichkeiten bei einem Scan Bei der Regeleung der Verantwortlichkeiten kann dann auch wieder unterschieden werden zwischen zentralem und dezentralem Scan, wobei bei einem dezentralen Scan die Verantwoung wie folgt geregelt sein kann: Die zentrale Abteilung für Informatik-Sicherheits ernennt einen Scan Manager, der die Rolle eines Koordinators inne hat. Dieser wiederum ernennt in den einzelen Bereichen des Unternehmens Key-Administratoren aus den, welche für die Durchführung der Scans verantwortlich sind. Nach dem Scannen "ihrer" Rechnernetze leiten die Key-Admins ihre Ergebnisse weiter an den Scan Manager, der diese, in aufbereiteter Weise, an das IT-(Sicherheits-) Management weiter gibt und die nötigen Massnahmen zur Behebung der Sicherheitslücken einleitet. Der Scan Manager kann dann zur Überprüfung wiederholt einzelne Scans durchführen. Bei einem zentralen Scan läuft es in der Regel so ab, dass ein Scan Manager aus der IT-(Sicherheits-)Abteilung Stichproben in den Rechnernetzen der einzelnen Bereiche macht, wodurch man zwar ein ein breites Abbild des momentanen Sicherheitslevels über alle Systeme im ganzen Unternehmen gewinnt, man aber nicht an bereichsspezifischen Settings arbeiten kann die Scan-Berechtigung Es darf nie vergessen werden, dass ein Scanner ein mächtiges Werkzeug ist, welches eine breite Einsicht in den Sicherheitsstatus und die Schutzmassnahmen eines Unternehmens erlaubt und ein Scan Manager oder Key Admin hat Zugriff auf businesskritische Informationen, dass heisst wenn die beim Scannen gewonnenen Daten in falsche Hände gerieten, könnte dies verheerende Auswirkungen auf das ganze Unternehmen haben, daher trägt der verantwortliche Scan-Manager oder Key Admin eine hohe Verantwortung. Insbesondere bei dezentralen Scans ist es also wichtig, dass die Verantwortlichen nur die Bereiche scannen können, zu denen sie eine Berechtigung besitzen. Im Allgemeinen sollte darauf geachtet werden, möglichst wenige Personen aktiv am Scan zu beteiligen, je weniger Leute Einsicht in Scan-Daten haben, umso niedriger das Risiko.

10 2.2.5 Die Untersuchungszeitpunkte Wird in einem Unternehmen zum ersten Mal gescannt, so dürfte die Liste der Schwachstellen recht lang sein. Aus diesem Grund ist es wichtig, die Prioritäten in der Behebung dieser Schwachstellen richtig zu setzen, so dass zu Beginn die risikoreichsten Schwachstellen und dann nach und nach die weniger risikoträchtigen Lücken beseitigt werden. Somit können nachfolgende Scans mit einer höheren Aggressivität gefahren werden. Zudem sollten neue Systeme untersucht werden, bevor sie ans Netz gehen, damit auffällige oder gravierende Sicherheitsmängel entdeckt werden, bevor sie jemand anderes entdeckt. Wenn nun ein System, egal ob ein laufendes oder neues, gescannt wurde, und sich als sicher erwiesen hat, so ist es klar, dass es sich hier lediglich um einen Momentanzustand handelt. Schon morgen, nach dem Installieren eines neuen Software-Releases, kann sich das verändert haben. Aus diesm Grund muss der Scannereinsatz kontinuierlich erfolgen, dass heisst es müssen regelmässige zentrale und lokale Scans durchgeführt werden, um so ein immer aktualisiertes Bild vom Sicherheitslevel über das ganze Unternehmen zu haben. Ein weiterer Faktor ist die Tageszeit, zu der gescannt werden soll, bei grossen Netzen beispielsweise muss eine genügend lange Scan-Dauer einkalkuliert werden oder um die Produktion nicht zu gefährden sollte auch nicht zur Hauptproduktionszeit gescannt werden, was allerdings dazu führen kann das nicht alle Schwachstellen gefunden werden.

11 2.3 Nach einem Scan Berichte Ein weiterer wichtiger Schritt ist das Reporting, welcher direkt im Anschluss an den scan erfolgen sollte. In diesem Abschnitt werden die Ergebnisse zusammen getragen, dokumentiert und somit die Grundlage für das Einleiten der Gegenmassnahmen erstellt Welchen Umfang die Berichte dann im einzelnen haben ist den Wünschen der entsprechenden Breiche anzupassen aber in der Regel bekommt zum Beispiel das Management eine Liste mit der Menge an gefundenen Sicherheitslücken und die technische Abteilung eine detaillierte Liste mit den Schwachstellen und Möglcihkeiten zu deren Behebung Massnahmen Sind nun die Sicherheitslücken erkannt, müssen die einzelnen Patches für die Systeme bestimmt werden, welche allerdings schon teilweise in den Reports der Security Scanner enthalten sind. Vor dem Installieren der Patches sollten diese allerdings immer getestet werden, einerseits, um sich zu vergewissern, dass der Patch keine neuen, noch grösseren Sicherheitslücken mit sich bringt, andererseits um dem Sprichwort "never touch a running system" zuvorzukommen und dafür zu sorgen, dass das System auch "running" bleibt. Wenn die Patches alle erfolgreich installiert wurden, kann ein Kontrollscan mit identischer Konfiguration zeigen, ob die, zuvor gefundenen, Schwachstellen tatsächlich beseitigt wurden und ob nicht andere, bisher unbekannte Lücken aufgetaucht sind.

12 3 Security Scanner In der Praxis findet oftmals eine Vermischung des Begriffs Penetrationstest und Security Scannern statt, wobei ein Penetrationstest ein zielgerichteter Angriff, mit den Mitteln eines Angreifers ist und dem Versuch innerhalb einer gegebenen Zeitspanne Lücken in der IT-Sicherheit aufzudecken. Ein Security Scanner jedoch, verwendet Scripte, welche automatisch verschiedene Angriffsformen ausprobieren. 3.1 Terminologie Ein Security Scanner hat verschiedene Funktionalitäten, welche man grundsätzlich unterscheiden kann nach: - Port-Scanner (prüft Ports bestimmter IP-Adressen, und gibt Auskunft über den Status und installierte Dienste der jeweiligen Ports) - Network-Scanner (werden meist im Intranet eingesetzt, zur Aufdeckung von Sicherheitslücken nach aussen) - Vulnerability-Scanner (ein reiner Angriffsimulator, automatisierter Versuch, in ein Netzwerk einzudringen) - Trojan-Checker (sucht anhand von Registry Einträgen und sonstigen Spuren nach bekannten Trojanern) - Viren-Scanner (überprüft Files und Bootsektoren nach Viren). Ein Security Scanner, wie er in dieser Arbeit bezeichnender Weise verwendet wird, ist prinzipiell eine Kombination aus zwei oder mehrer, der oben aufgeführten Klassen. 3.2 Funktionsweise eines Security Scanners Das Programm versucht mittels vorgegebener Scripte, die in einer internen Datenbank gespeichert sind, in ein System einzudringen. Diese Intrusion Checks sind jedoch von unterschiedlicher Qualität und Penetranz. So untersucht SATAN (Security Administrator Tool for Auditing Networks, einer der ersten Security Scanner - gerade mal 10 Sicherheitslücken, wohingegen Nessus ( ein ehemaliges open-source Projekt auf mehr als verschiedene Plugins zur Überprüfung verschiedenster Sicherheitslücken, sowie kombinierten Angriffsformen zugreifen kann.

13 3.3 Nessus Security Scanner (Version 3) Dieser Abschnitt stellt alle grundlegenden Elemente von Nessus vor und beschreibt die typische Anwendung. Nach dem Start bietet der Assistent als sehr nützliches Hilfsmittel und leitet den Benutzer durch den Scanner.

14 Nach Auswahl des Punktes "Start Scan Task" und des zu prüfenden Netzes (in diesem Fall Stand nur der Localhost zur Verfügung) kann der Scan- Administrator wählen ob die vorgefertigten Scan-Policies verwendet werden sollen oder ob eine neue erstellt werden soll, dass heisst er kann festlegen welche scans genau und mit welcher Sensitivität diese durchgeführt werden sollen.

15 Der Security Scanner Nessus bietet an dieser Stelle eine Menge von Optionen anhand welcher die einzelnen Plugins gesteuert werden können.

16 Sind alle Einstellungen vorgenommen und alle Plugins gewählt, wird der Scan auf das Zielnetz / den Zielrechner gestartet. Wobei hier dann noch die Entscheidung getroffen werden muss ob der Scan lokal oder von einer zentralen Stelle durchgeführt werden soll. Nun beginnt der eigentliche Scan-Vorgang bei welchem die verschiedenen Angriffsformen und Sicherheitslücken überprüft werden. Das kann teilweise ein recht risikoreiche Angelegenheit werden, vor allem bei grossen Netzwerken mit vielen verteilten Systemen, beispielsweise ist eine DoS-Attacke, von einem Security-Scanner gestartet, genau so wirkungsvoll wie eine normale DoS-Attacke. Die Dauer eines Scans kann unterschiedlich lang sein, auch hier ist es eine Frage der Sensitivität, mit welcher die Test durchgeführt werden und auch die rund 65'000 Ports zu scannen ist eine ziemlich aufwändige Angelegenheit, die mehrere Stunden dauern kann. Wenn der Scan abgeschlossen ist, wird der Test in einem Report ausgegeben, welche die Sicherheitslücken, das Sicherheitsrisiko, mögliche Gefahrenquellen und Auswirkungen auf das System (bei einem Eindringen durch dieses Sicherheitsloch) angeben - zu diversen Sicherheitslöchern wird weiterhin eine grobe Anleitung zum schliessen der Lücke angegeben, die z.t.

17 durch einen Link auf eine Seite mit genauen Anweisungen, ergänzt wird. Bei bekannten Sicherheitslücken die mit ein Patch geschlossen werden können, wird der genaue Patch angegeben, der installiert werden muss. Um ein höchstmögliches Maß an Qualität zu gewährleisten wird der Security Scanner Nessus laufend online aktualisiert, bzw., die Plugins und die dazugehörigen Reports werden von den Programmierern auf dem neusten Stand gehalten.

18 4 Fazit Von der Unternehmensführung ist eine Ist-Analyse bezüglich der aktuellen Bedrohungslage durchzuführen, wobei zu bednken ist, dass nicht jedes Unternehmen bzw. dessen Server gleich gefährdet sind. Das Gefahrenpotential hat meist sehr viel mit dem Umfeld des Unternehmens zu tun, zum Beispiel sind Server der Regierung einer höhren Bedrohungslage ausgesetzt als ein Unternehmen was kaum einer kennt. Wie in den vorangegangenen Kapiteln gezeigt wurde, ist läuft der Einsatz von High-End Security Scannern nicht immer ganz geradlinig ab, die schlimmste Abweichung, vom gewünschten Ziel, ist ein Komplettausfall des angewählten Servers. Aus diesem Grund ist es wichtig, dass sich die Unternehmensführung bewusst ist, dass die Planung des Scanner-Einsatzes eine Management Aufgabe ist und es ist eine reine Wunschvorstellung anzunehmen, so ein Scan könnte "mal eben so nebenbei" geplant und durchgeführt werden. Die Vorbereitung ist von immenser Wichtigkeit, sind doch die verschiedensten Firewall-Konfigurationen (vor allem auf Paketfilter- Ebene) genaustens zu überprüfen. Dies benötigt sehr stark qualifiziertes Personal über eine Dauer von Tagen wenn nicht sogar Wochen. Ein weiterer Punkt den es zu entscheiden gilt ist, ob der Scan intern oder von einer externen Firma durchgeführt wird, wobei bei interner Durchführung des Scans, hochqualifiziertes Personal vorhanden sein muss, welches wissen muss, was für Scans (Plugins) durchzuführen sind (z. B. die genaue Auswahl der Plugins bei Nessus treffen). Die Auswertung des Reports dagengen ist nicht so personalintensiv. Viele Reports sind so ausgelegt, dass sie eine Anweisung zur Behebung der Sicherheitslücken erzeugen. Es ist aber nicht zu vergessen, dass der beste Scanner und die sorgfältigste Planung nichts nützt, wenn aus den Scan-Reports nicht die richtigen Schlüsse gezogen werden. Security Scans sind auch keine einmaligen Aktionen, Sie müssen, im Zusammenhang mit einer gesamtheitlichen Sicherheitsstrategie gesehen, kontinuierlich durchgeführt werden zu genau definierten Zeitpunkten. Der Scanner muss immer auf dem neuesten Stand sein, sowohl die Scanner-Software als auch die einzelnen Plugins. Ein Security Scanner ist ein sehr potentes Werkzeug, dass, richtig eingesetzt, wesentlich zur Informatiksicherheit eines Unternehmens beitragen kann. Andererseits kann sich der Missbrauch von Scanner-Daten (Reports) für das Unternehmen fatal auswirken.

19 5 Quellen und weiterführende Links Der Einsatz eines Security Scanners in einem globalen Unternehmen Vortrag von Dirk Lehmann am 8. DFN-CERT Workshop "Sicherheit in vernetzten Systemen". Nessus Users Guide Broschüre des GFI Lan Guard Publikation der Scip AG zum Thema Network Security Broschüre der net.workers AG zum Thema IT Security Audits Ptec Datentechnik Liste mit den bekanntesten Security- und Port Scannern. tomfi.net/helpdesk/scanner/uebersicht.html