Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

09.07.2004 - 

Benchmark- und Scan-Werkzeuge für Administratoren

Mit Gratis-Tools IT-Sicherheit prüfen

MÜNCHEN (ave) - Wie sicher ist die IT? Bei der Beantwortung dieser Frage und der Beseitigung vorhandener Schwachstellen können Administratoren auf Testprogramme zurückgreifen, die das Center for Internet Security (CIS) unentgeltlich zur Verfügung stellt.

Kaum etwas lässt sich so schwer beschreiben wie der Status der IT-Sicherheit in Unternehmen. Ohne externe Hilfe sind Administratoren häufig überfordert, wenn sie sagen sollen, ob die installierten Systeme dem aktuellen Stand der Technik entsprechen beziehungsweise ob und wo Schwachstellen existieren. Genau aus diesem Grund hat das CIS seine Benchmarking- und Scoring-Tools entwickelt: Sie geben Anwendern Werkzeuge an die Hand, um einen bestimmten Sicherheitslevel im Unternehmen zu definieren, umzusetzen und zu überprüfen.

Von Anwendern und Herstellern entwickelte Benchmarkt-Werte

Mit dem unlängst für Windows XP erschienenen Benchmark beispielsweise können Administratoren zwischen vier möglichen Sicherheitsstufen wählen, deren Bezeichnung den von Microsoft veröffentlichten, offiziellen Security-Konfigurationsrichtlinien entsprechen. Je nachdem, ob IT-Experten sich für den Status "Legacy", "Enterprise Standalone", "Enterprise Laptop" oder "High" entscheiden, wächst die Sicherheit.

Je nach Szenario wird dabei etwa berücksichtigt, ob der jeweilige Rechner mobil eingesetzt wird (Enterprise Laptop), mit älteren Systemen im Netz kommunizieren muss (Legacy) oder sich in einer Umgebung befindet, die mindestens mit Windows 2000 oder einer späteren Version arbeiten (Enterprise Standalone). Die für die jeweilige Situation aus Sicht des CIS erforderlichen Einstellungen und Standards, etwa im Hinblick auf vorhandene Hotfixes beziehungsweise Patches, Alter und Komplexität der Passwörter, haben dessen Mitglieder gemeinsam erarbeitet. Dabei kamen sowohl Anwender als auch Hersteller zu Wort.

Für jeden einzelnen der insgesamt weit über 100 Sicherheitsaspekte enthält das im Portable Document Format (PDF) vorliegende Benchmark-Dokument die der jeweiligen Sicherheitsstufe entsprechenden Einstellungen und gibt zudem an, wo eine Einstellung vorzunehmen ist. Für das dazugehörige Testprogramm "Scoring Tool" sind diese Werte in .inf-Dateien hinterlegt. Zu jedem einzelnen Punkt enthält das Benchmark-Dokument detaillierte Beschreibungen.

Die CIS-Benchmarks decken eine Reihe von Anwendungen, Systemen und Netzkomponenten ab. Dazu zählen SQL Server, Internet Information Services, Apache Web Server, Sendmail, Exchange Server 2003, AIX, FreeBSD, Windows 2003 Server, Solaris, Linux, HP-UX, Oracle-Datenbanken sowie IOS-basierende Router von Cisco. Die jeweiligen Tools wurden mit dem Ziel erstellt, von jedem Administrator ohne Spezialkenntnisse verwendet werden zu können und den laufenden Betrieb eines Systems oder der darauf aufsetzenden Anwendungen nicht zu stören.

Als Bestandteil seiner Benchmark-Pakete bietet das CIS die Software "Cis-Scan", mit der sich die Konfiguration der jeweiligen IT-Systeme mit den in den Benchmarks vorgegebenen Einstellungen vergleichen lässt. Jeder einzelne Unterpunkt wird dabei untersucht und bewertet. Das sieht so aus, dass die Software in Abhängigkeit von dem festgestellten Grad der Übereinstimmung jeweils eine Punktezahl auf einer Skala von eins bis zehn vergibt: Je höher der Wert, desto sicherer das System. Die detaillierten Ergebnisse der Tests können mit Hilfe der ebenfalls zu den Benchmarks gehörenden "Scoring-Tools" automatisch als Reports im XML-Format ausgegeben werden.

Alle Schwachstellen lassen sich nicht beseitigen

Zusätzlich bietet CIS mit seinen Tools eine Version des frei verfügbaren Netzscanners "Sara". Die Software enthält ein spezielles Plug-in, über das sich IT-Systeme im Unternehmen von einem zentralen Punkt aus auf die Übereinstimmung mit den Benchmark-Einstellungen überwachen lassen. Der Scanner ist laut CIS zwar nicht geeignet, um einen kompletten Audit des Netzes vorzunehmen, sei jedoch nützlich, um sich einen Überblick über die Gesamtsituation zu verschaffen und die Bereiche zu identifizieren, die genauer untersucht werden müssen.

Das CIS betont, dass sich durch die Benchmarks weder alle Schwachstellen eines Systems beseitigen noch alle Angriffe verhindern lassen. Vielmehr stellten sie einen von vielen unterschiedlichen Organisationen und Security-Experten gefundenen "kleinsten gemeinsamen Nenner der Systemsicherheit" dar.

Das bietet CIS

- Benchmark-Dokumente, die von Experten und Anwendern definierte Sicherheitseinstellungen für unterschiedliche Betriebssysteme und Anwendungen enthalten;

- einen Netzscanner mit einem speziellen Plug-in, mit dem sich Problembereiche im Unternehmen erkennen lassen;

- Scoring-Tools, mit denen sich die jeweiligen Systeme auf die Übereinstimmung mit den Benchmarks überprüfen und Reports erstellen lassen.