Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.10.2002 - 

Liste der 20 größten Gefahrenquellen veröffentlicht

USA warnt vor IT-Sicherheitslücken

BOSTON (CW) - US-amerikanische Sicherheitsbehörden haben eine Liste mit den 20 gefährlichsten Security-Lücken in IT-Systemen zusammengestellt. Damit will man Staatseinrichtungen und Unternehmen vor Bedrohungen aus dem Netz warnen und an die notwendige Vorsorge erinnern.

Zwei Wochen, nachdem US-Präsident George W. Bush die National Strategy for Securing Cyberspace verkündete, folgen dem eher unverbindlich gehaltenen Strategiepapier erste Taten. Das Federal Bureau of Investigation (FBI) und das Sysadmin-Audit-Networking- and Security-(Sans-) Institute haben die ihrer Meinung nach 20 gefährlichsten Sicherheitslücken von IT-Systemen in einer Liste zusammengefasst. Diese lässt sich im Internet unter www.sans.org/top20/ einsehen.

Die potenziellen Gefahrenquellen betreffen je zur Hälfte Windows- und Unix-Systeme. Die größte Schwachstelle im Windows-Segment ist demnach der "Internet Information Server" (IIS), gefolgt von den "Microsoft Data Access Components" (MDAC). Die größten Sicherheitsrisiken im Unix-Bereich bilden die Remote Procedure Calls (RPC) sowie der "Apache Web Server".

Die Liste basiert auf dem "80-20-Modell", erklärt Bill Murray, Sprecher des National Infrastructure Protection Center (NIPC). Demnach seien die 20 angeführten Sicherheitslöcher für rund 80 Prozent aller weltweit verübten Systemeinbrüche verantwortlich.

Von der aktuellen Veröffentlichung erhoffen sich die Sicherheitswächter eine größere Wirkung als in den beiden letzten Jahren. So hätten die Listen der Jahre 2000 und 2001 zwar auch auf Probleme aufmerksam gemacht, eine Verbesserung der IT-Security bei Unternehmen und Behörden sei jedoch nicht feststellbar gewesen, erläutert Sans-Chef Allan Paller. Dies habe daran gelegen, dass es keine konkreten Hinweise und Tipps gab, wie die Sicherheitslücken identifiziert und geschlossen werden könnten.

Das sei bei den aktuellen Top-20-Problemen anders, lobt Paller. Nun bieten verschiedene Security-Firmen Dienstleistungen und Produkte an, um potenzielle Löcher in IT-Systemen zu stopfen. Qualys Inc. offeriere zum Beispiel einen Online-Service, der Firmennetze nach verwundbaren Stellen scanne. Damit könnten auch kleinere Unternehmen, die keinen IT-Sicherheitsstab unterhalten, ihren Security-Standard auf einem aktuellen Niveau halten. Damit dies dauerhaft gelinge, soll bis zur Veröffentlichung der nächsten Liste kein weiteres Jahr vergehen. Die Sicherheitsbehörden planen, künftig wöchentlich eine Critical Vulnerability Analysis (CVA) herauszugeben. (ba)