1.2.2. Definition von Analyse und Test

Schwachstellenanalysen können in zwei Arten klassifiziert werden: von außen hineinspähen und innen herumschnüffeln.

Wenn Sie eine Schwachstellenanalyse von außen betrachtet durchführen, so versuchen Sie, Ihr System von außen zu kompromittieren. Wenn Sie Ihr Unternehmen von extern betrachten, versetzen Sie sich in die Sichtweise eines Crackers. Sie sehen, was der Cracker sehen kann — öffentlich-weiterleitbare IP-Adressen, Systeme in Ihrer DMZ, externe Schnittstellen Ihrer Firewall und vieles mehr. DMZ steht für "Demilitarized Zone", was einen Computer oder ein kleines Subnetzwerk bezeichnet, das sich zwischen einem internen, zuverlässigen Netzwerk, wie z. B. einem gemeinschaftlichen privaten LAN und einem unzuverlässigen, externen Netzwerk, wie z. B. dem öffentlichen Internet, befindet. Üblicherweise beinhaltet die DMZ Geräte, die für den Internetverkehr zugänglich sind, wie z. B. Web (HTTP)-Server, FTP-Server, SMTP (E-Mail)-Server und DNS-Server.

Wenn Sie eine Schwachstellenanalyse von innen betrachtet durchführen, haben Sie den gewissen Vorteil, das Sie bereits intern sind, und Sie einen Status als "vertrauenswürdig" haben. Dies ist der Blickwinkel, den Sie und Ihre Kollegen haben, wenn Sie sich einmal im System angemeldet haben. Sie sehen Druckserver, Dateiserver, Datenbanken und andere Ressourcen.

Es gibt klare Unterschiede zwischen diesen beiden Arten der Schwachstellenanalyse. Als interner Mitarbeiter Ihres Unternehmens besitzen Sie höhere Privilegien, weit mehr als jeder Außenstehende. Entsprechend sind die Sicherheitsrichtlinien in den meisten Unternehmen nach wie vor so konfiguriert, externe Eindringlinge fernzuhalten. Es wird nur sehr wenig für die interne Sicherung des Unternehmens getan (z. B. Firewalls für Abteilungen, Zugangskontrollen auf Benutzerebene, Authentifizierungsvorgänge für interne Ressourcen und so weiter). Üblicherweise gibt es wesentlich mehr Ressourcen, wenn man sich intern umschaut, da die meisten Systeme in einem Unternehmen intern sind. Sobald Sie sich einmal außerhalb eines Unternehmens befinden, erhalten Sie sofort den Status "nicht vertrauenswürdig". Die extern zugänglichen Systeme und Ressourcen sind für gewöhnlich wesentlich stärker eingeschränkt.

Beachten Sie die Unterschiede zwischen Schwachstellenanalyse und Penetration Test. Sehen Sie die Schwachstellenanalyse als ersten Schritt zu einem Penetration Test an. Die Informationen aus der Schwachstellenanalyse werden im Test angewendet. Mit der Analyse wird nach Lücken und möglichen Schwachstellen im System gesucht, während der Penetration Test die Ergebnisse in die Tat umsetzt.

Die Einschätzung der Netzwerkinfrastruktur ist ein dynamischer Prozess. Sowohl Informationssicherheit als auch physische Sicherheit ist dynamisch. Das Durchführen der Analyse gibt einen Überblick, kann jedoch auch falsche Ergebnisse liefern.

Sicherheitsadministratoren sind nur so gut wie die Tools, die diese benutzen, und das Wissen, das diese besitzen. Nehmen Sie eines der aktuell erhältlichen Analyse-Tools und lassen Sie es über Ihr System laufen. Dabei ist fast garantiert, dass einige Schwachstellen gefunden werden, die gar nicht existieren. Ob durch einen Programmfehler oder Benutzerfehler hervorgerufen, das Ergebnis ist das gleiche: Das Tool findet Schwachstellen, die gar nicht existieren, oder schlimmer noch, es findet wirklich existierende Schwachstellen nicht.

Da wir nun den Unterschied zwischen Schwachstellenanalyse und Penetration Test definiert haben, ist es ratsam, die Ergebnisse der Analyse sorgfältig zu prüfen, bevor Sie den Penetration Test tatsächlich durchführen.

In der folgenden Liste werden einige der Vorteile einer Schwachstellenanalyse aufgezeigt