Zwei Wochen, nachdem US-Präsident George W. Bush die National Strategy for Securing Cyberspace verkündete, folgen dem eher unverbindlich gehaltenen Strategiepapier erste Taten. Das Federal Bureau of Investigation (FBI) und das SANS-Institute (Sysadmin Audit Networking and Security) haben die ihrer Meinung nach 20 gefährlichsten Sicherheitslücken von IT-Systemen in einer Liste zusammengefasst.
Die potenziellen Gefahrenquellen betreffen je zur Hälfte Windows- und Unix-Systeme. Die größte Schwachstelle im Windows-Segment ist demnach der „Internet Information Server“ (IIS) gefolgt von den „Microsofts Data Access Components“ (MDAC) und dem „SQL Server“. Die größten Sicherheitsrisiken im Unix-Bereich bilden die Remote Procedure Calls (RPC) sowie der „Apache Web Server“.
Die zehn größten Sicherheitsprobleme unter Windows Internet Information Services (IIS) Microsoft Data Access Components (MDAC) - Remote Data Services Microsoft SQL Server NETBIOS - Ungeschützte Netzwerk-Freigaben Anonymous Logon - Null Sessions LAN Manager Authentifizierung - Schwäche im LM Hashing Allgemeine Windows Authentifizierung - Zugänge ohne Passwörter oder mit unzureichenden Passwörtern Internet Explorer Remote-Zugriff auf die Registry Windows Scripting Host (Quelle: SANS) |
Die Liste basiert auf dem „80-20-Modell“, erklärt Bill Murray, Sprecher des National Infrastructure Protection Center (NIPC). Demnach seien die 20 angeführten Sicherheitslöcher nach Einschätzung der US-Behörde für rund 80 Prozent aller weltweit verübten Systemeinbrüche verantwortlich.
Von der aktuellen Veröffentlichung erhoffen sich die Sicherheitswächter eine größere Wirkung als in den beiden letzten Jahren. So hätten die Listen der Jahre 2000 und 2001 zwar auch auf Sicherheitsprobleme aufmerksam gemacht, eine Verbesserung der IT-Security bei Unternehmen und Behörden sei jedoch nicht feststellbar gewesen, erläutert Sans-Chef Allan Paller. Dies habe daran gelegen, dass den Listen keine konkreten Hinweise und Tipps beigefügt waren, wie die Sicherheitslücken identifiziert und geschlossen werden könnten.
Die zehn größten Sicherheitsprobleme unter Unix Remote Procedure Calls (RPC) Apache Web Server Secure Shell (SSH) Simple Network Management Protocol (SNMP) File Transfer Protocol (FTP) R-Services - Trust Relationships Line Printer Daemon (LPD) Sendmail BIND/DNS Allgemeine Unix-Authentifizierung - Zugänge ohne Passwörter oder mit unzureichenden Passwörtern (Quelle: SANS) |
Das sei bei den aktuellen Top-20-Problemen anders, lobt Paller. Nun bieten verschiedene Security-Firmen Dienstleistungen und Produkte an, um potenzielle Löcher in IT-Systemen zu stopfen. Qualys Inc. offeriere zum Beispiel einen Online-Service, der Firmennetze nach verwundbaren Stellen scanne. Damit könnten auch kleinere Unternehmen, die keinen dedizierten IT-Sicherheitsstab unterhalten, ihren Security-Standard auf einem aktuellen Niveau halten. Damit dies dauerhaft gelinge, soll bis zur Veröffentlichung der nächsten Liste kein weiteres Jahr vergehen. Die Sicherheitsbehörden planen, künftig wöchentlich, eine Critical Vulnerability Analysis (CVA) herauszugeben.