Für jedes der Systeme werden die zehn gravierendsten Schwachstellen aufgeführt. Neu in diesem Jahr ist, dass die Experten in ihrer Liste anstelle der betroffenen Produkte die jeweiligen Dienste nennen, die von diesen bereitgestellt werden.
Im Windows-Umfeld sieht das so aus, dass auf der Spitzenposition Web-Server und -Services auftauchen (2003: "Internet Information Services"). Von diesen geht aus Sicht der internationalen Expertengemeinde derzeit die größte Gefahr für Unternehmen aus. An zweiter Stelle folgen die Workstation-Services von Windows. Als neue Bedrohung hinzugekommen sind Schwachstellen innerhalb von File-Sharing- und Instant-Messaging-Diensten. Diese nehmen Platz sieben und zehn auf der Windows-Liste ein.
Unter Unix beziehungsweise Linux ist wie im letzten Jahr das Bind Domain Name System der größte Gefahrenherd. Das Risiko durch Fehler im Zusammenhang mit Web-Servern hat zugenommen, diese sind von Platz drei im Vorjahr auf Platz zwei gestiegen. Neu hinzugekommen sind Bedrohungen, die von Schwachstellen in Versionskontrollsystemen (vierte Stelle), Datenbanken (neunte Stelle) und dem Betriebssystem-Kernel (zehnte Stelle) ausgehen.
Die komplette Liste findet sich im Internet unter www.sans.org/top20/. Neben ausführlichen Beschreibungen sämtlicher darin enthaltener Schwachstellen in unterschiedlichen Sprachen (eine 92-seitige deutsche Version ist als PDF-Datei ebenfalls vorhanden) gibt es dort auch konkrete Hinweise, was getan werden kann, um die Lücken zu schließen.
Aus Sicht von Howard Schmidt, Chief Security Officer (CSO) von Ebay und ehemaliger Cyber-Security-Berater des US-Präsidenten, stellt die Liste einen "definitiven Wegweiser der schlimmsten Internet-Schwachstellen und Sicherheitslecks dar. Sie bietet Unternehmen weltweit eine klare Anleitung, um Kerngefahren sowohl für ihre Netze als auch ihr Geschäft zu identifizieren, zu behandeln und zu beseitigen."
Der Index wurde diesmal in Westminster, London, und damit zum ersten Mal außerhalb der USA vorgestellt. (ave)
Die größten Sicherheitslecks
Unter Windows:
1. Web-Server und -Services,
2. Workstation-Service,
3. Windows Fernzugriffsdienst,
4. Microsoft SQL Server,
5. Windows-Authentifizierung.
Unter Unix:
1. BIND Domain Name System,
2. Web-Server,
3. Authentifizierung,
4. Versionskontrollsysteme,
5. Mail-Transport-Service.
Quelle: Sans Institute