Das SANS Institute hat seine jährliche, gemeinsam mit internationalen Sicherheitsexperten erstellte Liste der 20 häufigsten Angriffsziele im Jahr 2006 herausgegeben. Sie soll Security-Verantwortlichen ermöglichen, ihre Verteidigungssysteme den aktuellen Bedrohungsszenarien anzupassen. Neben Schwachstellen in den Betriebssystemen Windows, Unix und Mac OS X führt der Report Lücken in Anwendungen und Netzdiensten auf. Zum ersten Mal fließt auch der Anwender als Gefahrenquelle in den Bericht ein.
Zu den bedenklichsten Entwicklungen dieses Jahres zählt der Report die Häufung von Zero-Day-Attacken. Dabei handelt es sich um Angriffe, die unmittelbar nach dem Bekanntwerden einer Sicherheitslücke gestartet werden, noch bevor ein Patch zur Verfügung steht. Primäres Ziel ist laut SANS nach wie vor Microsofts Internet Explorer (IE), immer häufiger geraten aber auch andere Produkte der Gates-Company ins Visier der Angreifer.
Auffallend ist nach Beobachtungen der Spezialisten die Anfälligkeit von Office-Produkten wie Powerpoint und Excel - die Zahl der Schwachstellen in Microsofts Bürosuite soll sich im Vergleich zum Vorjahr verdreifacht haben. So wurden 2006 allein in Office-Produkten 45 schwerwiegende bis kritische Sicherheitslöcher entdeckt - darunter neun Zero-Day-Lücken, die mangels Patch aktiv ausgenutzt wurden. Von den rund 20, meist von China aus lancierten Zero-Day-Angriffen in diesem Jahr waren laut SANS-Bericht allerdings auch Apples Safari-Browser und Wireless-Treiber betroffen.
Ebenfalls rapide steigt dem jüngsten Gefahrenindex zufolge die Zahl an SQL-Injection- und Cross-Site-Scripting-Lücken in Web-Anwendungen, deren Ausnutzung den direkten Zugriff etwa auf Datenbanken ermöglicht. Darüber hinaus gerät offenbar auch Voice over IP (VoIP) verstärkt ins Fadenkreuz der Hacker. Schützenhilfe leisten Angreifern hier Lecks unter anderem in Ciscos "Unified Call Manager" und der quelloffenen TK-Software "Asterisk".
Gezielte Angriffe
Als weiteren Jahrestrend hebt der Bericht das zunehmende "Spear Phishing" hervor. Dabei handelt es sich um zielgerichtete Attacken auf einzelne Firmen oder Institutionen, denen mit vorgetäuschten Anliegen Finanzdaten, Geschäftsgeheimnisse oder geistiges Eigentum gestohlen wird. Darüber hinaus widmet sich der Report in der Kategorie "Security Policy and Personnel" der Bedeutung von Richtlinien und User-Verhalten für die Sicherheit. Zwei Problemfaktoren in diesem Kontext stellen den Experten zufolge exzessive Nutzerrechte sowie unautorisierte Geräte im Firmennetz dar. Die ausführliche Liste findet sich unter www.sans.org/top20. (kf)