computerwoche.de

Archiv

Liste der 20 größten Gefahrenquellen veröffentlicht

USA warnt vor IT-Sicherheitslücken

11.10.2002
BOSTON (CW) - US-amerikanische Sicherheitsbehörden haben eine Liste mit den 20 gefährlichsten Security-Lücken in IT-Systemen zusammengestellt. Damit will man Staatseinrichtungen und Unternehmen vor Bedrohungen aus dem Netz warnen und an die notwendige Vorsorge erinnern.

Zwei Wochen, nachdem US-Präsident George W. Bush die National Strategy for Securing Cyberspace verkündete, folgen dem eher unverbindlich gehaltenen Strategiepapier erste Taten. Das Federal Bureau of Investigation (FBI) und das Sysadmin-Audit-Networking- and Security-(Sans-) Institute haben die ihrer Meinung nach 20 gefährlichsten Sicherheitslücken von IT-Systemen in einer Liste zusammengefasst. Diese lässt sich im Internet unter www.sans.org/top20/ einsehen.

Die potenziellen Gefahrenquellen betreffen je zur Hälfte Windows- und Unix-Systeme. Die größte Schwachstelle im Windows-Segment ist demnach der "Internet Information Server" (IIS), gefolgt von den "Microsoft Data Access Components" (MDAC). Die größten Sicherheitsrisiken im Unix-Bereich bilden die Remote Procedure Calls (RPC) sowie der "Apache Web Server".

Die Liste basiert auf dem "80-20-Modell", erklärt Bill Murray, Sprecher des National Infrastructure Protection Center (NIPC). Demnach seien die 20 angeführten Sicherheitslöcher für rund 80 Prozent aller weltweit verübten Systemeinbrüche verantwortlich.

Von der aktuellen Veröffentlichung erhoffen sich die Sicherheitswächter eine größere Wirkung als in den beiden letzten Jahren. So hätten die Listen der Jahre 2000 und 2001 zwar auch auf Probleme aufmerksam gemacht, eine Verbesserung der IT-Security bei Unternehmen und Behörden sei jedoch nicht feststellbar gewesen, erläutert Sans-Chef Allan Paller. Dies habe daran gelegen, dass es keine konkreten Hinweise und Tipps gab, wie die Sicherheitslücken identifiziert und geschlossen werden könnten.

Das sei bei den aktuellen Top-20-Problemen anders, lobt Paller. Nun bieten verschiedene Security-Firmen Dienstleistungen und Produkte an, um potenzielle Löcher in IT-Systemen zu stopfen. Qualys Inc. offeriere zum Beispiel einen Online-Service, der Firmennetze nach verwundbaren Stellen scanne. Damit könnten auch kleinere Unternehmen, die keinen IT-Sicherheitsstab unterhalten, ihren Security-Standard auf einem aktuellen Niveau halten. Damit dies dauerhaft gelinge, soll bis zur Veröffentlichung der nächsten Liste kein weiteres Jahr vergehen. Die Sicherheitsbehörden planen, künftig wöchentlich eine Critical Vulnerability Analysis (CVA) herauszugeben. (ba)