SANS-Hitliste der Sicherheitsrisiken: Browser und Webanwendungen führen

Die Hitliste führt die 20 häufigsten Sicherheitsrisiken der IT auf. Neben technischen Aspekten führt sie auch Probleme im personellen und organisatorischen Bereich auf.

In Pocket speichern vorlesen Druckansicht 32 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Das SANS (SysAdmin, Audit, Network, Security) Institute hat wieder eine Top-20-Liste zu Sicherheitsrisiken veröffentlicht. Webbrowser wie Firefox und Internet Explorer liegen in der Rubrik der Client-seitigen Sicherheitslücken wie auch im Vorjahr an erster Stelle. Mehr als hundert Lücken in ActiveX-Controls von Microsoft und anderen Herstellern boten Angreifern genügend Potenzial, die PCs von Besuchern mit Schädlingen zu infizieren. Excel und Word folgen in der Liste dicht darauf. Bekannt ist seit Längerem, dass Kriminelle Lücken in Office für gezielte Attacken auf bestimmte Personen in Industrie und Politik ausnutzen. E-Mail liegt an dritte Stelle verwundbarer Anwendungen, wobei der Report für Thunderbird erheblich mehr Probleme aufzählt als für Outlook (Express) und Vista Mail zusammen.

Auf der Serverseite stehen Webanwendungen an erster Stelle der Probleme. Insbesondere Content-Management-Systeme, Wiki und Blogs wiesen zahlreiche Lücken wie Remote-File-Inclusion auf, durch die Angreifer in Webserver eindringen konnten. Die Zahl neu entdeckter Lücken in Betriebssystemen ist indes zurückgegangen, weshalb auch das Potenzial für Internet-Würmer immer kleiner wird. Seit 2005 habe es keinen großen Ausbruch eines Wurms wie Blaster und Sasser mehr gegeben. Zudem habe die Zahl der Lücke in Antivirensoftware und Mediaplayern zugenommen, wobei das Abspielen von Videos und Musik mit QuickTime mit Abstand am gefährlichsten ist. Instant Messaging scheint sich laut Report ebenfalls mehr und mehr zum Einfallstor für Schädlinge zu entwickeln.

An vielen Stellen ist allerdings unklar, wie SANS zu seinen Ergebnissen kommt und weshalb gerade die exemplarisch aufgeführten CVE-Einträge als Beleg dienen sollen. Bereits im vergangenen Jahr wurden beispielsweise in der Unix-Rubrik die Privilege-Elevation-Lücken unter Linux nicht aufgeführt. Diesmal scheinen unter anderem die für Unix und Mac OS X aufgeführten verwundbaren Dienste willkürlich zusammengewürfelt. Allerdings bezeichnet das SANS Institute den Report als "Community Consensus Document", sodass die darin eingeflossenen Erfahrungen anderer Anwender nicht unbedingt mit den eigenen übereinstimmen müssen.

Die Ergebnisse dieses Jahres ähneln denen des Vorjahres-Reports sehr stark. Zudem sind sie wenig überraschend, da mittlerweile jeder größere Hersteller von Sicherheitssoftware einen eigenen Report mit seinen Analysen veröffentlicht und sich alle Ergebnisse mehr oder minder gleichen. Immerhin bietet der Report von SANS konkrete Anleitungen, wie man bestimmte Probleme eindämmen kann.

Siehe dazu auch:

(dab)