Online-Security-Scanner, Teil 2
Seite 3: Security Space, it.sec, Vigilante, IT's secure
Security Space
Security Space verspricht eine Überprüfung auf verschiedene Sicherheitslöcher. Bei der Anmdeldung zu einem Probeaccount kann man Name und Passwort für einen späteren Login wählen. In der Bedienoberfläche kann man Scans starten, Reports aufrufen und den Fortschritt des Tests begutachten. Der Test dauert weit über 1 Stunde, nach Abschluss der Tests erhält man aich hier eine E-Mail. Security Space verwendet denselben Scanner wie Prosumis, daher sind die Beschreibungen zu den Schwachstellen identisch. Eine Zusammenfassung aller Schwachstellen und einer Einstufung der Gesamtsicherheit wird für das überprüfte System erstellt. Der Report kann sogar für verschiedene Zielgruppen konfiguriert werden, ein Manager will eben nur die Risiken präsentiert bekommen, ohne tiefer in technische Details einsteigen zu müssen.
it.sec
it.sec hebt sich von den anderen Anbietern durch die webbasierte Konfigurationsmöglichkeit des Schwachstellenscanners Nessus ab. Jedes Plug-In kann einzeln selektiert werden, die Einstellung darf man anschließend zusammen mit den zu überprüfenden IP-Adressen in einer Policy abspeichern und starten. Für Heimanwender steht der kostenlose Online Security Check oder ein Trial-Account zur Verfügung. Um den Service sinnvoll zu nutzen, muss man Nessus bedienen können, einen einfachen Start-Button gibt es nicht. Der auch als PDF-Dokument verfügbare Bericht ist ein überarbeiteter Nessus-Report, dementsprechend werden ohne ausschweifende Erklärungen die Probleme aufgeführt. Die Bedienoberfläche ist intuitiv, allerdings gelingt bei SSL-Verbindungen der Aufruf einiger Seiten erst nach mehrmaligem Neuladen.
Vigilante
Vigilante fällt mit seinem Angebot etwas aus der Reihe, einen Test kann man über das Internet weder starten noch konfigurieren. Der Test wird nach einem schriftlichem Antrag irgendwann durchgeführt, der Ergebnisbericht ist danach bei Angabe eines Passwortes online einzusehen. Der Report ist zwar übersichtlich, zeigt aber Schwachstellen auf, wo keine sind. Ein DNS-Server wird per se als mittleres Risiko eingestuft, ohne ihn auf eine einzige Schwachstelle zu prüfen.
IT's secure
An diese Stelle gehört der Vollständigkeit halber auch ein kurzer Hinweis auf das Projekt IT's secure der Zeitschriften impulse und iX, das auf heise Security beheimatet ist. IT's secure bietet einen kostenlosen Port-Scan, für den Schwachstellen-Scan mit Nessus fällt eine Gebühr an. Beide Tests werden nur für Systeme mit statischen IP-Adressen angeboten. Der Bericht des Tests ist Nessus-typisch und wird per Fax oder per Brief versendet. Einem Begleitschreiben kann man entnehmen, was die Kategorien der Meldungen zu bedeuten haben. Eine Gesamteinschätzung des überprüften Ziels wird nicht vorgenommen.
