Online-Security-Scanner, Teil 2
Seite 4: Fazit
Fazit
Die Schwachstellenscanner arbeiten recht zuverlässig, die meisten Schwachstellen werden gefunden. Trotzdem zeigten die Scanner Unterschiede in den Ergebnissen, was anscheinend auf die unterschiedliche Auswahl der Plug-Ins zurückzuführen ist. Die Angaben über die Zahl der verwendeten Plug-Ins ist ebenfalls sehr unterschiedlich: Security Metric verwendet über 1000, it.sec fast 4500. Außer bei it.sec weiß man bei den Anbietern aber nicht genau, welche Schwachstellen überprüft werden. Eine überprüfte Firewall-1 war in einigen Reports für SYN/FIN-Attacken anfällig, beim anderen für ICMP-Amplification und der nächste sah einen offenen Port 264 als Schwachstelle. Die Einschätzung des Risikos einer Schwachstelle variiert ebenfalls von Anbieter zu Anbieter, ein anonmyer Login auf einen FTP-Server wird von einigen als kritische Schwachstelle gewertet. Die Reports der Überprüfung sind meist an die Standardmeldungen von Nessus angelehnt, in der Regel kurz, knapp und in englisch und somit nur für Fachleute verständlich. Selbst der deutsche Anbieter it.sec hat seine Reports nicht eingedeutscht.
Die automatisch erstellten Reports sollte man kritisch betrachten. Nessus neigt bekanntermaßen dazu, Schwachstellen zu melden, die keine sind und in der Risikobewertung etwas zu übertreiben. Das liegt daran, dass Nessus anhand seiner internen Datenbank und der Versionsnummer von Servern versucht feststellt, ob sie ein Sicherheitsloch haben. Ein gepatchter Server mit alter Versionsnummer wird immer wieder bemängelt. Daher macht auch die Zusammenfassung einiger Anbieter über das Bedrohungspotenzial wenig Sinn, das muss jeder Benutzer selbst ermitteln. Er sollte seine Systeme kennen und wissen wie die Meldungen zu interpretieren sind. Kann er das nicht, sollte er auf einen externen Berater zurückgreifen. Schwachstellen-Scans, ob über das Internet oder mit dem Laptop, sind nur ein unterstützender Teil im Gesamtwerk IT-Sicherheit. Die eigentliche Arbeit muss immer noch der Mensch machen.
| Anbieter | Web-GUI | konfigurierbar | Nessus | dynamische IP | kostenlose Dienste |
| IT's secure | ja | Port-Scan | |||
| it.sec | ja | ja | ja | ja | Schwachstellen-Scan |
| Prosumis | ja | ja | ja | Schwachstellen-Scan | |
| Qualys | ja | ja | Schwachstellen-Scan | ||
| Secunia | ja | ja | Schwachstellen-Scan | ||
| Security Metrics | ja | ja | ja | Schwachstellen-Scan | |
| Security Space | ja | ja | Schwachstellen-Scan | ||
| Vigilante |
(dab)
