Qualys bietet einen kostenlosen Netzwerk-Scanning-Service an. Mit ihm können Firmen diejenigen Schwachstellen in ihren Netzen finden, die in der Top-20-Liste des Sicherheitsspezialisten Sans Institute aufgeführt sind.

Diese 20 Sicherheitslücken stellen das Institut sowie Sicherheitsexperten aus der Industrie und von Regierungsbehörden zusammen. Die Liste soll Firmen dabei helfen, diejenigen Löcher zu identifizieren und zu schließen, die am gefährlichsten sind.

»Unsere Top 20 fassen die Risiken für die Cybersicherheit zusammen. Sie führen diejenigen Probleme auf, die über das Jahr gesehen die größten Schäden bei Privatpersonen, Unternehmen und Regierungsbehörden angerichtet haben«, erklärt Alan Paller, Director of Research beim Sans Institute.

Um die Überprüfung durchzuführen, benötigt der kostenlose Qualys-Scan eine IP-Adresse, die via Internet zugänglich ist. Der Prüfvorgang dauert etwa 10 bis 15 Minuten. Die Ergebnisse erhält der User auf einer Web-Seite; er kann sich die Resultate anschließend ausdrucken.

Client-Schwachstellen im Fokus

Die seit mittlerweile sieben Jahren herausgegebene Liste des Sans Institute macht in diesem Jahr eine anhaltende Verlagerung von serverseitigen zu clientseitigen Schwachstellen deutlich. Erkennbar wird dies an Zero-Day-Bedrohungen in beliebten Anwendungen, etwa dem Internet-Explorer, dem Media-Player oder Adobe.

Ein Trend im vergangenen Jahr war das verstärkte Auftreten von Sicherheitslücken in Web-Anwendungen, wie etwa Wikis, Portalen oder solchen Anwendungen, die den Zugriff auf Backend-Datenbanken und Banking-Applikationen ermöglichen.

Das liegt nach Einschätzung von Qualys unter anderem daran, dass die Entwicklung von Web-Anwendungen ein komplizierter Prozess ist. Weil Web-Entwicklungs-Tools wie Java, .Net, Perl, PHP, Ruby aber ebenso flexibel wie komplex sind, können Entwicklungsfehler leicht Sicherheitslücken verursachen.

Über Cross-Site-Scripting an Endgeräte herankommen

Immer öfter setzten Angreifer laut Qualys Techniken wie Cross-Site-Scripting nicht nur dazu ein, um an Informationen zu gelangen, die in der Web-Anwendung selbst gespeichert sind. Sie nutzen sie auch als Ausgangspunkt, um sich Zugriff auf interne Netzwerksegmente und -server und sogar Endnutzergeräte zu verschaffen.

»Die Top-20-Liste ist ein wirkungsvolles Werkzeug, mit dessen Hilfe Unternehmen Prioritäten setzen und die aktuellsten und am weitesten verbreiteten Sicherheitslücken präventiv beseitigen können«, erklärt Amol Sarwate, Leiter des Qualys-Vulnerability-Research-Lab.

»Qualys versteht die Unterstützung des Sans-Instituts als Dienst an seinen Kunden und an der Security-Community insgesamt. Wir stellen die Erkenntnisse aus unseren Untersuchungen zum Schwachstellenmanagement gern zur Verfügung, damit Unternehmen der zunehmenden Bedrohungen durch Sicherheitslücken in clientseitigen und Web-Anwendungen leichter Herr werden«, so Sarwate weiter. »Denn nur so lassen sich kriminelle und schädliche Angriffe verhindern.«