Das amerikanische SANS Institute hat heute seine diesjährige Liste der schwerwiegendsten Sicherheitsprobleme in der IT veröffentlicht.
Obwohl freie Betriebssysteme im Vergleich zu proprietären Lösungen vergleichsweise gut abschneiden, warnt das Institut vor immer komplexeren Angriffsmustern. Die Sicherheitsexperten geben seit einigen Jahren eine Liste heraus, die nach Meinung des Instituts die Schwachstellen zusammenfasst, die den größten Einfluss auf die Sicherheit haben.
Ganz oben auf der Liste stehen zunächst populäre Dienste und Anwendungen aus dem Umfeld von Microsoft Windows, darunter beispielsweise der Internet Explorer und seine Plug-Ins. SANS spricht alleine von Hunderten von Schwachstellen in ActiveX, fügt aber hinzu, dass auch Verwundbarkeiten des Mozilla Firefox gemeldet wurden. Verschiedene Media-Anwendungen wie die Real- oder Flash-Player sowie diverse PDF-Viewer beträfen grundsätzlich alle Plattformen.
Eine der stärksten Zunahmen hat SANS bei Angriffen auf Office-Produkte von Microsoft verzeichnet. Gegenüber der Vorjahresmessung haben sich diese teilweise mehr als verdreifacht. Open Office hingegen wird in dem Bericht, der heute vorgestellt wurde, gar nicht in der Liste der kritischen Fehler erwähnt.
Insgesamt zeigt die Liste wenig Überraschendes: So weisen ihre Verfasser darauf hin, dass Angreifer nach wie vor bereits lange bekannte Schwachstellen automatisiert suchen und ausnutzen. Dazu gehören beispielsweise Schwächen in Backupsoftware, Datenbankservern, schlecht vergebene Berechtigungen oder schwache Passwörter. Vergleichsweise neu ist hingegen, dass vermehrt alternative Übertragungswege in großem Stile genutzt werden. Dazu zählen Instant Messaging, Peer-to-Peer-Netzwerke oder auch Voice-over-IP.
Überhaupt kombinieren die Angreifer ihre Methoden viel stärker als noch vor einigen Jahren, als es primär darum ging, Zugriff zu einem Computer-Account zu bekommen, um die Netzbandbreite oder Speicherplatz eines Systems widerrechtlich zu nutzen. Die neue Generation von Angreifern geht zielgerichteter vor und hat es direkt auf den Zugang zum Bankkonto oder zu sensiblen Unternehmensdaten abgesehen, schreibt SANS in einer Zusammenfassung der Untersuchung.
Einfallstore solcher Angriffe sind häufig Webanwendungen, die knapp die Hälfte aller gemeldeten Vorfälle im vergangenen Jahr ausmachten. Die Komplexität dieser Anwendungen bietet Angreifern eine ungleich größere Fläche für Kompromittierungen als die reinen Port-Scans auf relativ überschaubare Netzwerkdienste. Die Bedeutung letzterer im Hinblick auf Sicherheitsprobleme sieht SANS übrigens schwinden.
Phishing, SQL-Injection und Cross-Site-Scripting sind zwar nichts Neues für Sicherheitsexperten, werden aber nach wie vor regelmäßig erfolgreich von Angreifern eingesetzt. Dabei bedienen sich die Black Hats immer häufiger cross-medialer Ansätze: Moderne Phishing-E-Mails weisen sogar auf Telefonnummern hin, unter denen dann vom Sprachcomputer die problematischen Informationen abgefragt werden.
Versöhnlich ist da die Nachricht, dass sich die Qualität der Basisdienste, die ein System- oder Netzwerkadministrator unter Linux und Unix vorfindet, offenbar verbessert hat. Im Gegensatz zu Windows, dem SANS weiterhin massive Probleme bei Remote Login, Netzwerküberwachung, Verzeichnis- und Dateidiensten bescheinigt, wird bei Unix vorrangig auf Brute-Force-Angriffe und mitunter fehlende Verschlüsslung hingewiesen – beides kann ein erfahrener Admin relativ leicht beheben.
Abschließend warnen die Amerikaner davor, dass Daten auch im besten Wortsinne verloren gehen können. Alleine rund 1,5 Millionen Identitätsdatensätze sind laut SANS unter Berufung auf das Privacy Rights Clearinghouse von Notebooks verloren gegangen. Die 25 Millionen Datensätze der britischen Kollegen waren da wohl noch nicht mitgezählt.
