Options
2002
Report
Title
Analyse von Programmwerkzeugen zur Unterstützung von Schwachstellenanalysen im Bereich IT-Sicherheit
Abstract
Die Wahrung der IT-Sicherheit ist nach dem Stand der Praxis eine Herausforderung für IT-Hersteller und Betreiber, da es keine Sicherheit ohne Schwachstellen gibt. Unter Schwachstellen versteht man beispielsweise mangelhafte Software, schlecht konfigurierte und administrierte Systeme oder Sicherheitsprobleme der Kommunikationsprotokolle und Passwörter. Bei der Gestaltung eines effizienten und Sicherheitsprogramms für die Informationstechnologie spielt die Schwachstellenanalyse eine wesentliche Rolle. Unternehmen brauchen sie, um ihren aktuellen Sicherheitsstatus mit der von ihnen angestrebten Sicherheitsstufe zu vergleichen und zu bewerten. Ziel ist es, ein umfassendes und verständliches Bild der Einhaltung von Sicherheitsrichtlinien innerhalb der IT-Infrastruktur zu liefern. Bisher mangelte es an systematischen, effizienten Verfahren, um verlässliche Sicherheitsanalysen durchzuführen. Das Aufspüren und Beheben von Sicherheitsschwachstellen ist ein hochkreativer Prozess, der erhebliches Spezialwissen, Erfahrung und auch ein gewisses Maß an Intuition erforderte. SchwachstellenAnalysewerkzeuge schaffen Abhilfe. Sie ermöglichen und erleichtern es dem Administrator, Schwachstellen aufzuspüren, den aktuellen Sicherheitsstatus mit Sicherheitsrichtlinien des Unternehmens zu vergleichen und dementsprechende Maßnahmen einzuleiten. Verschiedene Firmen bieten Werkzeuge zur Unterstützung von Schwachstellenanalysen im Bereich IT-Sicherheit an. Ziel des Projekts war es, drei dieser Programmwerkzeuge zu analysieren und zu vergleichen. Zu diesem Zweck wurden das Tool NIXETM vom Fraunhofer Institut für Experimentelles Software Engineering (IESE), das UNIX Security Enhancement and Information Tool (USEIT) Version 2.0 vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie der Symantec Enterprise Security Manager 5.5 (ESM) einander gegenüber gestellt:
Publishing Place
Kaiserslautern