Viele Unternehmensnetzwerke unsicher
IT-Sicherheits-Check mit erschreckenden Ergebnissen

Hannover, 14. November 2002 - Die Sicherheitsinitiative "IT's secure" zeigt erschreckende Ergebnisse: Ein Drittel der überprüften Unternehmensnetze wurde beim Sicherheits-Check beanstandet. Veraltete Dienste und mangelnde Wartung sind die Hauptursachen für die gefundenen Sicherheitslöcher, so das IT-Profimagazin iX in seiner aktuellen Ausgabe 12/2002.

Der IT-Sicherheits-Check, den das iX-Magazin in Kooperation mit dem Unternehmermagazin impulse realisierte, verzeichnete schon am Tag der Freischaltung überraschend starken Andrang: 900 Unternehmen beauftragten eine Überprüfung ihrer Netze, das waren fast zehnmal so viele Teilnehmer wie zunächst erwartet. Die anonymisierten Auswertungen liefern ein aktuelles Bild über den Zustand von Unternehmensnetzen, die per Standleitung ans Internet angebunden sind.

"Die Zahl der ungeschützten Systeme ist erschreckend, zumal jeder erfolgreich angegriffene Host wiederum als Sprungbrett für weitere Attacken dienen kann", beschreibt iX-Redakteur Bert Ungerer die Ergebnisse.

Auffällig ist auch, dass viele Dienste dem Internet gegenüber geöffnet sind, die besser auf das lokale Netz beschränkt sein sollten, etwa Microsoft-Exchange-Server. Was nur für Mitarbeiter hinter einer Firewall bestimmt sein sollte, präsentiert sich dann weltweit jedem Interessenten. Besonders alarmierend: Als einer der häufigsten "Dienste" war ein bösartiges Wurm-Programm zu finden, das veraltete Webserver-Installationen befällt.

Wenig Anlass zur Entwarnung geben auch die Ergebnisse der tiefer gehenden Stufe-2-Scans. Manchmal werden alte Installationen offenbar über Jahre ohne jede Wartung und Softwarepflege betrieben. In solchen Fällen rät iX zu einer grundlegenden Sanierung. "Regelmäßige Integritäts- und Schwachstellenanalysen sind unabdingbar", so Bert Ungerer. "Schwachstellen-Scans, wie sie IT's secure anbietet, können nur ein erster kleiner Schritt sein, um einen Einblick in die bestehenden Systeme zu erhalten. Alles Weitere muss ein kompetenter und vor allem erfahrener Berater oder Mitarbeiter in die Hand nehmen."

Wer noch an dem Sicherheits-Check teilnehmen möchte, kann sich im Web unter http://impulse.de/itssecure oder unter www.heise.de/ix/itssecure informieren und anmelden.