Nicht alle Scanner sind Ihre

Schwachstellenscanner sind automatisierte Werkzeuge (d.h. Bots), die Sicherheitstests auf einer Website oder Webapplikation durchführen und so versuchen, Schwachstellen und Sicherheitslöcher zu finden. Die Auswahl an solchen Tools ist groß. Populäre Scanner sind etwa Metasploit, Burp, Suite, Grendel Scan oder nmap.

Diese Scans werden von zwei Gruppen von Personen durchgeführt: Freundliche, von Ihnen beauftragte Penetrationstester auf der einen Seite und böswillige Kriminelle auf der anderen Seite.

Sicherheitsfirmen verwenden Penetrationstests, um die Infrastruktur von Websites zu testen und ihre IP-Adressen werden in der Regel auf allen Sicherheitsdiensten im eigenen Netzwerk gewhitelistet. Anhand des Ergebnisses können Firmen die Sicherheit ihrer Infrastruktur sukkzessive verbessern und optimieren.

Die dunkle Seite von Penetrationstests wird offensichtlich, wenn die selbe Technik von bösartigen Hackern verwendet wird, ohne dass der Websitebetreiber etwas davon weiß. Diese Tools agieren unbehelligt und tarnen sich im normalen Traffic. Das schlimmste daran: der Sicherheitsbericht befindet sich nun in den Händen eines Kriminellen, der die Schwachstellen später ausnutzen wird, um sich in Ihre Systeme zu hacken.

Ungerichtete Scans sind auch gängige Praxis. Wann immer eine Sicherheitslücke in einer populären Software (z.B. Wordpress) öffentlich wird, versuchen Bots, sich über diese Schwachstelle Zugriff in möglichst viele System zu hacken. Erwarten Sie einen Besuch von Bots, falls Ihre Website auf einer solchen Liste landet.

Schwachstellenscanner führen typischerweise zunächst die Erkundung durch und gehen dann unweigerlich zur Attacke über, falls eine Schwachstelle gefunden wurde. Indem man bereits die Erkundungsphase unterbindet, verhindert man Attacken dieser Art.

Wie erkennen Sie, ob Sie betroffen sind?

Schwachstellenscanner können in der Regel nicht unterscheiden, was sie gerade scannen. Falls Sie eine IP entdecken, die alle Seiten Ihrer Website systematisch aufruft, ist dies ein Hinweis darauf, dass ein Schwachstellenscanner unterwegs ist.

Eine erhöhte Anzahl an 404 (Seite nicht gefunden) Fehlercodes kann auch auf einen Scanner hinweisen.