Vor kurzem habe ich hier im Blog einige Gedanken rund um Sicherheitsreports veröffentlicht – und warum manche der Bug-Statistiken unter Umständen ein etwas schiefes Bild vermitteln.
 
Im Rahmen der Recherche zu den Reports fiel mir auf, wie viele dieser Erhebungen es eigentlich gibt. Und zwar zu allen möglichen Bereichen wie Bugs, Web-Exploits, Malware, Spam und so weiter. Daher will ich im Folgenden eine – wahrscheinlich unvollständige – alphabetisch sortierte Liste der diversen Reports liefern. Sollte ich ein Unternehmen beziehungsweise den betreffenden Security Report nicht mit aufgenommen haben, so ist das natürlich keine Absicht. Ein Kommentar genügt und ich nehme den fehlendenEintrag noch mit auf.
 
Bit9 Top Vulnerable Applications for IT: Bit9 ermittelt anhand verschiedener Faktoren die verwundbarsten Applikationen.
 
Cloud Security Alliance Top Threats Report: Zweimal pro Jahr erscheinender Bericht, der die relevantesten Bedrohungen für Cloud-Anwendungen zusammen fasst.
 
Cisco Security Report: Speziell für Geschäftskunden konzipierter Sicherheitsreport
 
eleven E-Mail Security Reports: Deutschsprachige Zusammenfassungen von Spam- und Malware-Trends
 
IBM x-Force Trend and Risk Report: Halbjährlich veröffentlichter Report, der einen Überblick gibt über alle Web-Gefahren wie Softwareschwachstellen, Malware, Spam, Phishing und Cyber-Crime-Aktionen.
 
McAfee Threats Report (Link zeigt auf Übersichtsseite, Report-PDFs unter „Berichte und Studien“): Ins Deutsche übersetzte Reports zu verschiedensten Malware-Bedrohungen.
 
MessageLabs Intelligence Report: Report des Symantec-Geschäftsbereichs MessageLabs, der sich auf Besonderheiten rund um Spam spezialisiert
 
Microsoft Security Intelligence Report: Zweimal pro Jahr erscheinender Report, der Auskunft gibt über die weltweite Bedrohungslage durch Schadsoftware auf PCs. Zusammenfassung der Ergebnisse jeweils auch auf Deutsch verfügbar.
 
SANS Top Cyber Security Risks: Vom SANS Institute erstellter Bericht, der existierende Attacken auf Unternehmensnetzwerke zusammenfasst.
 
Sophos Threat Report (Link zeigt auf Halbjahres-Report 2010): Übersicht der neuesten Cyber-Attacken.
 
Symantec Internet Security Threat Report: Jährlich veröffentlichter Report zu den wichtigsten Trends in Sachen Schadsoftware und Cyber-Crime. Quartalsweise erscheinen Ergänzungen zum Jahresbericht.
 
Trustwave Global Security Report: Trustwave analysiert Attacken auf Kundennetzwerke und echte Datenpannen für seinen Report.
 
Veracode State of Software Security Report: Untersuchung verschiedenster Anwendungsarten (Komponenten, Bibliotheken, Web- und Offline-Anwendungen) hinsichtlich ihrer Sicherheit.


Sie sehen, es gibt wirklich zahlreiche Reports und Analysen. Auch wenn manche der Untersuchungen vielleicht dazu dienen, die Dienste und Produkte einzelner Hersteller zu vermarkten, so finde ich die Ansätze dennoch löblich. Denn je mehr Wissen über Angriffe, die verwendeten Techniken und auch die Hintermänner gesammelt wird, desto besser können sich Kunden wappnen. Und desto eher haben auch andere Hersteller von IT-Sicherheitsprodukten eine Chance, ihre Hard- und Software noch effizienter zu machen.

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.