Bundesamt für Sicherheit in der Informationstechnik

Empfehlung für Internet-Service-Provider

Schnell zum Abschnitt

Internet-Service-Provider (ISP) haben gemäß §109 Telekommunikationsgesetz (TKG) geeignete technische Vorkehrungen und sonstige Schutzmaßnahmen zu treffen. Die Bundesnetzagentur hat im Benehmen mit dem BSI einen Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten als Grundlage für das Sicherheitskonzept nach §109 TKG (im Folgenden Sicherheitskatalog) erstellt.

Das BSI hat zwischenzeitlich in Zusammenarbeit mit Internet-Service-Providern zu verschiedenen Themenfeldern detaillierte Handlungsempfehlungen veröffentlicht, welche die im oben genannten Sicherheitskatalog beschriebenen Maßnahmen konkretisieren und den derzeitigen Stand der Technik ("Best Current Practise") widerspiegeln.

Absicherung von Telemediendiensten nach Stand der Technik

Mit dem IT-Sicherheitsgesetz soll die Sicherheit informationstechnischer Systeme (IT-Systeme) signifikant verbessert werden. Die Neuregelungen dienen dazu, den Schutz der IT-Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu erhöhen, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können.
Im Zusammenhang mit dem IT-Sicherheitsgesetz wurde auch eine Änderung des Telemediengesetzes (TMG) vorgenommen, die die Verantwortlichen von geschäftsmäßig angebotenen Telemedien bei der Absicherung ihrer IT-Systeme stärker in die Pflicht nimmt (siehe § 13 Abs. 7 TMG).

Dieses Dokument richtet sich an die Adressaten des § 13 Abs. 7 TMG und gibt Empfehlungen, welche Maßnahmen nach dem Stand der Technik zu berücksichtigen sind. Dazu werden im ersten Schritt die verschiedenen Provider-Typen von Telemediendiensten nach TMG erläutert. Im zweiten Schritt werden anhand von Anwendungsfällen für jeden Provider-Typ die zu berücksichtigenden technischen und organisatorischen Maßnahmen dargestellt.

Absicherung von Telemediendiensten nach Stand der Technik (PDF, 557KB, Datei ist barrierefrei⁄barrierearm)

Sicheres Bereitstellen von Online-Werbung – Absicherung von Ad-Servern

Das vorliegende Diskussionspapier "Sicheres Bereitstellen von Online-Werbung – Absicherung von Ad-Servern" richtet sich im Speziellen an die Adressaten der Online-Werbebranche, insbesondere an Betreiber von Ad-Servern und Vermarkter. Das Dokument gibt Empfehlungen, welche Maßnahmen nach dem Stand der Technik zu berücksichtigen sind, um IT-Systeme der Online-Werbebranche technisch abzusichern. Die hier vorgestellten Maßnahmen verstehen sich zum einen als Konkretisierung und zum anderen als Erweiterung der Maßnahmen, die bereits in der Cyber-Sicherheitsempfehlung "Absicherung von Telemediendiensten nach Stand der Technik (PDF, 557KB, Datei ist barrierefrei⁄barrierearm) angegeben worden sind.

Diskussionspapier: Sicheres Bereitstellen von Online-Werbung (PDF, 285KB, Datei ist barrierefrei⁄barrierearm)

Bereitstellung sicherer ISP-Dienstleistungen

Diese Cybersicherheits-Empfehlung gibt eine Übersicht über die technischen Handlungsempfehlungen und wesentliche organisatorische Aspekte.

Sichere Bereitstellung von ISP-Dienstleistungen v1.0 (PDF, 227KB, Datei ist barrierefrei⁄barrierearm)

Malware-Schutz

Schadsoftware auf angeschlossenen Kundensystemen können die Infrastruktur von ISPs beispielsweise durch das Versenden von Spam oder das Durchführen von DDoS-Angriffen schädigen. Die Handlungsempfehlung "Malware-Schutz" gibt eine Zusammenfassung von Maßnahmen zum Schutz vor Schadsoftware, die durch Provider im Privatkundenbereich umgesetzt werden sollten. Die Empfehlungen umfassen die Bereiche Kundenunterstützung (Customer-Support), technische Schutzmaßnahmen sowie providerübergreifende Kooperation.

Malware-Schutz: Handlungsempfehlungen für Internet-Service-Provider v1.0 (PDF, 136KB, Datei ist barrierefrei⁄barrierearm)

Sicheres Webhosting

Ungenügend gesicherte Webseiten und -server im Internet sind als potenzielle Verbreitungswege für Schadprogramme anzusehen und stellen daher eine Bedrohung dar. Die BSI-Empfehlung "Sicheres Webhosting" richtet sich an Webhoster und behandelt Maßnahmen zur Verbesserung der Sicherheit für Webhostingkunden. Hierfür werden die verschiedenen Phasen des Webhostings sowie grundlegende Maßnahmen betrachtet.

Sicheres Webhosting (PDF, 182KB, Datei ist nicht barrierefrei)

E-Mail-Sicherheit

Trotz diverser Vorhersagen, dass sich in Zukunft die Internetkommunikation immer stärker auf soziale Netzwerke verlagern wird, bildet E-Mail derzeit noch immer das meistgenutzte Medium für die Übertragung von elektronischen Nachrichten. Hiermit verbunden ist jedoch auch die Tatsache, dass E-Mail nach wie vor einer der meistgenutzten Transportkanäle für die Verbreitung von Malware, wie Viren, Würmern und Trojanern, ist. Ein nicht minder großes Ärgernis ist das enorme Aufkommen an Spam-Nachrichten, welche nach wie vor den weitaus größten Anteil aller versendeten E-Mails umfassen. Die Handlungsempfehlung "E-Mail-Sicherheit" fasst verschiedene Maßnahmen zur Eindämmung von Malware und Spam sowie zur Absicherung der Postfachzugänge zusammen.

E-Mail-Sicherheit: Handlungsempfehlungen für Internet-Service-Provider v1.0 (PDF, 234KB, Datei ist barrierefrei⁄barrierearm)

Sichere Bereitstellung von Domaindienstleistungen

Internet-Domains sind ein wesentlicher Bestandteil jeder Internetanbindung, da sämtliche Inhalte von Internet-Diensten üblicherweise über Domainnamen adressiert werden. Der zuverlässigen Registrierung und Verwaltung von Internetdomains im weltweiten Domain-Name-Service (DNS)-Verbund kommt daher eine hohe Bedeutung zu. Die Handlungsempfehlung "Sichere Bereitstellung von Domaindienstleistungen" zeigt auf, wie eine sichere Bereitstellung von Domaindienstleistungen erfolgen und einer maliziösen Verwendung von Domainnamen begegnet werden kann.

Sichere Bereitstellung von Domaindienstleistungen v1.0 (PDF, 265KB, Datei ist nicht barrierefrei)

Sichere Bereitstellung von DNS-Diensten

Das DNS-Protokoll weist prinzipielle Schwächen auf. Daher werden regelmäßig neue Schwachstellen gefunden, die die Manipulation von DNS-Einträgen ermöglichen. Die Handlungsempfehlung "Sichere Bereitstellung von DNS-Diensten" beschreibt wesentliche Aspekte, die für einen sicheren und zuverlässigen Betrieb von DNS-Servern umgesetzt sein sollten.

Sichere Bereitstellung von DNS-Diensten v1.0 (PDF, 241KB, Datei ist barrierefrei⁄barrierearm)

Domain Name System Security Extensions (DNSSEC)

Um die Akzeptanz und Verbreitung von DNSSEC zu erhöhen, hat das BSI eine Cyber-Sicherheitsempfehlung zum Thema DNSSEC veröffentlicht. Unter dem Titel "Umsetzung von DNSSEC" richtet sich die Empfehlung sowohl an Inhaber von Domains als auch an Anwender und Registrare und fasst wesentliche Aspekte zusammen, die bei Umsetzung und Betrieb von DNSSEC beachtet werden sollten.

Umsetzung von DNSSEC (PDF, 374KB, Datei ist barrierefrei⁄barrierearm)

Studie zur DNSSEC-Tauglichkeit von Internetzugangsroutern

In der vorliegenden Studie wurden Internetzugangsrouter, die üblicherweise an privaten Internetanschlüssen in Deutschland eingesetzt werden, auf ihre Kompatibilität mit der DNS-Sicherheitserweiterung DNSSEC (Domain Name Security Extensions) sowie weitere Sicherheitseigenschaften untersucht. Die Studie wurde in Zusammenarbeit mit interessierten Herstellern und Internetprovidern erstellt. Eine möglichst vollständige Erfassung des deutschen Marktes beziehungsweise die Erstellung von Einzelbewertungen oder Produktempfehlungen stand nicht im Fokus. Stand der Studie ist April 2010.

DNSSEC-Tauglichkeit von Internetzugangsroutern (PDF, 1MB, Datei ist nicht barrierefrei)

Maßnahmen gegen Reflection Angriffe

Das BSI beobachtet in 2014 eine deutliche Zunahme an Distributed-Denial-of-Service (DDoS) Angriffen, die sogenannte Reflection-Techniken einsetzen. Dabei wird das Zielsystem nicht direkt angegriffen, sondern offen zur Verfügung stehende Dienste im Internet missbraucht. Das Dokument "Maßnahmen gegen Reflection Angriffe" fasst zahlreiche Möglichkeiten zusammen, mit denen Systeme gegen deren Ausnutzung im Rahmen von Reflection-Angriffen abgesichert werden können.

Maßnahmen gegen Reflection Angriffe v1.1 (PDF, 212KB, Datei ist barrierefrei⁄barrierearm)

Anti-DDoS-Maßnahmen

Die Handlungsempfehlung "Anti-DDoS-Maßnahmen" beschreibt Maßnahmen, die zum einen durch interne Umsetzung und zum anderen in Zusammenarbeit mit den Kunden dazu beitragen können, DDoS-Angriffen und deren Auswirkungen entgegenzuwirken.

Anti-DDoS-Maßnahmen v1.0 (PDF, 156KB, Datei ist nicht barrierefrei)

IPv6 für Internet-Service-Provider

Die Handlungsempfehlung "IPv6 für Internet-Service-Provider" gibt Hinweise, die bei der Einführung von IPv6 beachtet werden sollten.

IPv6 für Internet-Service-Provider v1.0 (PDF, 148KB, Datei ist barrierefrei⁄barrierearm)

Inter-Domain-Routing

Inter-Domain-Routing bezeichnet Routing über mehrere autonome Systeme hinweg. Diese Form des Routings wird meist vom Internet-Dienstanbieter administriert. Im Internet stellt das sogenannte Border Gateway Protocol (BGP) den de-facto-Standard für Inter-Domain-Routing dar. Der unbedachte oder nicht ausreichend geprüfte Eingriff in das Routing kann dazu führen, dass Teilbereiche des Netzes nicht mehr erreichbar sind oder Kommunikationswege unbemerkt umgeleitet werden können. Die Ergreifung von Maßnahmen zur Verhinderung der Manipulation von BGP-Routen ist somit eine wichtige Aufgabe. Die Handlungsempfehlung "Inter-Domain-Routing" gibt eine Zusammenfassung gängiger Best-Practice-Ansätze sowie Empfehlungen zur Verbesserung der Sicherheit des Internetroutings.

Inter-Domain-Routing - Handlungsempfehlungen für Internet-Service-Provider (ISP) und große Unternehmen v1.1 (PDF, 215KB, Datei ist barrierefrei⁄barrierearm)

Testkonzept für Breitband-Router

Das Testkonzept des BSI richtet sich vornehmlich an Internet Service Provider und Hersteller von Breitband-Routern. Es verfolgt eine transparente Vorgehensweise und ermöglicht die Überprüfung relevanter Sicherheitseigenschaften von Routern. Die zentralen Punkte des Testkonzepts befassen sich mit grundlegenden sicherheitsrelevanten Funktionen sowie mit der Unterstützung und Einhaltung etablierter Sicherheitsstandards. Darüber hinaus behandelt das Testkonzept exemplarisch bekannte Sicherheitsrisiken und Angriffsszenarien.

Nicht veröffentlicht sind zwei Kapitel, die sich unter anderem mit der Erkennung potentieller Schwachstellen befassen und daher nach dem Traffic Light Protocol als TLP Amber eingestuft sind. Die komplette Fassung des Dokuments können Interessierte per E-Mail gegen eine Vertraulichkeitserklärung nach dem Traffic Light Protocol sowie die Zusicherung, diese Informationen nicht für unerlaubte Angriffe auf Router zu verwenden, unter routertestkonzept@bsi.bund.de anfordern.

Testkonzept für Breitband-Router (PDF, 905KB, Datei ist barrierefrei⁄barrierearm)

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK