Bundesamt für Sicherheit in der Informationstechnik

B 5.24 Web-Services

Logo Baustein Web-Services

Beschreibung

Web-Services im Sinne dieses Bausteins sind alle IT-Services, die von einem Betreiber für einen oder mehrere Dienstnehmer (engl.: Consumer) bereitgestellt und über netzbasierte Schnittstellen, in der Regel auf der Grundlage des HTTP -Protokolls, aufgerufen werden können.

In der Abgrenzung zu Webanwendungen (siehe Baustein B 5.21 Webanwendungen ) verfügt der Web-Service dabei über keine Client-Komponente oder visualisierbare Web-Oberfläche, sondern bietet seine Funktionalität über eine definierte Schnittstelle an, die vom Consumer des Web-Service (in der Regel automatisiert) aufgerufen wird. Web-Services können dabei auch von anderen Web-Services aufgerufen werden und mit diesen zusammen eine komplexere übergeordnete Funktionalität realisieren. Die Zusammenstellung verschiedener Web-Services zur Realisierung einer bestimmten Funktionalität wird dabei als Orchestrierung bezeichnet und kann anhand von standardisierten Schnittstellenbeschreibungen auch dynamisch erfolgen. Solche komplexen Architekturen werden als Service-orientierte Architekturen ( SOA ) bezeichnet und können sich auch über Organisationsgrenzen hinweg erstrecken.

An den Schnittstellen kommen typischerweise entweder das XML -basierte SOAP oder das objektorientierte REST-Konzept zum Einsatz. Für Web-Services und ihre Schnittstellen sind zahlreiche Standards publiziert, die in der W-Maßnahme M 4.451 Aktuelle Web-Service Standards in diesem Baustein vorgestellt werden.

Dieser Baustein betrachtet Web-Services stets aus der Sicht des Betreibers. Intitutionen, die ausschließlich als Consumer von Web-Services agieren, modellieren diesen Baustein entsprechend nicht, sondern verwenden geeignete Bausteine wie B 1.11 Outsourcing oder B 1.17 Cloud-Nutzung .

Obwohl Webanwendungen und Web-Services über Gemeinsamkeiten verfügen und teilweise überlappende Sicherheitsmaßnahmen erfordern, wurden im Sinne einer einfacheren Anwendung der IT-Grundschutz-Kataloge beide Bausteine jeweils in sich vollständig erstellt, sodass diese Bausteine alternativ anzuwenden sind, je nachdem, ob die betrachtete Anwendung über eine Benutzer-Oberfläche verfügt (Anwendung des Bausteins Webanwendungen) oder über eine standardisierte Schnittstelle aufgerufen wird (Anwendung des Bausteins Web-Service). Für komplexe Anwendungen, die einerseits eine Web-Anwendung sind, andererseits aber auch Web-Services für andere IT -Systeme bereitstellen, sollen beide Bausteine zusammen modelliert werden.

Gefährdungslage

Die folgenden Gefährdungen sind beim Einsatz von Web-Services relevant:

Organisatorische Mängel

G 2.1Fehlende oder unzureichende Regelungen
G 2.7Unerlaubte Ausübung von Rechten
G 2.22Fehlende oder unzureichende Auswertung von Protokolldaten
G 2.27Fehlende oder unzureichende Dokumentation
G 2.61Unberechtigte Sammlung personenbezogener Daten
G 2.67Ungeeignete Verwaltung von Zutritts-, Zugangs- und Zugriffsrechten
G 2.87Verwendung unsicherer Protokolle in öffentlichen Netzen
G 2.103Unzureichende Schulung der Mitarbeiter
G 2.158Mängel bei der Entwicklung und der Erweiterung von Webanwendungen und Web-Services
G 2.159Unzureichender Schutz personenbezogener Daten bei Webanwendungen und Web-Services
G 2.160Fehlende oder unzureichende Protokollierung
G 2.181Mangelhafte Planung und Konzeption des Einsatzes von Web-Services

Menschliche Fehlhandlungen

G 3.3Nichtbeachtung von Sicherheitsmaßnahmen
G 3.16Fehlerhafte Administration von Zugangs- und Zugriffsrechten
G 3.38Konfigurations- und Bedienungsfehler
G 3.119Fehlerhafte Anwendung von Standards
G 3.120Fehler bei der Orchestrierung
G 3.121Konfigurations- und Administrationsfehler bei Web-Services

Technisches Versagen

G 4.13Verlust gespeicherter Daten
G 4.22Software-Schwachstellen oder -Fehler
G 4.33Schlechte oder fehlende Authentikationsverfahren und -mechanismen
G 4.35Unsichere kryptographische Algorithmen
G 4.84Unzureichende Validierung von Ein- und Ausgabedaten bei Webanwendungen und Web-Services
G 4.85Fehlende oder mangelhafte Fehlerbehandlung durch Webanwendungen und Web-Services
G 4.87Offenlegung vertraulicher Informationen bei Webanwendungen
G 4.94Unbefugter Zugriff auf Daten eines anderen Mandanten bei Webanwendungen und Web-Services

Vorsätzliche Handlungen

G 5.18Systematisches Ausprobieren von Passwörtern
G 5.19Missbrauch von Benutzerrechten
G 5.20Missbrauch von Administratorrechten
G 5.28Verhinderung von Diensten
G 5.87Web-Spoofing
G 5.131SQL-Injection
G 5.165Unberechtigter Zugriff auf oder Manipulation von Daten bei Webanwendungen und Web-Services
G 5.167Fehler in der Logik von Webanwendungen und Web-Services
G 5.168Umgehung clientseitig umgesetzter Sicherheitsfunktionen von Webanwendungen und Web-Services
G 5.169Unzureichendes Session-Management von Webanwendungen und Web-Services
G 5.172Umgehung der Autorisierung bei Webanwendungen und Web-Services
G 5.173Einbindung von fremden Daten und Schadcode bei Webanwendungen und Web-Services
G 5.174Injection-Angriffe
G 5.179Angriffe auf Protokolle
G 5.180Angriffe auf Registries und Repositories
G 5.181Angriffe auf das Identitäts- und Zugriffsmanagement bei Web-Services
G 5.182Manipulation von Routen (Routing Detours)
G 5.183Angriffe auf XML
G 5.184Informationsgewinnung über Web-Services

Maßnahmenempfehlungen

Um den betrachteten Informationsverbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

Im Rahmen des Einsatzes von Web-Services sind eine Reihe von Maßnahmen umzusetzen, beginnend mit der Konzeption über die Beschaffung bis zum Betrieb. Die Schritte, die dabei zu durchlaufen sind, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im Folgenden aufgeführt. Die hier beschriebenen Maßnahmen decken die vorstehenden Gefährdungen für den normalen Schutzbedarf ab.

Planung und Konzeption

Wie bei jeder anderen Art von Anwendung gilt auch für Web-Services, dass die Weichen für eine sichere Realisierung in der Planungsphase gestellt werden. Dies bedeutet insbesondere klare Verantwortlichkeiten, wie in der Maßnahme M 2.1 Festlegung von Verantwortlichkeiten und Regelungen gefordert.

Funktionalität, Architektur und Realisierung des Web-Services müssen geplant (M 4.458 Planung des Einsatzes von Web-Services ) und dokumentiert (M 2.486 Dokumentation der Architektur von Webanwendungen und Web-Services ) sein. Je nachdem, ob der Web-Service durch Lösungen Dritter oder durch Eigenentwicklung realisiert wird, sind die Maßnahmen M 2.80 Erstellung eines Anforderungskatalogs für Standardsoftware beziehungsweise M 2.487 Entwicklung und Erweiterung von Anwendungen zu berücksichtigen. Sofern der Web-Service ein bereits vorhandenes System ablöst oder Daten daraus übernimmt, muss auch die Migration in die Planungsphase eingeschlossen werden (M 2.530 Planung und Vorbereitung von Migrationen ).

Ein weiterer wichtiger Aspekt für die Planung sind Sicherheitsaspekte des Web-Service. Die dazu vorgesehenen Maßnahmen sollten schriftlich festgehalten werden (M 2.531 Erarbeitung einer Sicherheitsrichtlinie für Web-Services ) und umfassen konzeptionelle Maßnahmen gegen SQL-Injections (M 2.363 Schutz gegen SQL-Injection ) ebenso wie Maßnahmen zur sicheren Trrennung der Daten verschiedener Mandanten und Nutzer (M 4.457 Sichere Mandantentrennung bei Webanwendungen und Web-Services ) und Konzepte zur Absicherung der Schnittstellen (M 5.168 Sichere Anbindung von Hintergrundsystemen an Webanwendungen und Web-Services ).

Beschaffung

Die Beschaffung von Komponenten und Lösungen für Web-Services muss nachvollziehbar und geordnet ablaufen und die Prozesse für die Abnahme und Freigabe von IT-Komponenten berücksichtigen (M 2.62 Software-Abnahme- und Freigabe-Verfahren ). Bietet der Betreiber den Web-Service auch Dritten zur Nutzung an, sind die in der Maßnahme M 2.533 Vertragliche Aspekte bei der Bereitstellung von Web-Services beschriebenen Aspekte bei der Vertragsgestaltung mit den Consumern zu berücksichtigen.

Umsetzung

Insbesondere dann, wenn Web-Services als Dienstleistung für Dritte angeboten werden, müssen sicherheitsrelevante Fragen zwischen Anbieter und Consumer geklärt und geregelt werden (Maßnahme M 2.532 Anbieten von Web-Services für Dritte ).

Bei der Realisierung von Web-Services sind einerseits Maßnahmen für die sichere Web-Entwicklung zu beachten, wie sie auch für Webanwendungen gelten: Von der Validierung von Ein- und Ausgabedaten (M 4.393 Umfassende Ein- und Ausgabevalidierung bei Webanwendungen und Web-Services ) über ein robustes Session-Management (M 4.394 Session-Management bei Webanwendungen und Web-Services ) bis zur Vermeidung der Preisgabe unnötiger Informationen in der Fehlerbehandlung und in den Schnittstellenbeschreibungen (M 4.395 Fehlerbehandlung durch Webanwendungen und Web-Services und M 4.400 Restriktive Herausgabe sicherheitsrelevanter Informationen bei Webanwendungen und Web-Services ).

Darüber hinaus sind spezifische Sicherheitsprobleme von Web-Services zu adressieren: Dies umfasst einerseits die sichere Identifizierung und Authentisierung von Web-Service-Dienstnehmer (M 4.456 Authentisierung bei Web-Services ) einschließlich von Maßnahmen zur Verhinderung der Nutzung durch Unberechtigte (M 4.454 Schutz vor unerlaubter Nutzung von Web-Services ). Sofern die Architektur des Web-Services dafür einen Secure-Token-Service (STS) vorsieht, finden sich Hinweise zur richtigen Umsetzung in der Maßnahme M 4.453 Einsatz eines Security Token Service (STS) .

Andererseits muss bei jedem Aufruf des Web-Service sichergestellt werden, dass die aufgerufene Funktionalität durch die Berechtigungen des Aufrufers abgedeckt ist (M 4.454 Schutz vor unerlaubter Nutzung von Web-Services ). Die Kommunikation zwischen Web-Service und Aufrufer muss geeignet geschützt werden (M 4.450 Absicherung der Kommunikation bei Web-Services ), insbesondere wenn sie über unsichere Netze erfolgt.

Ist die Schnittstelle des Web-Service für einen größeren Personenkreis oder gar aus öffentlichen Netzen heraus erreichbar, sollten entsprechende Maßnahmen gegen Angriffe auf die Verfügbarkeit des Web-Service umgesetzt werden (M 4.405 Verhinderung der Blockade von Ressourcen (DoS) bei Webanwendungen und Web-Services ). Um die Robustheit des Web-Service gegen Angriffe zu erhöhen, kann zusätzlich der Einsatz eines XML-Gateways erwogen werden (M 5.175 Einsatz eines XML-Gateways ).

Betrieb

Fragen des sicheren Betriebs von Web-Services umfassen zunächst die Dokumentation und Einrichtung von Berechtigungen für die Consumer (auch wenn der Web-Service durch Anwendungen oder andere Web-Services automatisiert aufgerufen wird, siehe M 2.7 Vergabe von Zugangsberechtigungen und M 2.31 Dokumentation der zugelassenen Benutzer und Rechteprofile ).

Nutzer und Administratoren müssen mit den für sie relevanten Sicherheitsmaßnahmen ausreichend vertraut sein (M 3.5 Schulung zu Sicherheitsmaßnahmen ).

Der Betrieb des Web-Service muss durch geeignete Maßnahmen zur Protokollierung nachvollziehbar sein (M 4.397 Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen und Web-Services ). Da von der Protokollierung in der Regel auch personenbezogene Daten betroffen sind, müssen dabei die Anforderungen des Datenschutzes geeignet berücksichtigt werden (M 2.110 Datenschutzaspekte bei der Protokollierung ). Um sicherheitsrelevante Vorfälle rechtzeitig zu erkennen, muss eine Kontrolle der Protokolldateien sichergestellt werden (M 2.64 Kontrolle der Protokolldateien ), gegebenenfalls durch automatisierte Systeme.

Veränderungen im laufenden Betrieb müssen sorgfältig durchgeführt (M 4.78 Sorgfältige Durchführung von Konfigurationsänderungen ) und dokumentiert werden (M 2.34 Dokumentation der Veränderungen an einem bestehenden System ). Insbesondere ist darauf zu achten, dass bekannt werdende Sicherheitslücken im Web-Service oder einer der von ihm genutzten Komponenten, Frameworks oder Bibliotheken dem Betreiber zur Kenntnis gelangen (M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems ) und nach Möglichkeit behoben oder in anderer Form geeignet behandelt werden (M 2.273 Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates ).

Der ordnungsgemäße, sichere und störungsfreie Betrieb des Web-Service muss durch geeignete Überwachungsmaßnahmen sichergestellt werden (M 4.452 Überwachung eines Web-Service ). Regelmäßige Schwachstellentests dienen zusätzlich der Prävention von Angriffen (M 5.150 Durchführung von Penetrationstests ).

Notfallvorsorge

Ein geeignetes Datensicherungskonzept ist auch für Web-Services eine zentrale Maßnahme der Notfallvorsorge (M 6.32 Regelmäßige Datensicherung ). Weitere Maßnahmen zur Vorsorge und Bewältigung von Notfällen sind in der Maßnahme M 6.154 Notfallmanagement für Web-Services zusammengefasst.

Planung und Konzeption

M 2.1(A)Festlegung von Verantwortlichkeiten und Regelungen
M 2.80(A)Erstellung eines Anforderungskatalogs für Standardsoftware
M 2.363(B)Schutz gegen SQL-Injection
M 2.486(A)Dokumentation der Architektur von Webanwendungen und Web-Services
M 2.487(B)Entwicklung und Erweiterung von Anwendungen
M 2.530(B)Planung und Vorbereitung von Migrationen
M 2.531(A)Erarbeitung einer Sicherheitsrichtlinie für Web-Services
M 4.451(W)Aktuelle Web-Service Standards
M 4.457(B)Sichere Mandantentrennung bei Webanwendungen und Web-Services
M 4.458(A)Planung des Einsatzes von Web-Services
M 5.168(A)Sichere Anbindung von Hintergrundsystemen an Webanwendungen und Web-Services

Beschaffung

M 2.62(B)Software-Abnahme- und Freigabe-Verfahren
M 2.533(C)Vertragliche Aspekte bei der Bereitstellung von Web-Services

Umsetzung

M 2.532(B)Anbieten von Web-Services für Dritte
M 4.393(B)Umfassende Ein- und Ausgabevalidierung bei Webanwendungen und Web-Services
M 4.394(A)Session-Management bei Webanwendungen und Web-Services
M 4.395(B)Fehlerbehandlung durch Webanwendungen und Web-Services
M 4.400(B)Restriktive Herausgabe sicherheitsrelevanter Informationen bei Webanwendungen und Web-Services
M 4.405(C)Verhinderung der Blockade von Ressourcen (DoS) bei Webanwendungen und Web-Services
M 4.450(A)Absicherung der Kommunikation bei Web-Services
M 4.453(Z)Einsatz eines Security Token Service (STS)
M 4.454(A)Schutz vor unerlaubter Nutzung von Web-Services
M 4.455(A)Autorisierung bei Web-Services
M 4.456(A)Authentisierung bei Web-Services
M 5.175(Z)Einsatz eines XML-Gateways

Betrieb

M 2.8(A)Vergabe von Zugriffsrechten
M 2.31(A)Dokumentation der zugelassenen Benutzer und Rechteprofile
M 2.34(A)Dokumentation der Veränderungen an einem bestehenden System
M 2.35(B)Informationsbeschaffung über Sicherheitslücken des Systems
M 2.64(A)Kontrolle der Protokolldateien
M 2.110(A)Datenschutzaspekte bei der Protokollierung
M 2.273(A)Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates
M 3.5(A)Schulung zu Sicherheitsmaßnahmen
M 4.78(A)Sorgfältige Durchführung von Konfigurationsänderungen
M 4.397(C)Protokollierung sicherheitsrelevanter Ereignisse von Web-Anwendungen und Web-Services
M 4.452(A)Überwachung eines Web-Service
M 5.150(Z)Durchführung von Penetrationstests

Notfallvorsorge

M 6.32(A)Regelmäßige Datensicherung
M 6.154(B)Notfallmanagement für Web-Services

Stand: 14. EL Stand 2014

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK