Bundesamt für Sicherheit in der Informationstechnik

G 3.56 Fehlerhafte Einbindung des IIS in die Systemumgebung

Der IIS wird weltweit in unterschiedlichen Umgebungen eingesetzt. Als Einsatzumgebung wird die Netztopologie (Anordnung von weiteren Hard- und Software-Komponenten, Netzkomponenten) verstanden, in der der IIS betrieben wird. Als wesentlicher Aspekt ist dabei auch der Kommunikationsbedarf des IIS mit anderen Systemen zu berücksichtigen.

Die Absicherung eines öffentlichen, aus dem Internet erreichbaren Servers ist im Vergleich zu einem im Intranet installierten Server in der Regel mit einem viel höheren Aufwand verbunden. Von entscheidender Bedeutung ist dabei der sichere Einsatz geeigneter Trenneinrichtungen.

Eine unzureichend geplante Netzstruktur, z. B. ohne Demilitarisierte Zone (DMZ) oder eine fehlerhaft konfigurierte Trenneinrichtung (Firewall), kann für einen Angriff aus dem Internet bzw. Intranet ausgenutzt werden.

Ein weiteres Risiko entsteht durch nicht ausreichend dimensionierte Systemressourcen (Firewall, Netzanbindung). Wenn diese Systeme nicht den Anforderungen an die Verfügbarkeit und Performance des eigentlichen Web-Servers entsprechen, besteht die Gefahr eines Single-Point-of-Failure (SPOF).

Beispiel:

Mit Hilfe eines IIS und eines Datenbank-Servers wird eine E-Business-Anwendung realisiert. Befindet sich der Datenbank-Server im gleichen Segment wie der IIS, auf den aus dem Internet zugegriffen werden darf, besteht die Gefahr, dass ein Unbefugter auch auf die Datenbank zugreifen und die vorhanden Datenbestände auslesen oder manipulieren kann.

Stand: Stand 2005