Bundesamt für Sicherheit in der Informationstechnik

M 2.172 Entwicklung eines Konzeptes für Webangebote

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Leiter IT

Bevor ein Webangebot eingerichtet wird, muss zunächst in einem Konzept dargestellt werden, welche Informationen und Dienste über Webserver angeboten werden sollen. Das Konzept sollte mindestens einen allgemeinen und einen organisatorischen Teil enthalten:

Im allgemeinen Teil sollte beschrieben werden,

  • welche Ziele die Institution mit dem Webangebot verfolgt (handelt es sich um ein reines Informationsangebot, um ein E-Commerce- oder ein E-Government-Angebot?),
  • welches die Zielgruppen des Webangebots sind und
  • welche Informationen oder Dienstleistungen in dem Webangebot zur Verfügung gestellt werden sollen.

Im organisatorischen Teil sollte eine grobe Übersicht darüber gegeben werden, wer in der Institution verantwortlich ist für

  • die Bereitstellung und Aktualisierung der Informationen und
  • die Ausarbeitung und Pflege des optischen Erscheinungsbildes des Webangebots (Webdesign).

Im organisatorischen Teil des Web-Konzepts sollte auch festgelegt werden, wer für die technischen Aspekte des Betriebs des Webservers verantwortlich ist.

Das Konzept für das Webangebot sollte regelmäßig auf Aktualität überprüft werden. Bei Änderungen in den Zielen oder Strategien der Institution muss geprüft werden, welche Auswirkungen diese auf das Web-Konzept haben.

Bei der Entwicklung des Konzeptes sollten folgende Aspekte berücksichtigt werden:

Ein Webangebot kann als rein interner Informationsdienst eingesetzt werden, als Mittelpunkt eines Intranets, oder als öffentliches Angebot im Internet, das verschiedene Dienste anbietet. Je nach Art der geplanten Ausgestaltung unterscheiden sich auch die Sicherheitsanforderungen, die an den Webserver gestellt werden müssen. In einer kleinen Institution, in der ein Webserver als Intranet-Server ohne kritische Anwendungen betrieben wird, sehen die Anforderungen ganz anders aus als für einen Webserver, der ans Internet angeschlossen werden soll und vielleicht sogar Daten enthält, die nicht jeder abrufen können soll.

Wenn sowohl im Intranet als auch im Internet Web-Dienste angeboten werden sollen, empfiehlt es sich, hierfür zwei getrennte Systeme einzusetzen: einen Intranet-Webserver und einen Internet-Webserver. Wenn der Internet-Webserver auch mit dem internen Netz verbunden werden soll, muss der Übergang zum internen Netz durch eine Firewall geschützt werden, siehe Baustein B 3.301 Sicherheitsgateway (Firewall) .

Wenn vorgesehen ist, dass Teile der Inhalte des Webservers aus einer Datenbank kommen sollen, muss auch die Verbindung zur Datenbank in das Firewall-Konzept für den Webserver einbezogen werden. Was bei der Anordnung von Informationsservern zu beachten ist, ist in M 2.77 Integration von Servern in das Sicherheitsgateway beschrieben. Bei der Erarbeitung des Konzepts für das Webangebot sollte zumindest grob festgelegt werden, wie die Anbindung ans Internet geregelt ist und welche Arten von Verbindungen zum internen Netz benötigt werden.

Der Anschluss ans Internet darf erst dann erfolgen, wenn überprüft worden ist, dass mit dem gewählten Web-Konzept sowie den personellen und organisatorischen Randbedingungen alle Risiken beherrscht werden können.

Ein Webserver für die Präsenz einer Institution im Internet muss nicht zwangsläufig von dieser selbst betrieben werden. Wenn die Betriebskosten oder der Administrationsaufwand zu hoch oder die Restrisiken zu unkalkulierbar erscheinen, können auch die entsprechenden Angebote von Internet Service Providern oder anderen Dienstleistern in Anspruch genommen werden, einen Webserver durch diese betreiben zu lassen. In diesem Fall muss der Baustein B 1.11 Outsourcing berücksichtigt werden.

Prüffragen:

  • Gibt es ein Konzept für die Web-Nutzung mit einem allgemeinen und einem organisatorischen Teil?

  • Werden die Ziele der Organisation, die Zielgruppen und die Informationen oder Dienstleistungen des Webangebots definiert?

  • Werden Verantwortliche für die Bereitstellung und Aktualisierung der Informationen, die Ausarbeitung und Pflege des Webdesigns und die technischen Aspekte des Webserverbetriebs festgelegt?

  • Wird das Konzept für das Webangebot regelmäßig auf Aktualität überprüft und nötigenfalls angepasst?

  • Entsprechen die Sicherheitsanforderungen dem Verwendungszweck des Webservers?

  • Wenn der Internet-Webserver mit dem internen Netz verbunden ist: Wird der Übergang vom Webserver zum internen Netz durch eine Firewall geschützt?

  • Bei Anbindung des Webservers an eine Datenbank: Wird die Verbindung des Webservers zur Datenbank auch beim Firewall-Konzept eingeplant?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK