Bundesamt für Sicherheit in der Informationstechnik

M 2.173 Festlegung einer Webserver-Sicherheitsstrategie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: Administrator, Leiter IT

Webserver sind für Angreifer sehr attraktive Ziele, da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird. Daher muss der Absicherung eines Webservers ein hoher Stellenwert eingeräumt werden. Vor dem Einrichten eines Webservers sollte in einer Webserver-Sicherheitsstrategie beschrieben werden, welche Sicherheitsmaßnahmen in welchem Umfang umzusetzen sind. Anhand der in der Webserver-Sicherheitsstrategie festgelegten Anforderungen kann dann regelmäßig überprüft werden, ob die getroffenen Maßnahmen ausreichend sind.

In der Sicherheitsstrategie für den Betrieb eines Webservers sollten die folgenden Fragen beantwortet werden:

  • Sind Verantwortliche für den sicheren Betrieb des Webservers (Administratoren) und für die inhaltliche Betreuung (Redakteure) benannt worden?
  • Wie werden die Verantwortlichen geschult, insbesondere hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen?
  • Wer erhält Zugriff auf den Webserver mit welchen Rechten?
  • Wer darf welche Informationen einstellen?
  • Wer ist für die Aktualität und Korrektheit der Informationen verantwortlich? Falls in einem Bereich mehrere Organisationseinheiten oder Personen Informationen einstellen dürfen, so muss außerdem ein Gesamtverantwortlicher benannt sein, der bei Konflikten entscheidet.
  • Welche anderen Systeme und welche Netzverbindungen sind für den sicheren Betrieb des Webservers wichtig? Können zeitweise Störungen oder Ausfälle dieser Systeme gegebenenfalls überbrückt werden?
  • Welche Informationen dürfen nicht auf dem Webserver eingestellt werden ( z. B. weil die Inhalte vertraulich sind, nicht zur Veröffentlichung geeignet sind oder nicht der Firmen- bzw. Behördenpolitik entsprechen)?
  • Muss die Integrität und die Vertraulichkeit der Daten bei der Übertragung vom Webserver zum Client geschützt werden? Ist eine Authentisierung des Webservers gegenüber den Clients oder der Clients gegenüber dem Webserver erforderlich?
  • Welche Zugriffsbeschränkungen auf den Webserver sollen realisiert werden (siehe auch M 2.175 Aufbau eines Webservers )?

Durch organisatorische Regelungen oder durch die technische Umsetzung sind dabei insbesondere die folgenden Punkte zu gewährleisten:

  • Auf Webservern dürfen nur Dateien eingestellt werden, die für die Veröffentlichung freigegeben wurden. Es muss festgelegt werden, welche Arten von Informationen zur Veröffentlichung geeignet sind und wer diese freigibt.
  • Vor dem Einstellen von Dateien auf einem Webserver sind diese explizit auf Schadsoftware und Restinformationen zu überprüfen. Außerdem sind sie (zumindest stichprobenartig) daraufhin zu überprüfen, ob die Inhalte zur Veröffentlichung freigegeben sind.
  • Es wird empfohlen, notwendige Funktionen im eigenen Webangebot nicht mit Aktiven Inhalten umzusetzen, sondern dies möglichst Server-seitig zu realisieren.

Alle Regelungen zum Webserver-Einsatz sind schriftlich zu fixieren und sollten den Mitarbeitern jederzeit zur Verfügung stehen.

Die Redakteure müssen vor der Webserver-Nutzung geschult werden, um Fehlbedienungen zu vermeiden und die Einhaltung der organisationsinternen Richtlinien zu gewährleisten. Insbesondere müssen sie hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen sensibilisiert werden.

Insbesondere wenn der Webserver ein öffentliches Webangebot beherbergt, müssen in der Sicherheitsstrategie auch Reaktionen auf bestimmte webserver-spezifische Sicherheitsvorfälle festgelegt werden (siehe auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen).

  • Es sollte festgelegt werden, wie verfahren wird, wenn nicht freigegebene Informationen auf dem Webserver veröffentlicht wurden. Eventuell reicht das bloße Löschen der entsprechenden Dokumente nicht aus, da diese schon von Besuchern gelesen wurden. Ein solcher Vorfall muss zumindest dokumentiert werden. In Abhängigkeit von der Brisanz der Informationen müssen eventuell die Pressestelle, das IS-Management, die Behörden- oder Unternehmensleitung oder externe Stellen informiert werden.
  • Es sollte beschrieben werden, was beim Verdacht auf einen Hackerangriff auf den Webserver zu tun ist. Wichtig ist vor allem die Frage, wann der Server notfalls vom Netz genommen werden muss und wer die Entscheidung dazu trifft.
  • Es sollte eine Reaktion auf ein Defacement des Webservers festgelegt werden, also für den Fall, dass nach einem erfolgreichen Einbruch auf dem Webserver Daten oder besonders die Homepage von den Angreifern verändert wurden. In einem solchen Fall müssen grundsätzlich auch die Behörden- oder Unternehmensleitung sowie die Pressestelle bzw. die für Öffentlichkeitsarbeit zuständige Organisationseinheit informiert werden.

Diese Punkte sollten selbst dann berücksichtigt werden, wenn der Schutzbedarf des Webangebots ansonsten nur als niedrig eingeschätzt wird. Insbesondere ein Hackerangriff oder ein Defacement können unabhängig vom konkreten Schutzbedarf bei allen öffentlichen Webangeboten passieren.

Teil einer Sicherheitsstrategie muss auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein, um rechtzeitig Vorsorge dagegen treffen zu können. Neben den in M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems angesprochenen Informationsquellen ist für Sicherheitshinweise zur Web-Nutzung besonderes die "World Wide Web Security FAQ" eine wertvolle Quelle. Die Master-Kopie dieses Dokumentes ist unter http://www.w3.org/Security/Faq/ zu finden.

Prüffragen:

  • Gibt es eine Web-Sicherheitsstrategie in der Sicherheitsmaßnahmen mit ihrem jeweils geforderten Umfang festgehalten sind?

  • Gibt es Regelungen für die Reaktion auf bestimmte webserverspezifische Sicherheitsvorfälle?

  • Werden für die rechtzeitige Vorsorge gegen Sicherheitslücken regelmäßig Informationen beschafft?

Stand: 13. EL Stand 2013