Bundesamt für Sicherheit in der Informationstechnik

Sichere Nutzung von Web-Angeboten (ISi-Web-Client)

Die Nutzung von Web-Angeboten selbst bringt zahlreiche Gefährdungen mit sich, die spezielle Sicherheitsmaßnahmen erforderlich machen. Über das Web kann es einem Angreifer gelingen, in Systeme einzudringen ("Hacking"), die Benutzer zu täuschen, zu betrügen oder Informationen zu stehlen.

Die Studie ISi-Web-Client gibt Empfehlungen, wie diesen Gefährdungen bei normalem Schutzbedarf zu begegnen ist: durch eine robuste Grundarchitektur des eigenen Netzes, eine geeignete Auswahl der Komponenten, sichere Konfigurationseinstellungen sowie systematische Kontrollmechanismen im Betrieb. Zudem werden Varianten aufgezeigt, die auch einen höheren Schutzbedarf abdecken können. Der Fokus der Studie ISi-Web-Client liegt in erster Linie auf der Anwendungsschicht des TCP/IP-Referenzmodells (Schichten 5-7 im OSI-Referenzmodell) und hier insbesondere auf den beiden Protokollen HTTP und HTTPS. Alle aktuellen Angriffs- und Gefährdungsformen auf dieser Ebene werden von ISi-Web-Client im Detail betrachtet.

Folgende Zonen werden im Aufbau der Grundarchitektur unterschieden:

  • Internes Netz: Hier befinden sich die Clients und die internen Server, die Zugriff auf das Web benötigen.
  • Sicherheits-Gateway: Die Filterung gefährlicher Inhalte findet im dreistufigen Sicherheits-Gateway statt, das aus einem äußeren Paketfilter, einem Application-Level Gateway in der Mitte und einem inneren Paketfilter besteht. Alle Web-Inhalte werden im Sicherheits-Gateway auf Applikationsebene durchsucht und als gefährlich angesehene werden entfernt.
  • Internet-PC-Zone: Um potenziell gefährliche Web-Angebote nutzen zu können, stehen in der Internet-PC-Zone eigene Systeme zur Verfügung.
  • Internet-Anbindung: Diese Zone dient dazu, Anfragen aus dem lokalen Netz ins Internet weiterzuleiten und die Antworten abzurufen.
  • Management- und Überwachungszone: Für die Wartung, den Betrieb und die Überwachung der Systeme in den oben genannten Zonen ist ein Management- und Überwachungsnetz notwendig.

Nach der Konzeption der Grundarchitektur des lokalen Netzes kommt der Beschaffung und Konfiguration der verwendeten Komponenten eine zentrale Bedeutung zu. Die Liste der Anforderungen an die Konfiguration der Komponenten hilft schließlich den Administratoren, die Konfiguration der Systeme nach Sicherheitsgesichtspunkten vorzunehmen. Zudem werden jene Prozesse vorgestellt, die für einen sicheren und störungsarmen Betrieb fortwährend durchlaufen werden müssen, um eine effiziente und sichere Nutzung zu gewährleisten.

Das vorgeschlagene Lösungskonzept ist flexibel und anpassbar gestaltet und lässt an verschiedene Anforderungen anpassen.

ISi-Dokumente zur sicheren Nutzung von Web-Angeboten

Bestandteile des Moduls "Sichere Nutzung von Web-Angeboten" sind die Leitlinie (ISi-L) mit einem kurzen Abriss und die Studie (ISi-S) zu diesem Fachthema sowie zugehörige Checklisten (ISi-Check). Die Leitlinie ISi-L richtet sich primär an Führungskräfte und IT-Koordinatoren, die Studie ISi-S an alle IT-Fachleute und die Checkliste ISi-Check speziell an die Administratoren, Programmierer und Web-Entwickler sowie an die Revisoren.

Weitere Informationen

Natürlich hat auch der Nutzer von Webseiten einen Einfluss auf die Sicherheit beim Surfen. Durch eine geeignete Browser-Wahl, das zeitnahe Einspielen aktueller Patches (Programmaktualisierungen) sowie geeignete Einstellungen kann er sich vor vielen Gefahren schützen. Nachfolgend einige Hinweise zu diesem Thema.