Sie befinden sich hier: Themen. IT-Grundschutz. IT-Grundschutz-Kataloge. Dokument: B 5.4 Webserver - IT-Grundschutz-Kataloge - 10. EL Stand 2008
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

B 5.4 Webserver

Logo Webserver

Beschreibung

Das World Wide Web (WWW) ist eines der zentralen Medien der heutigen Informationsgesellschaft. Die Informationsangebote im WWW werden von Servern bereitgestellt, die Daten, meist Dokumente in Form von HTML-Seiten, an entsprechende Clientprogramme ausliefern. Dies erfolgt typischerweise über die Protokolle HTTP (Hypertext Transfer Protocol) oder HTTPS (HTTP über SSL bzw. TLS, d. h. HTTP geschützt durch eine verschlüsselte Verbindung). Neben dem Einsatz im Internet werden Webserver auch in zunehmendem Maße für interne Informationen und Anwendungen in Firmennetzen (Intranet) eingesetzt. Ein Grund dafür ist, dass sie eine einfache und standardisierte Schnittstelle zwischen Server-Anwendungen und Benutzern bieten und entsprechende Client-Software (Webbrowser) für praktisch jede Betriebssystemumgebung kostenlos verfügbar ist.

Die Bezeichnung Webserver (oder auch WWW-Server) wird meist sowohl für das Programm benutzt, welches die HTTP-Anfragen beantwortet, als auch für den Rechner, auf dem dieses Programm läuft. Bei Webservern sind verschiedene Sicherheitsaspekte zu beachten.

Da ein Webserver ein öffentlich zugängliches System darstellt, sind eine sorgfältige Planung vor dem Aufbau eines Webservers und die sichere Installation und Konfiguration des Systems und seiner Netzumgebung von großer Bedeutung. Das Thema Sicherheit umfasst bei Webservern auch deswegen eine relativ große Anzahl von Gebieten, weil auf einem Webserver meist neben der reinen Webserver-Anwendung noch weitere Serveranwendungen vorhanden sind, die zum Betrieb des Webservers erforderlich sind und deren sicherer Betrieb ebenfalls gewährleistet sein muss. Beispielsweise werden die Daten meist über das Netz (etwa per ftp oder scp) auf den Server übertragen oder es wird Zugriff auf eine Datenbank benötigt.

Einige der relevanten Aspekte sollen an dieser Stelle kurz erläutert werden.

Planung des Webauftritts

Ein wichtiger Aspekt der Sicherheit eines Webservers ist bereits relevant, bevor dieser überhaupt existiert: Planung und Organisation des Webangebots. Nur dann, wenn geklärt ist, welche Ziele mit dem Webangebot erreicht werden sollen (handelt es sich um ein reines Informationsangebot, um ein E-Commerce- oder ein E-Government-Angebot?) und welche Inhalte oder Anwendungen zu diesem Zweck angeboten werden, kann durch entsprechende Maßnahmen dafür gesorgt werden, dass Sicherheitsprobleme so weit wie möglich vermieden werden.

Der Aspekt der Sicherheit muss bereits sehr früh in der Planungsphase berücksichtigt werden, um die entstehende Architektur entsprechend sicher auslegen zu können.

Organisation

Bei der Betreuung eines Webangebots sind oft mehrere Organisationseinheiten beteiligt, häufig werden die technische und die inhaltliche Betreuung von verschiedenen Stellen übernommen. Manchmal wird der Server gar nicht mehr in der Organisation selbst betrieben, sondern bei einem externen Dienstleister untergebracht. Für das möglichst reibungslose Funktionieren des Webangebots müssen daher entsprechende organisatorische Rahmenbedingungen geschaffen werden. Idealerweise sollte eine Redaktion für das Webangebot eingerichtet werden (siehe M 2.272 Einrichtung eines WWW-Redaktionsteams ).

Auch bei der Festlegung der organisatorischen Rahmenbedingungen eines Webangebots sollte das Thema Sicherheit eine Rolle spielen. Davon hängt insbesondere eine schnelle und effektive Reaktion auf Probleme ab.

Sicherheit von Datenübertragung und Authentisierungsmechanismen

Generell wird ein Webserver von außen über die HTTP-Schnittstelle angesprochen. Abhängig davon, welches Ziel das Webangebot hat und welche Inhalte und Anwendungen angeboten werden, sind die folgenden Fragen von Bedeutung:

Bei einem reinen Informationsangebot, das öffentlich zugänglich sein soll, werden alle diese Fragen normalerweise verneint werden können. Handelt es sich jedoch um ein E-Commerce- oder E-Government-Angebot, so werden sicherlich mehrere Fragen bejaht.

Im Wesentlichen betreffen diese Fragen nur Eigenschaften der verwendeten Übertragungsprotokolle HTTP oder HTTPS. Spezifisch für den einzelnen Webserver ist dabei nur, inwieweit der Webserver diese Protokolle unterstützt. Diese Punkte können daher als Kriterien für die Auswahl eines Webserver-Produktes herangezogen werden.

Sicherheit der Inhalte und Anwendungen auf dem Webserver

Um die Inhalte und Anwendungen auf dem Server vor unbefugtem Zugriff oder Veränderung zu schützen, ist es wichtig, die Rechte der verschiedenen beteiligten Benutzer klar festzulegen. Die organisatorische und technische Realisierung der Trennung zwischen verschiedenen Benutzern, die eventuell Inhalte auf dem Server einstellen bzw. pflegen dürfen, oder gar zwischen verschiedenen Webangeboten, die gemeinsam auf einem Server beheimatet sind, ist ein wichtiger Aspekt der Sicherheit eines Webangebots.

Technische Sicherheit des Servers

Die Kompromittierung eines Webservers kann erhebliche finanzielle Verluste oder Imageschäden nach sich ziehen. Da es in der Regel keine oder nur wenige (vertrauenswürdige) Anwender auf einem Web-Server gibt, werden die meisten Angriffe nicht lokal, sondern über das Netz ausgeführt. Daher spielt der Schutz des Webservers gegen Angriffe über das Netz (also z. B. über das Internet, aber auch aus dem Intranet heraus) eine sehr wichtige Rolle. Neben Angriffen auf die Webserver-Anwendung sind auch Angriffe auf Schwachstellen des verwendeten Betriebssystems oder anderer Programme möglich, beispielsweise auf eine nicht ausreichend gesicherte Datenbankanbindung, auf einen eventuell vorhandenen ftp-Zugang oder auf per NFS oder SMB freigegebene Verzeichnisse. Oft wird zur Realisierung eines Webangebots auch der Zugriff auf weitere IT-Systeme, etwa einen Datenbankserver, benötigt. Da immer mehr Webangebote nicht mehr ausschließlich aus statischen HTML-Seiten bestehen, sondern beispielsweise über entsprechende Anwendungen Zugriff auf Datenbanken bieten, spielt außerdem die Sicherheit dieser Programme eine zunehmende Rolle.

Gefährdungslage

Für den IT-Grundschutz werden pauschal die folgenden Gefährdungen als typisch im Zusammenhang mit einem Webserver und der Nutzung des WWW angenommen:

Organisatorische Mängel:

- G 2.1 Fehlende oder unzureichende Regelungen
- G 2.4 Unzureichende Kontrolle der IT-Sicherheitsmaßnahmen
- G 2.7 Unerlaubte Ausübung von Rechten
- G 2.9 Mangelhafte Anpassung an Veränderungen beim IT-Einsatz
- G 2.28 Verstöße gegen das Urheberrecht
- G 2.32 Unzureichende Leitungskapazitäten
- G 2.37 Unkontrollierter Aufbau von Kommunikationsverbindungen
- G 2.96 Veraltete oder falsche Informationen in einem Webangebot
- G 2.100 Fehler bei der Beantragung und Verwaltung von Internet-Domainnamen

Menschliche Fehlhandlungen:

- G 3.1 Vertraulichkeits-/Integritätsverlust von Daten durch Fehlverhalten der IT-Benutzer
- G 3.37 Unproduktive Suchzeiten
- G 3.38 Konfigurations- und Bedienungsfehler

Technisches Versagen:

- G 4.10 Komplexität der Zugangsmöglichkeiten zu vernetzten IT-Systemen
- G 4.22 Software-Schwachstellen oder -Fehler
- G 4.39 Software-Konzeptionsfehler

Vorsätzliche Handlungen:

- G 5.2 Manipulation an Informationen oder Software
- G 5.19 Missbrauch von Benutzerrechten
- G 5.20 Missbrauch von Administratorrechten
- G 5.21 Trojanische Pferde
- G 5.23 Computer-Viren
- G 5.28 Verhinderung von Diensten
- G 5.43 Makro-Viren
- G 5.48 IP-Spoofing
- G 5.78 DNS-Spoofing und Pharming
- G 5.87 Web-Spoofing
- G 5.88 Missbrauch aktiver Inhalte

Maßnahmenempfehlungen

Um den betrachteten IT-Verbund abzusichern, müssen zusätzlich zu diesem Baustein noch weitere Bausteine umgesetzt werden, gemäß den Ergebnissen der Modellierung nach IT-Grundschutz.

In diesem Baustein werden die für einen Webserver spezifischen Gefährdungen und Maßnahmen beschrieben. Darüber hinaus muss für die Sicherheit des verwendeten Servers der Baustein B 3.101 Allgemeiner Server umgesetzt werden, sowie je nach dem eingesetzten Betriebssystem beispielsweise die Bausteine B 3.102 Unix-Server oder B 3.108 Windows Server 2003 . Falls das Webangebot Inhalte enthält, die von einer Webanwendung dynamisch aus einer Datenbank erzeugt werden, ist auch der Baustein B 5.7 Datenbanken zu berücksichtigen. Insbesondere dann, wenn der Webserver aus dem Internet heraus angesprochen werden kann, sollte auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen beachtet werden.

Für die sichere Anbindung eines Webservers an öffentliche Netze (z. B. das Internet) ist Baustein B 3.301 Sicherheitsgateway (Firewall) zu betrachten, ebenso wie für den Zusammenschluss mehrerer Intranets zu einem übergreifenden Intranet. Die kontrollierte Anbindung externer Anschlusspunkte (z. B. von Telearbeitsplätzen via ISDN) wird im Baustein B 5.8 Telearbeit behandelt.

Ein Webserver sollte in einem separaten Serverraum aufgestellt werden. Hierbei zu realisierende Maßnahmen sind in Baustein B 2.4 Serverraum beschrieben. Wenn kein Serverraum zur Verfügung steht, kann der Webserver alternativ in einem Serverschrank aufgestellt werden (siehe Baustein B 2.7 Schutzschränke ). Wird der Webserver nicht bei der Organisation selbst, sondern bei einem externen Dienstleister betrieben, so muss Baustein B 1.11 Outsourcing betrachtet werden.

Für den erfolgreichen und sicheren Aufbau eines Webservers sind eine Reihe von Maßnahmen umzusetzen. Die Schritte, die dabei durchlaufen werden sollten, sowie die Maßnahmen, die in den jeweiligen Schritten beachtet werden sollten, sind im folgenden aufgeführt.

  1. Planung des Einsatzes (siehe M 2.172 Entwicklung eines Konzeptes für die Web-Nutzung ) und Festlegung einer WWW-Sicherheitsstrategie (siehe M 2.173 Festlegung einer Web-Sicherheitsstrategie ):
    • Festlegung des Einsatzzwecks des Webservers
    • Festlegung der Sicherheitsziele
    • Gegebenenfalls Auswahl geeigneter Authentisierungsmechanismen
    • Anpassung der Netzstruktur
    • Organisatorische Regelungen
  2. Einrichtung des Webservers (siehe M 2.175 Aufbau eines Webservers ):
  3. Betrieb des Webservers (siehe M 2.174 Sicherer Betrieb eines Webservers ):
  4. Sicherer Betrieb von WWW-Clients
    Obwohl der sichere Betrieb von WWW-Clients (Arbeitsplatzrechner) nicht direkt zum Thema Webserver gehört, sollen an dieser Stelle einige Hinweise zur Sicherheit von Webbrowsern gegeben werden. Für jeden (Client-) Rechner, der mit dem Internet verbunden wird, müssen die entsprechenden Maßnahmen aus dem hier anzuwendenden Baustein B 3.201 Allgemeiner Client umgesetzt werden. Für den sicheren Zugriff auf das WWW sind außerdem folgende Maßnahmen zu beachten:

Nachfolgend wird das Maßnahmenbündel für den Bereich "Webserver" vorgestellt. Auf eine Wiederholung von Maßnahmen anderer Bausteine wird hier aus Redundanzgründen verzichtet.

Planung und Konzeption

- M 2.172 (A) Entwicklung eines Konzeptes für die Web-Nutzung
- M 2.173 (A) Festlegung einer Web-Sicherheitsstrategie
- M 2.175 (A) Aufbau eines Webservers
- M 2.271 (A) Festlegung einer Sicherheitsstrategie für den WWW-Zugang
- M 2.272 (A) Einrichtung eines WWW-Redaktionsteams
- M 2.298 (Z) Verwaltung von Internet-Domainnamen
- M 4.34 (Z) Einsatz von Verschlüsselung, Checksummen oder Digitalen Signaturen
- M 4.176 (B) Auswahl einer Authentisierungsmethode für Webangebote
- M 5.64 (Z) Secure Shell
- M 5.66 (Z) Verwendung von SSL
- M 5.69 (A) Schutz vor aktiven Inhalten

Beschaffung

- M 2.176 (B) Geeignete Auswahl eines Internet Service Providers

Umsetzung

- M 4.94 (A) Schutz der WWW-Dateien
- M 4.95 (A) Minimales Betriebssystem
- M 4.96 (Z) Abschaltung von DNS
- M 4.97 (Z) Ein Dienst pro Server
- M 4.98 (A) Kommunikation durch Paketfilter auf Minimum beschränken
- M 4.99 (C) Schutz gegen nachträgliche Veränderungen von Informationen

Betrieb

- M 2.174 (A) Sicherer Betrieb eines Webservers
- M 2.273 (A) Zeitnahes Einspielen sicherheitsrelevanter Patches und Updates
- M 4.33 (A) Einsatz eines Viren-Suchprogramms bei Datenträgeraustausch und Datenübertragung
- M 4.64 (C) Verifizieren der zu übertragenden Daten vor Weitergabe / Beseitigung von Restinformationen
- M 4.78 (A) Sorgfältige Durchführung von Konfigurationsänderungen
- M 4.177 (B) Sicherstellung der Integrität und Authentizität von Softwarepaketen
- M 5.59 (A) Schutz vor DNS-Spoofing

Notfallvorsorge

- M 6.88 (B) Erstellen eines Notfallplans für den Webserver