M 5.168 Sichere Anbindung von Hintergrundsystemen an Webanwendungen
Verantwortlich für Initiierung: Leiter IT, Verantwortliche der einzelnen Anwendungen
Verantwortlich für Umsetzung: Administrator
Webanwendungen verwenden häufig Hintergrundsystemen z. B. für die Datenhaltung in einer Datenbank oder für die Authentisierung durch einen Identitätsspeicher. Die Daten der Webanwendung sind auch bei der Übermittlung und Speicherung in Hintergrundsystemen ausreichend zu schützen. Dazu müssen die Hintergrundsysteme sicher an die Webanwendung angebunden sein.
Typische Hintergrundsysteme von Webanwendungen sind:
- Datenbanken,
- Verzeichnisdienste,
- Middleware,
- Web-Services und
- Legacy-Systeme.
Zur sicheren Anbindung von Hintergrundsystemen an Webanwendungen sollten folgende Punkte beachtet werden:
Platzierung von und Zugriff auf die Hintergrundsysteme
Die Benutzer der Webanwendung sollten nicht direkt auf die Hintergrundsysteme zugreifen können, da so gegebenenfalls die Schutzmaßnahmen der Webanwendung umgangen werden. Stattdessen sollte der Zugriff ausschließlich über vordefinierte Schnittstellen und Funktionen der Webanwendung möglich sein.
Darüber hinaus sollte bei hohem Schutzbedarf die Verbindung von der Webanwendung zu den Hintergrundsystemen zusätzlich geschützt werden. Hierzu sollten sich die Systeme vor der Datenübertragung authentisieren und die übertragenen Daten verschlüsseln, sodass sie nicht unbemerkt mitgelesen oder geändert werden können (z. B. mittels SSL / TLS ; siehe auch M 5.66 Verwendung von TLS/SSL ).
Werden die beteiligten IT-Systeme über unsichere Kanäle angebunden, so sollte in jedem Fall ein kryptographisch abgesicherter Tunnel mit entsprechender Verschlüsselung und Authentisierung verwendet werden.
Zugriffe auf Hintergrundsysteme sollten mit minimalen Rechten erfolgen. Hierfür sollten Dienstekonten auf dem jeweiligen Hintergrundsystem eingerichtet werden.
Wird für den Zugriff auf ein Hintergrundsystem ein einziges Dienstekonto verwendet, werden alle Anfragen im Sicherheitskontext dieses Dienstekontos bearbeitet. Dies gilt dann sowohl für Zugriffe von Benutzern mit eingeschränkten Zugriffsberechtigungen als auch für die Zugriffe administrativer Benutzer. Um dies zu verhindern, sollten mehrere Dienstekonten mit unterschiedlichen Zugriffsrechten für ein Hintergrundsystem verwendet werden.
Bei einer geeigneten Systemumgebung (z. B. bei der Verwendung eines Verzeichnisdienstes, der sowohl von der Webanwendung als auch für das Hintergrundsystem zur Verwaltung der Benutzer verwendet wird), können die Benutzerkonten der Webanwendungsbenutzer an das Hintergrundsystem weitergeleitet werden. Auf diese Weise können die Privilegien auf die notwendigen Rechte des jeweils an der Webanwendung angemeldeten Benutzers limitiert werden.
Es ist darauf zu achten, dass für unauthentisierte Zugriffe auf die Webanwendung ein eigenes Dienstekonto im Verzeichnisdienst mit eingeschränkten Berechtigungen verwendet wird.
Prüffragen:
- Ist der Zugriff auf Hintergrundsysteme von Webanwendungen ausschließlich über definierte Schnittstellen möglich?
- Wird der Datenverkehr zwischen den Benutzern, der Webanwendung und den Hintergrundsystemen durch Sicherheitsgateways (Firewalls) reglementiert?
- Werden die Verbindungen zwischen Webanwendungen und Hintergrundsystemen bei hohem Schutzbedarf durch eine Transportverschlüsselung geschützt?
- Ist sichergestellt, dass Anfragen der Webanwendung an Hintergrundsysteme nur mit minimalen Rechten auf diesen ausgeführt werden?