M 2.173 Festlegung einer WWW-Sicherheitsstrategie
Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Webserver sind für Angreifer sehr attraktive Ziele, da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird. Daher muss der Absicherung eines Webservers ein hoher Stellenwert eingeräumt werden. Vor dem Einrichten eines Webservers sollte in einer WWW-Sicherheitsstrategie beschrieben werden, welche Sicherheitsmaßnahmen in welchem Umfang umzusetzen sind. Anhand der in der WWW-Sicherheitsstrategie festgelegten Anforderungen kann dann regelmäßig überprüft werden, ob die getroffenen Maßnahmen ausreichend sind.
In der Sicherheitsstrategie für den Betrieb eines Webservers sollten die folgenden Fragen beantwortet werden:
- Wer darf welche Informationen einstellen?
- Wer ist für die Aktualität und Korrektheit der Informationen verantwortlich? Falls in einem Bereich mehrere Organisationseinheiten oder Personen Informationen einstellen dürfen, so muss außerdem ein Gesamtverantwortlicher benannt sein, der bei Konflikten entscheidet.
- Welche anderen Systeme und welche Netzverbindungen sind für den sicheren Betrieb des Webservers wichtig? Können zeitweise Störungen oder Ausfälle dieser Systeme gegebenenfalls überbrückt werden?
- Wie werden die Verantwortlichen geschult, insbesondere hinsichtlich möglicher Gefährdungen und einzuhaltender Sicherheitsmaßnahmen?
- Welche Informationen dürfen nicht auf dem Webserver eingestellt werden (z. B. weil die Inhalte vertraulich sind, nicht zur Veröffentlichung geeignet sind oder nicht der Firmen- bzw. Behördenpolitik entsprechen)?
- Welche Zugriffsbeschränkungen auf den Webserver sollen realisiert werden (siehe auch M 2.175 Aufbau eines WWW-Servers)?
Insbesondere wenn der Webserver ein öffentliches Webangebot beherbergt, müssen in der Sicherheitsstrategie auch Reaktionen auf bestimmte webserver-spezifische Sicherheitsvorfälle festgelegt werden (siehe auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen).
- Es sollte festgelegt werden, wie verfahren wird, wenn falsche Informationen auf dem Webserver veröffentlicht wurden. Eventuell reicht das bloße Löschen der entsprechenden Dokumente nicht aus, da diese schon von Besuchern gelesen wurden. Ein solcher Vorfall muss zumindest dokumentiert werden. In Abhängigkeit von der Brisanz der Informationen müssen eventuell die Pressestelle oder die Behörden- oder Unternehmensleitung informiert werden.
- Es sollte beschrieben werden, was beim Verdacht auf einen Hackerangriff auf dem Webserver zu tun ist. Wichtig ist vor allem die Frage, wann der
- Server notfalls vom Netz genommen werden muss und wer die Entscheidung dazu trifft.
- Es sollte eine Reaktion auf ein Defacement des Webservers festgelegt werden, also für den Fall, dass nach einem erfolgreichen Einbruch auf dem Webserver Daten oder besonders die Homepage von den Angreifern verändert wurden. In einem solchen Fall müssen grundsätzlich auch die Behörden- oder Unternehmensleitung sowie die Pressestelle bzw. die für Öffentlichkeitsarbeit zuständige Organisationseinheit informiert werden.
Diese Punkte sollten selbst dann berücksichtigt werden, wenn der Schutzbedarf des Webangebots ansonsten nur als niedrig eingeschätzt wird. Insbesondere ein Hackerangriff oder ein Defacement können unabhängig vom konkreten Schutzbedarf bei allen öffentlichen Webangeboten passieren.
Teil einer Sicherheitsstrategie muss auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein, um rechtzeitig Vorsorge dagegen treffen zu können. Neben den in M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems angesprochenen Informationsquellen ist für Sicherheitshinweise zur WWW-Nutzung besonderes die "World Wide Web Security FAQ" eine wertvolle Quelle. Die Master-Kopie dieses Dokumentes ist unter http://www.w3.org/Security/Faq/ zu finden.
Ergänzende Kontrollfragen:
- Existiert eine Sicherheitsstrategie für den Betrieb eines WWW-Servers?
- Werden die getroffenen Regelungen regelmäßig überprüft und gegebenenfalls angepasst?