Das Security-Rezept für Ihre Webserver

OWASP, das „Open Web Application Security Project“, hat es sich als gemeinnützige Organisation zur Aufgabe gemacht, Softwaresicherheit „sichtbarer“ zu machen. Jedes Jahr veröffentlicht es eine Liste mit den zehn größten Sicherheitslücken.

Unser Sicherheitsexperte bei toscom, Wolfgang Hotwagner, hat basierend auf dieser Liste unser Security-Rezept mit den Top 10 Zutaten zusammengestellt – „einfach zum Nachkochen“.

1. Injections

Injection-Angriffe ermöglichen es einem Angreifer, über einen Vektor in ein System Befehle einzubringen, die dann die Abläufe dieses Systems verändern.
Hier stellen vor allem SQL-Injections die größte Gefahr dar. Durch eine Sicherheitslücke kann der Angreifer die Datenbank auslesen oder eigene Malware in die Datenbank einschleusen. Manchmal führen solche Angriffe zu Code-Execution – es wird also ein bestimmter Fremd-Code ausgeführt – und der Angreifer übernimmt die Kontrolle des ganzen Servers.

Die Zutat: toscom Wartung Basis+ Beratung für Webentwickler
Die wichtigste Maßnahme, um Injections vorzubeugen ist, dass die Developer die Webapplikation samt deren Komponenten und Plugins auf dem Laufenden halten.
Wurden die Komponenten selbst programmiert, so sollten diese natürlich entsprechend sicher programmiert sein.
Wir können Ihren Developern beratend zur Seite stehen und sehen über unsere regelmäßigen externen Audits, wo es zu Problemen kommen kann.

2. Broken Authentication

Ein großes Risiko ist der Moment, wenn Zugangsdaten und Sitzungsinformationen ausgetauscht werden, die oft nicht ausreichend vor Angreifern geschützt sind. So sollten Passwörter in der Datenbank mit einem kryptographischen Hash gesichert sein, um es etwa Wörterbuchattacken schwierig zu machen bzw. sie zu verlangsamen. Zudem sollten die Passwörter bestimmte Kriterien erfüllen, um nicht als Eintrittstor für Angreifer zu dienen.

Die Zutat: toscom Wartung Security+
Mit einer Passwort-Policy, die zu kurze und einfache Passwörter im System erst gar nicht zulässt, kann die Auswahl von zu einfachen Passwörtern durch den User wie 123, Ich oder ähnliche ausgeschlossen werden. Die Verschlüsselung der Passwörter gehört bei toscom außerdem zum Standard. Die größte Gefahr bleibt damit nur noch der User selbst, der Passwörter unverschlüsselt an andere User weitergibt oder in seinen Unterlagen speichert.

Eine weitere Sicherheitsvorkehrung ist der Zugriffsschutz. Wenn für bestimmte Dienste nur eine Anmeldung aus dem Büro notwendig ist, sollte auch nur diese IP-Adresse für den Zugriff freigeschaltet sein und alle anderen Zugriffe automatisch geblockt werden.

3. Sensitive Data Exposure

Wenn aufgrund von Sicherheitslücken von außen auf sensitive Daten wie etwa Kreditkarten- oder Kontodaten, aber auch Gesundheitsunterlagen zugegriffen werden kann, spricht man von „Sensitive Data Exposure“. Dies ist am einfachsten, wenn die Daten selbst oder der Austausch nicht verschlüsselt sind.Auch schwache Algorithmen oder schlechte Keys können Gründe dafür sein.

Die Zutat: toscom Wartung Security+
toscom kümmert sich grundsätzlich um die richtige Verschlüsselung und führt bei Security+ auch externe Security Audits durch. Darin werden Probleme aufgezeigt und erkannt, sodass sie behoben werden können, bevor es zu Schäden kommt.

4. XML External Entities

Wenn der XML/YAML-Parser defekt oder falsch konfiguriert ist und die XML-Daten nicht genau prüft, kann dies dazu führen, dass Schadcodes ausgeführt werden können.

Die Zutat: toscom Wartung Security+
toscom kümmert sich grundsätzlich um die richtige Verschlüsselung und führt bei Security+ auch externe Security Audits durch. Darin werden Probleme aufgezeigt und erkannt, sodass sie behoben werden können, bevor es zu Schäden kommt.

5. Broken Access Control

Ein gutes Beispiel für Broken Access Control ist die Vielzahl an ungesicherten Amazon-S3-Objektspeichern, bei denen das Abrufen von Objekten ohne die entsprechenden Rechte möglich ist.

Die Zutat: toscom Wartung Security+
Dem richtigen Einsatz von Firewalls kommt in der IT-Security eine bedeutende Rolle zu. Bei toscom haben wir mehrere im Einsatz.
Dienste, die nicht öffentlich erreichbar sein müssen, werden abgeschirmt und können dadurch erst gar nicht Ziel von Hackerangriffen werden.
Zusätzlich zu den Standardvorkehrungen führt toscom beim Produkt Security+ auch noch Penetrationstests durch.
Dabei werden Systembestandteile und Anwendungen mit Mitteln und Methoden, die auch Hacker verwenden, auf Herz und Nieren getestet.

6. Security Misconfiguration

Fehlkonfigurationen sind sehr weit verbreitet und können auf allen technischen Ebenen auftreten. Bei der Infrastruktur der Applikation bis hin zu den von der Applikation verwendeten Komponenten können falsche Einstellungen vorgenommen worden und damit das Tor für jedermann geöffnet sein.

Die Zutat: toscom Wartung Basis
toscom arbeitet mit einem hohen Grad an Standardisierungen und Automatisierungen. Know-how aus einer Vielzahl an Best Practices fließt in unser Konfigurationsmanagement ein, wodurch Fehlkonfigurationen fast ausgeschlossen sind.
Durch laufendes Monitoring werden darüber hinaus Probleme erkannt, bevor es zu Ausfällen kommt.
Hohe Systemauslastungen, auffällige Zugriffe usw. bleiben damit nicht unerkannt.

7. Cross Site Scripting

Unter Cross-Site Scripting wird die Injektion mit schadhaften Codes von Nutzer-Seite verstanden. Ein schadhaftes Skript kann dadurch über den Browser ausgeführt werden. So ist eine Vielzahl unterschiedlicher Attacken möglich, wie beispielsweise Phishing-Angriffe. Ziel ist es oft, an sensible Benutzerdaten zu erlangen, um Benutzerkonten zu übernehmen.

Die Zutat: toscom Wartung Security+
Auch bei Cross Site Scripting helfen externe Security Audits, die bei Security+ regelmäßig durchgeführt werden.

8. Insecure Deserialization

Insecure Deserialization ist ein sehr häufiger Fehler, von dem nicht nur Java, sondern alle objektorientierten Sprachen betroffen sind. Hier werden Objekte zum Speichern oder Kommunizieren mit anderen Programmteilen serialisiert und anschließend wieder in ein Objekt zurückgeführt. Durch Sicherheitslücken kann beim Deserialisieren Schadcode eingeschleust werden.

Die Zutat: toscom Wartung Security+
Externe IT-Security Audits, die regelmäßig durchgeführt werden, zeigen Schwachstellen durch Programmierfehler auf. Diese können dann rechtzeitig behoben werden.

9. Using Components with Known Vulnerabilities

Wird Software nicht regelmäßig upgedatet und am laufenden Stand gehalten, kommt es schnell zu Schwachstellen, die durch Hacker leicht ausgenützt werden können. Beispielsweise: alte jQuery-Versionen, die in Websites eingebettet sind und dadurch XSS-Attacken (Cross-Site-Scripting) ermöglichen.

Die Zutat: toscom Wartung Security+
Das Einspielen von aktuellen Patches sowie laufende Updates zählen wir bei toscom zu grundlegenden Sicherheitsmaßnahmen. Zusätzlich zu solchen Standardvorkehrungen wird bei toscom System-Hardening betrieben.

Dank Best Practices und Security-Experten im Team können wir Sicherheitseinstellungen „feintunen“: Systemstandardeinstellungen sind im Hinblick auf die Sicherheit häufig nicht optimal. Durch Verschärfen der Grundeinstellungen können durch toscom weitere mögliche Eintrittslücken geschlossen werden.
Bei toscom wird Compliance groß geschrieben. Bestimmte Hardening-Maßnahmen werden immer umgesetzt und es wird überwacht, ob sie stehts eingehalten werden.

10. Insufficient Logging + Monitoring

Bleiben Attacken unbemerkt, führen sie letztendlich oft zum Erfolg. Wenn dann auch noch der erfolgreiche Angriff unentdeckt bleibt, kann der Hacker problemlos seine Rechte ausweiten und weitere Teile der Infrastruktur übernehmen und den Schaden somit ausweiten.

Die Zutat: toscom Wartung Security+
Dank „System Hardening“ wird die IT von innen gestärkt. Mit Securityeinstellungen, dem Einspielen der letzten Patches, sicheren Konfigurationseinstellungen, sicherer Verschlüsselung und einer geeigneten Password Policy sind viele Sicherheitslücken bereits geschlossen. Darüber hinaus führen wir bei toscom regelmäßig externe Audits durch, um zu testen, ob die Lücken auch wirklich noch geschlossen sind.

Darüber hinaus werden bei toscom durch umfangreiche Monitoring-Tools Probleme erkannt, bevor es zu Ausfällen kommt. Hohe Systemauslastungen, auffällige Zugriffsversuche oder die gleichzeitige Ausführung zu vieler Dienste werden von uns sofort erkannt. Umgehend werden Sie über kritische Veränderungen informiert, geeignete Maßnahmen werden getroffen oder vorgeschlagen.

Zusammenfassung

Kurzum – man nehme einen Webserver, suche sich einen Hoster und mischt noch toscom Wartung Security+ dazu. Damit haben Sie es auch schon geschafft und sichergestellt, dass keine der Zutaten fehlt. Hacker haben damit kein leichtes Spiel mehr, denn mit toscom ist nicht gut Kirschen essen.

Ihre Kunden werden sich über den stabilen, sicheren und schnellen Webserver freuen und Ihren Onlineshop schätzen.

Datenschutz
Wir, toscom GmbH (Firmensitz: Österreich), verarbeiten zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in unserer Datenschutzerklärung.
Datenschutz
Wir, toscom GmbH (Firmensitz: Österreich), verarbeiten zum Betrieb dieser Website personenbezogene Daten nur im technisch unbedingt notwendigen Umfang. Alle Details dazu in unserer Datenschutzerklärung.