Back-to-School: Aus dem Klassenzimmer vom CAS Information Security & Risk Management. Basis für diesen Lehrgang ist das BSI Grundschutzhandbuch und die Teilnehmenden bereiten sich begleitend auf die CISSP Prüfung vor. Somit ist es ein Teil des 15-tägigen Lehrgangs, ein CISSP- oder BSI-Fachthema als Blogpost aufzubereiten:

Information Security Web-Sicherheit: Welcome to the modern world…

Vorbei sind die Zeiten, in denen ein Webmaster noch jede Zeile Code selbst schrieb und Webseiten nur aus statischem HTML bestanden. In den letzten Jahren wurde es, dank der Verbreitung von CMS-Systemen wie WordPress oder Drupal auch für Laien immer einfacher, selbst eine eigene Webseite auf die Beine zu stellen. Viele vergessen dabei jedoch, dass die Arbeit nach dem Aufschalten der Webseite noch nicht abgeschlossen ist, sondern erst richtig beginnt. Eine Webapplikation wie ein CMS besteht in der Regel aus tausenden Zeilen Code, die beim Aufruf der Seite auf dem Webserver ausgeführt werden. Wie auch andere (nicht Web-)applikationen sind natürlich auch Webapplikationen von Sicherheitslücken betroffen, die von Angreifern ausgenutzt werden können. Diese stellen ein Risiko sowohl für das Business (loss of revenue), die Besucher der Seite (Verbreitung von Viren), für andere User auf demselben Server (bei shared Hosting) wie auch für den Betreiber des Webservers (sog. Hoster) selbst dar.

Information Security: Bewusstsein für Risiken fehlt

Wie erwähnt, sind sich sehr viele Webmaster nicht bewusst, dass eine Webapplikation regelmässig gewartet und auf den neusten Stand gebracht werden muss. Interessant ist hierbei vor allem, dass dieses Bewusstsein nicht nur bei Laien fehlt, sondern teilweise auch bei “professionellen” Webmastern. So führte ich vor einigen Jahren ein spannendes Telefonat mit einem Webmaster, dessen Webseite gehackt wurde. Als wir ihn auf diesen Security Breach aufmerksam machten und ihm mitteilten, dass die Seite in diesem Zustand nicht mehr aufgeschaltet werden kann, war seine Antwort:

“Wie soll ich meinem Kunden erklären, dass seine Webseite bereits nach einem Jahr abgelaufen ist?”

Diese Aussage machte mir sofort klar, dass bei diesem Webmaster keinerlei Bewusstsein dafür vorhanden war, dass seine veraltete und mit Sicherheitslücken gespickte Webseite ein Risiko darstellt. Diese Erkenntnis fand ich deshalb besonders spannend, da ja auch das Aktualisieren und Instandhalten der Webapplikationen für professionelle Webmaster ein Geschäftsfeld darstellen kann. Insofern sollten besonders diese Webmaster ein Interesse daran haben, dass die Webapplikationen ihrer Kunden stets auf dem neuesten Stand sind. Weitere Indikatoren für fehlendes Risikobewusstsein in diesem Bereich sind die Resultate eines Scans, der 2015 von govcert.ch durchgeführt wurde. Bei diesem Versuch wurden WordPress-Webseiten, die unter .ch Domains erreichbar sind, auf deren Version geprüft. Dabei stellte man fest, dass mehr als 70 % der gescannten Seiten eine veraltete Version der Webapplikation einsetzen, die Sicherheitslücken aufweist. Quelle: https://www.govcert.admin.ch/blog

Information Security: Wer hackt meine Webseite?

In der Regel sind gehackte bzw. veränderte Webseiten nicht das Resultat einer auf eine Person oder Organisation gerichteten Attacke. Vielmehr suchen Angreifer das Internet nach unsicheren/veralteten Webapplikationen ab und nutzen die gehackten Seiten, um zum Beispiel Viren oder Spammails darüber zu verbreiten. Ein anderer Grund, weshalb Webapplikationen gehackt werden ist, um diese dann als Teil eines Botnets zu verwenden und so zum Beispiel DDOS-Attacken gegen andere Webseiten oder Internet-Infrastrukturen zu starten. Server von Webhostern sind hier sehr beliebt, da diese meist mit einer grossen Bandbreite an das Internet angebunden sind.

Information Security: Wie schütze ich meine Webseite?

Beim Schutz einer Webapplikation spielen verschiedene Akteure eine Rolle. Angefangen beim Webmaster einer Seite, der unmittelbar für eine Webapplikation verantwortlich ist. Diese Person sollte dafür besorgt sein, dass alle unter ihrer Verantwortung stehenden Webapplikationen stets auf dem neuesten Stand sind. Dabei können zum Beispiel folgende Massnahmen hilfreich sein: Anmeldung auf der Security-Mailingliste der entsprechenden Applikation, um über Sicherheitslücken direkt informiert zu werden. Aktivierung von “Auto-Update”-Funktionen in der Webapplikation. Nutzen von Benachrichtigungs- und einfachen Update-Möglichkeiten, die von vielen Webhostern zur Verfügung gestellt werden Zusätzlich kann ein Webmaster auch regelmässig prüfen lassen, ob seine Webseite nicht plötzlich Viren verbreitet. Eine solche Funktion wird zum Beispiel beim Kauf eines Symantec-SSL-Zertifikates mitgeliefert. Eine weitere Möglichkeit, eine Webapplikation besser zu schützen ist der Einsatz einer Web Application Firewall. Diese erkennt mittels vordefinierten Mustern Attacken auf die Webapplikation und kann diese abfangen, bevor die Anfragen überhaupt die Applikation erreichen. Ein solches Setup ist jedoch sehr komplex und macht nur bei sehr wichtigen Webapplikationen Sinn oder dort, wo sensitive Daten verarbeitet werden. Als nächster Akteur trägt auch der Webhoster einen Teil der Verantwortung für die Sicherheit einer Webseite. Wie anfangs erwähnt, basieren heute viele Webapplikationen auf dynamischen Codes, die mittels sogenannten Interpreter ausgeführt werden – zum Beispiel PHP, Python, Ruby, … Diese Interpreter können ihrerseits ebenfalls Sicherheitslücken enthalten, die von externen Angreifern ausgenutzt werden. Es ist deshalb sehr wichtig, dass auch der Webhoster seine Verantwortung wahrnimmt und seine Systeme auf dem neuesten Stand hält und veraltete Software falls nötig abschaltet. Wenn diese Punkte bedacht und eingehalten werden, ist ein sehr guter Grundschutz der Webapplikation sichergestellt. Damit ist die Webapplikation gegen Attacken sowohl aus internen Netzen wie auch aus dem Internet gewappnet.

---

Blogpost wurde erstelle von Raphael Thoma (Open Systems AG) im Rahmen vom CAS Information Security & Risk Management. Dozenten in diesem sehr praxisorientierten Lehrgang sind: Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG) Rainer Kessler (Governance Concept GmbH), Andreas Wisler (goSecurity GmbH) Beim nächsten CAS live dabei sein? Hier der Link zur Ausschreibung CAS Information Security & Risk Management Persönliche Beratung für den Lehrgang gewünscht? Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.