Blog-Übersicht
Wie muss ein Webserver geschützt werden?
Wie muss ein Webserver konkret geschützt werden? Während Art 32 DSGVO (“TOMs”) nur kryptisch eine Beantwortung bietet, lohnt ein Blick in das deutsche BSI, IT-Grundschutz-Kompendium (Baustein APP 3.2 Webserver). Dort werden konkrete Maßnahmen gelistet, die zur Sicherheit des Webservers beitragen sollen.
MUSS-Kriterien:
- Alle Dateien auf dem Webserver, insbesondere Skripte und Konfigurationsdateien, müssen so geschützt werden, dass sie nicht unbefugt gelesen und geändert werden können (Need-to-know-Grundsatz).
- Der Zuständige (Fachverantwortliche) muss dem den Webserver-Prozess einem Benutzerkonto mit minimalen Rechten zuweisen.
- Es muss sichergestellt werden, dass Webanwendungen nur auf einen definierten Verzeichnisbaum zugreifen können.
- Alle mithilfe des Webservers veröffentlichte Dateien müssen vorher auf Schadprogramme geprüft werden.
- Zugriffe und Fehlermeldungen müssen protokolliert werden.
- Austenitisierungen müssen kryptografisch gesichert werden.
- Die rechtlichen Rahmenbedingungen müssen geklärt werden (TKG, Datenschutz, Urheberrecht). Auch sollten die Anforderungen an die Barrierefreiheit beachtet werden!
- Der Webserver muss für alle Verbindungen durch nicht vertrauenswürdige Netze eine sichere Verschlüsselung über TLS anbieten.
SOLL-Kriterien:
- Es sollte geplant und dokumentiert werden, für welche Zwecke der Webserver eingesetzt werden soll und festgelegt werden, wie er in die vorhandene IT-Infrastruktur integriert wird.
- Es sollten Sicherheitsrichtlinien erstellt werden.
- Der Webhoster sollte gewissenhaft ausgewählt werden, wobei auch entsprechende Verträge (SLA) abgeschlossen werden und Audits durchgeführt werden sollten.
- Fehler und Fehlermeldungen sollten analysiert werden.
- Die Zugriffsmöglichkeit von Webcrawlern sollte nach dem Robots-Exclusion-Standard geregelt werden.
- Dateien sollten regelmäßig auf ihre Integrität geprüft werden.
- Regelmäßigkeit sollten Penetrationstests und Revisionen durchgeführt werden.
- Ansprechpartner sollten definiert werden.
Fazit:
Das BSI-Grundschutz-Kompendium ist in vielerlei Hinsicht zu empfehlen. Es gibt konkrete Anhaltspunkte und kann daher auch zur Evaluierung herangezogen werden, ob Webserver lege artis geschützt und betrieben werden.
Blog-Übersicht