Sicherheit von Firmenwebsites Welche Gefahren gibt es für meine Kunden und mich im Internet? Wie kann ich mich schützen? Mcert Deutsche Gesellschaft für IT-Sicherheit Boris Bierwald SCHAUFENSTER INTERNET, 9. Mai 2005 Mcert Deutsche Gesellschaft für IT-Sicherheit 1
Inhalt 1. IT-Sicherheit im Unternehmen 2. Website-Sicherheit Gefährdungslage Ziele & Schutzmaßnahmen Exemplarische Sicherheitsvorfälle 3. Mcert - Wir über uns Mcert Deutsche Gesellschaft für IT-Sicherheit 2
IT-Sicherheit im Unternehmen Mcert Deutsche Gesellschaft für IT-Sicherheit 3
Elektronische Geschäftsprozesse als Wettbewerbschance Fast 90% der deutschen mittelständischen Unternehmen besitzen einen Web-Auftritt Nur noch 1% komplett Offline Quelle: Studie IBM & Impulse, E-Business im bundesdeutschen Mittelstand 2005 Mcert Deutsche Gesellschaft für IT-Sicherheit 4
Elektronische Geschäftsprozesse als Wettbewerbschance Warum IT-Sicherheit im Unternehmen? Wettbewerbsfaktor: Zeitgemäße IT (Internet, E-Mail, etc.) ist lebenswichtig, aber nicht hinreichend sicher IT wird immer komplexer und schwerer beherrschbar Schutz der Unternehmenswerte: Risiko- und Schadensminimierung Langfristige Absicherung der Geschäftsgrundlage durch wirtschaftlich angemessene Sicherheitsniveaus Kunden und Partner verlangen Erfüllung der IT-Sicherheit Konformität zu gesetzlichen Regelungen Imagezugewinn bei Kunden, Partnern und Hausbank Mcert Deutsche Gesellschaft für IT-Sicherheit 5
IT-Sicherheit im Mittelstand Für große Unternehmen ist IT-Sicherheit bereits selbstverständlich Große IT-Abteilungen Eigene Sicherheitsexperten Genügend Ressourcen für eigene Informationsrecherche, z.b. zu Sicherheitslücken und Viren Hemmnisse im Mittelstand fehlende oder unzureichende Ressourcen (Zeit, Personal, Budget) IT ist keine Kernkompetenz im Unternehmen Kosten-/Nutzenrechnung nicht transparent keine mittelstandgerechten Produkte Mcert Deutsche Gesellschaft für IT-Sicherheit 6
IT-Sicherheit im Mittelstand Grundsicherheit für Firmencomputer schon mit geringen Mitteln sicherzustellen! Unbedingt Notwendig: Aktuelle Antivirensoftware Patch-Management: Sicherheits-Updates zeitnah installieren Zugriffsschutz zum Firmennetzwerk: Firewall Nächste Schritte: Sicherheitsrichtlinien & Konzept: Erstellen, umsetzen und kontrollieren Ohne sichere IT-Infrastruktur nützt kein sicherer Webauftritt. Mcert Deutsche Gesellschaft für IT-Sicherheit 7
Firmenwebsites: Bedrohungen und Maßnahmen Mcert Deutsche Gesellschaft für IT-Sicherheit 8
Gefährdungslage für Websites Webserver & Webanwendungen sind beliebtes Angriffsziel SANS Top 20 Liste der kritischsten IT-Schwachstellen (www.sans.org) Mcert Deutsche Gesellschaft für IT-Sicherheit 9
Gefährdungslage für Websites Sicherheitslücken in Webanwendungen nehmen zu Mcert Deutsche Gesellschaft für IT-Sicherheit 10
Gefährdungslage für Websites Gefährdung aber nicht überbewerten Opportunistische Angreifer (Skript Kiddies): Angriffe nicht zielgerichtet, wählen die erstbesten Opfer nach dem Zufallsprinzip Komplexität: Je mehr Funktionalität, desto größer die Angriffsfläche Outsourcing: Je nach Hosting-Szenario kümmert sich der Hoster (hoffentlich) um die Sicherheit Hosting-Szenarien Einfache statische HTML-Webseiten: nur Informationsangebot Dynamische Website: Fertiglösung oder Eigenentwicklung Dedizierter Server: Root- oder Managed-Server Mcert Deutsche Gesellschaft für IT-Sicherheit 11
Bestimmung der Sicherheitsziele Wovor will ich meine Daten / IT schützen? 1. Vertraulichkeit Sensible Daten geraten in falsche Hände 2. Integrität Wichtige Daten werden manipuliert 3. Verfügbarkeit Daten oder Ressourcen sind nicht verfügbar Welche Ressourcen will ich schützen? Unternehmenskritische Daten / IT bestimmen Mcert Deutsche Gesellschaft für IT-Sicherheit 12
Bestimmung des Schutzbedarfs Sicherheitsniveau muss angemessen sein Kosten/Nutzen Verhältnis muss stimmen 100%ige Sicherheit nicht möglich Webauftritte haben unterschiedlich große Bedeutung für Unternehmen Sensibilität der vorhandenen Daten Mcert Deutsche Gesellschaft für IT-Sicherheit 13
Schutzmaßnahmen Konzeptionelle Maßnahmen Sicherheit schon in der Planungsphase berücksichtigen! Sicherheit bei der Auswahl der Partner einbeziehen (Hoster, Softwareentwickler, Softwarehersteller,...) Sicheren Betrieb mit einplanen (Sicherheit als Prozess) Sicherheitskonzept erstellen Sicherheitsziele und Schutzbedarf definieren Rechtliche Rahmenbedingungen klären Sicherheit zur Chefsache machen, aber Mitarbeiter einbeziehen Mcert Deutsche Gesellschaft für IT-Sicherheit 14
Schutzmaßnahmen Organisatorische Maßnahmen Sicherheitsrichtlinien erstellen und kommunizieren Mitarbeiter schulen (Bewusstsein, Fachkompetenz,...) Dokumentation Notfall-Pläne (Kontaktpersonen, Zuständigkeiten, Recovery,...) Tests der Sicherheitsmaßnahmen (Penetrationstests, Audits, möglichst durch Externe) Informationspolitik gegenüber dem Kunden (Kontaktadresse,...) Vertrauenswürdigkeit der Mitarbeiter Backup-Konzept & Tests der Backups Klare Aufgabenverteilung Mcert Deutsche Gesellschaft für IT-Sicherheit 15
Schutzmaßnahmen Technisch Schutzmaßnahmen Sicherheitsupdates installieren (Betriebssystem, Anwendungen und Webanwendung) Sichere Konfiguration der Komponenten Über aktuelle Schwachstellen und Bedrohungen informieren Monitoring: Kontrolle der Log-Dateien, Erreichbarkeit,... Firewall-Schutz: Zugriffskontrolle auf verschiedenen Ebenen Physische Sicherheit Sensible Daten und Kommunikation verschlüsseln Starke Kunden-Passwörter erzwingen Kompatibilität mit alternativen Web-Browsern Aktive und dynamische Inhalte möglichst gering halten Externe Hilfe wenn nötig Mcert Deutsche Gesellschaft für IT-Sicherheit 16
Sicherheitsvorfälle & Gegenmaßnahmen Beispiele für mögliche Sicherheitsvorfälle & Gegenmaßnahmen Vertraulichkeit Sichere Kommunikationskanäle Diebstahl von Kundendaten Integrität Defacing Verfügbarkeit Ausfälle & Datenverlust Denial-of-Service Angriffe Mcert Deutsche Gesellschaft für IT-Sicherheit 17
Schutz der Vertraulichkeit 1 Sichere Kommunikationskanäle Problem: Abhören der übertragenen Daten im Webverkehr Vor allem in öffentlichen Internet-Zugängen, WLAN-Hotspots,... Lösung: Sichern des Übertragungswegs durch Verschlüsselung der Daten Faustregel: Immer wenn sensible Daten über das Internet ausgetauscht werden, sollte die Kommunikation verschlüsselt werden. (Auch Passwörter sind sensible Daten!) Standard-Verfahren HTTPS = HTTP wird mit SSL/TLS verschlüsselt In fertigen Web-Paketen und Shop-Lösungen meist schon integriert Aufwand gering, kaum Komplikationen Nutzen! Vertrauensfördernde Wirkung beim Kunden Gültigkeit des Zertifikats beachten (Ablauf nach 1 Jahr, Erneuerung,...) Mcert Deutsche Gesellschaft für IT-Sicherheit 18
Schutz der Vertraulichkeit 1 Sichere Kommunikationskanäle HTTPS/SSL schützt Daten vor Mithören Manipulation Entführten Webverbindungen (Man-in-the-Middle Angriffen, Phishing) Hilft nicht bei unsicheren Kunden-PCs (Trojaner, Spyware, Keyloggern) Weniger bekanntes Problem: Unverschlüsselter Administrations-Zugang FTP-Zugang: Administrator-Passwort im Klartext! Lösungen: Ausweichen auf andere Zugriffsmethoden (SSH/SFTP), aber Alternativen vom Provider nicht immer angeboten Zugriff nur aus vertrauenswürdigen Netzwerken Mcert Deutsche Gesellschaft für IT-Sicherheit 19
Schutz der Vertraulichkeit 2 Diebstahl von Kundendaten Beispiel: MyChannel.de Mcert Deutsche Gesellschaft für IT-Sicherheit 20
Schutz der Vertraulichkeit 2 Diebstahl von Kundendaten Der Fall Mychannel.de: Betreiber lagerte kurzzeitig sensible Kundendaten in Datei auf Webserver Kunden-Datei war für jeden Internet-Nutzer zugreifbar Bsp.: http://www.xyz.de/left.php?datei=/../../../home/ph/kundendaten.zip Download der Daten nicht strafbar, da nicht ausreichend gesichert Haftungs-Situation für den Betreiber? Fahrlässigkeit?... Fazit: Sensible Daten dürfen nicht ungeschützt auf öffentlich zugänglichen Servern gespeichert werden Sicherheitsrichtlinie Sicherheitsrichtlinien müssen kommuniziert und eingehalten werden ( Die Daten liegen nur kurz da, ich lösch sie morgen wieder... ) Verbreitete Lücke in Web-Script ( Directory Traversal -Angriff) Security by Obscurity funktioniert nicht ( Diese Datei wird schon keiner finden... ) Suchmaschinen finden mehr als man denkt... Der menschliche Faktor: Auch Sicherheitsexperten machen Fehler ;-) Mcert Deutsche Gesellschaft für IT-Sicherheit 21
Schutz der Integrität Defacing Beispiel Defacing : Verunstalten von Webseiten Hacker dringen über Schwachstellen in Webserver ein Inhalte der Webseiten werden verändert ( defaced ) Folgen: Image-Schaden, Downtime (Säubern des Servers, Forensik,...) Auch automatisierte Würmer aufgetreten (Bsp. Santy-Wurm) Schutzmaßnahmen Sichere Webanwendungen einsetzen Sicherheit als Kriterium für Hoster-Auswahl Schwachstellen in Betriebssystem, Webserver und Webanwendungen rechtzeitig schließen Mcert Deutsche Gesellschaft für IT-Sicherheit 22
Sicherstellen der Verfügbarkeit 1 Ausfälle und Datenverlust Systemausfälle und Datenverslust Ursachen Defekte Hardware Brand Ausfall der Internet-Verbindung Menschliche Fehler: Versehentliches Löschen, vergessene Domain-Verlängerung Mutwillige Zerstörung von Daten durch Dritte Gegenmaßnahmen: Akzeptable Ausfallzeiten definieren Service Level Agreements (SLAs) des Hosters und Supports Redundante Hardware : Netzteile, Festplatten,... Regelmäßige Backups aller Daten Regelmäßige Wiederherstellungs-Tests und auswärtige Lagerung der Backups Mcert Deutsche Gesellschaft für IT-Sicherheit 23
Sicherstellen der Verfügbarkeit 2 Denial-of-Service (DoS) Angriffe Denial-of-Service (DoS) oder Distributed Denial-of-Service (DDoS) Angriffe Webserver werden mit Anfragen überflutet Legitime Anfragen können nicht mehr beantwortet werden Hohe Effektivität bei speziellen Datenpaketen (SYN-Flood, LAND- Attacken,...) Ziel sind i.d.r. nur sehr prominente Webseiten (Beispiele: Japan. Regierungs-Server, heise.de,...) DDoS: Tausende Angreifer (Kompromittierte PCs, Botnetze) Aktiver DoS-Angriff schwierig zu beenden Nicht vollständig im voraus zu verhindern Verursacher nur schwer ausfindig zu machen (Absenderadresse der Datenpakete oft gefälscht) Oft nur in Zusammenarbeit mit Internet-Provider und Experten zu lösen Mcert Deutsche Gesellschaft für IT-Sicherheit 24
Weiterführende Informationen www.bsi.de Bundesamt für die Sicherheit in der Informationstechnik Leitfaden IT-Sicherheit Sicherheit beim Betrieb von Webservern Grundschutzhandbuch, Webserver-Kapitel Technisch: Apache Webserver - Sicherheitsstudie Microsoft Internet Information Server (IIS) - Sicherheitsstudie www.mittelstand-sicher-im-internet.de Leifänden, Checklisten,... Bruce Schneier: Secrets & Lies (Dpunkt Verlag) Unterhaltsame Übersicht über IT-Sicherheit Produkt-Dokumentation Last but not least: www.mcert.de Aktuelle Informationen zu Sicherheitslücken & Bedrohungen Mcert Deutsche Gesellschaft für IT-Sicherheit 25
Mcert Wir über uns Mcert Deutsche Gesellschaft für IT-Sicherheit 26
Wir über uns Mittelstand Computer Emergency Response Team Mcert ist eine Initiative unter Federführung des BITKOM e.v. In Form einer Public Private Partnership Bundesministerium des Innern Bundesministerium für Wirtschaft und Arbeit Kompetente Industriepartner Aladdin, Computer Associates, Datev, Deutsche Telekom, Fujitsu Siemens Computers, Giesecke & Devrient, Microsoft, PSINet, SAP, Strato, Symantec In Kooperation mit dem BSI, dem DIHK und dem BDI Kompetenzpartner der Initiative Deutschland sicher im Netz Mcert Deutsche Gesellschaft für IT-Sicherheit 27
Unser Angebot Sicherheitsinformationen und Handlungsempfehlungen per E-mail Alarm- und Warnmeldungen Update-Informationen und Empfehlungen Sicherheitshinweise Zu allen wichtigen Aspekten der IT-Sicherheit Sicherheitslücken und Schwachstellen Viren, Würmer etc. Sicherheitstexte Schritt-für-Schritt Anleitungen Hintergrundinformationen Mcert Deutsche Gesellschaft für IT-Sicherheit 28
Die Vorteile für Mcert-Nutzer Individuell zugeschnittene Sicherheitsmeldungen aus einer Hand keine überflüssigen Nachrichten Kunden erhalten nur die Meldungen, die auch ihr jeweiliges IT-Profil betreffen Nur eine Informationsquelle begrenzter Zeitaufwand Vorbeugender Schutz durch verständliche Handlungsempfehlungen Bewertung und Risikoeinstufung»auf einen Blick«Verständlich auch für Nicht-Techniker Maßnahmen ergreifen, bevor Schäden entstehen Mcert stellt Ergänzung zu Virenscanner, Firewall & Co. dar Stets über Sicherheitslücken, Gefahren und Updates informiert sein Beteiligung der öffentlichen Hand steht für Qualität und Neutralität Mcert Deutsche Gesellschaft für IT-Sicherheit 29
Unsere Produkte»Mcert Basic«Für kleine Unternehmen ohne eigene IT- Abteilung Kompakte Information Besonders verständliche Meldungen Keine technischen Vorkenntnisse erforderlich Meldungen nur bei dringendem Handlungsbedarf 50 Euro/Jahr»Mcert Professional«Für größere Unternehmen mit eigener IT- Abteilung Umfassende Information Meldungen mit allen technischen Details Zusätzliche Hintergrundfakten für Experten 300 Euro/Jahr Mcert Deutsche Gesellschaft für IT-Sicherheit 30
Initiatoren Premium Sponsoren In Kooperation mit: Kompetenzpartner Mcert Deutsche Gesellschaft für IT-Sicherheit 31