Halbwegs sicher oder sicher?

05.03.2019 10:02

Auf einer Skala von 1 bis 10: Wie sehr sind Sie überzeugt, dass Ihre (wichtigste) Webapplikation auf einem sicheren Server betrieben wird? Setzen Sie gedanklich einen Wert ein. Wie hoch ist der Anteil des Gefühls bei dieser Einschätzung und wie hoch der Anteil des Wissens? Keine Angst: Wenn das Wissen lediglich 20 Prozent ausmacht, sind Sie in guter Gesellschaft. Denn diese Frage nach der Sicherheit zu beantworten, ist alles andere als trivial.

Wie beurteilt man die Sicherheit bei einem Webserver?

Die Frage abschliessend zu beantworten, würde zu weit führen. Deshalb schauen wir uns einige Faktoren ein bisschen genauer an. Unter dem Überbegriff «Sicherheit» werden zwei Hauptfelder eingeschlossen.

  • Der Datenschutz: Unter Datenschutz versteht man Massnahmen, die sicherstellen, dass nur befugte Personen in der für sie erlaubten Weise Zugriff auf die Daten haben.
  • Die Datensicherheit: Für die Datensicherheit werden Massnahmen zur Sicherstellung der Integrität und zur Verfügbarkeit der Daten ergriffen.

Datenschutz und Datensicherheit sind deshalb die Hauptziele der Informationssicherheit. Darauf bezogen analysieren wir punktuell relevante Subthemen.

Back-up / Datensicherung: Es beginnt banal: Wer ist vertraglich für die Erstellung von Datensicherungen verpflichtet? Erstellt der Betreiber des Webservers Backups? Und wenn ja, wo und in welcher Kadenz? Ein Back-up über die letzten zwei Tage nützt wenig, wenn man am Montag bemerkt, dass man das Back-up vom Freitag benötigen würde.

Aktualität der Versionen: Führt der Betreiber zeitnah Sicherheitsupdates aus? Nach einer Studie von Deloitte betrachten nur 25 Prozent aller Führungskräfte den Einsatz veralteter Technik als ein grosses oder sehr grosses IT-Sicherheitsrisiko.

Zugriffsschutz auf Systemebene: Der Zugriffsschutz kann aus der Beschränkung auf verschlüsselte Übertragungsprotokolle (SFTP) über eine System-Firewall für die Port-Security bis zu einer IT-Architektur mit Dematerialisierter Zone bestehen. Unabhängig von der aktuellen Lösung gilt: minimale Rechtevergabe für Programme und Nutzer.

sichere Webserver erfordern kompetente Administratoren

Monitoring: Auch in der IT ist das Sprichwort «Vorbeugen ist besser als heilen.» treffend. Arbeitet der Betreiber mit einem abgestuften System mit Früherkennung von kritischen Entwicklungen bei der Beanspruchung der Ressourcen? Ein Beispiel: Wird das File-System nicht überwacht, kann es zu einem Ausfall des Servers kommen, weil der Speicherplatz vollläuft oder aufgebraucht ist. In der Folge kann es zu einem Datenbank-Crash kommen. Dann beginnt die Fehlersuche ein Rennen gegen die Zeit. Denn der Betrieb des Servers bleibt währenddessen gestört.

Störungsprozess: Auf den ersten Blick mag der Zusammenhang zur Sicherheit nicht evident sein. Im Störungsfall ist die Sicherheit auf dem Prüfstand und seit die neue Datenschutz-Grundverordnung (DSGVO) der Europäischen Union in Kraft ist, ist dieser Prozess unter dem Stichwort «Data Breach Notification» ein Muss. Ist der Betreiber in der Lage zu erkennen, welche Personen für welche Informationen autorisiert sind?

Welches Mass an Sicherheit ist sinnvoll?

Die Überlegungen sind nicht neu: Dafür muss man wissen, was der grösstmögliche Schaden aus einem Sicherheitsvorfall ist. Welchen Impact hat ein Schadensereignis auf den Umsatz, auf das Image und auf Forderungen, die sich dadurch ergeben können? Betreibt ein kleines Unternehmen eine «Wer sind wir»-Firmenwebseite für eine nur wenig online-affine Zielgruppe, darf die Sicherheit eine untergeordnete Rolle spielen. Eine ganz andere Sichtweise hat der Verantwortliche einer Website eines global agierenden Unternehmens oder der Betreiber einer Plattform mit einer Softwarelösung.

Die Anforderungen an die Sicherheit sind auch abhängig von der «Lebensphase» der Applikation. Während der Entwicklung oder in der Pre-Live-Phase können im Gegensatz zum Live-Betrieb laschere Konfigurationen zulässig oder wünschenswert sein.

Davon profitieren Sie ganz konkret

Wenn in Ihrem Unternehmen ein Informationssicherheitsmanagementsystems (ISMS) implementiert ist, nehmen Sie diese Richtlinien in das Gespräch mit dem Webserver-Betreiber mit. Halten Sie den Finger auf die kritischen Punkte. Wenn Sie dabei ein ungutes Gefühl haben, evaluieren Sie weiter. Haben Sie kein ISMS implementiert, können Sie auf Checklisten wie jene der VdS-Schadenverhütung GmbH zurückgreifen.

0  Kommentare

Schreiben Sie einen Kommentar zu dieser Seite

Antwort auf: Direkt auf das Thema antworten

9357 - 5
Google+ aktivieren