Webserver sichern, aber wie?

von Thorsten Kamp

Das BSI zur Absicherung von Telemediendiensten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein „Diskussionspapier: Absicherung von Telemediendiensten“ für Internet-Dienstleister veröffentlicht. In diesem Dokument werden Empfehlungen gegeben, wie die Anforderungen aus § 13 Abs. 7 TMG erfüllt werden können.

Die Maßnahmen

Das BSI hat für die verschiedenen Providertypen (Content Provider, Host Provider, Access Provider und Cache Provider) insgesamt 19 Maßnahmen nach dem Stand der Technik definiert. Diese werden, je nach Providertyp, in Basis- und Standard-Maßnahmen unterschieden. Nach Ansicht des BSI müssen die Basis-Maßnahmen grundsätzlich umgesetzt werden. Die Standard-Maßnahmen sollten dann zusätzlich umgesetzt werden.

Die Maßnahmen sind sehr kurz und allgemein formuliert. So heißt es in der Maßnahme 1 „Sichere Passwörter“:

„Verwendet der Provider von Telemediendiensten Passwörter zur Authentisierung (z. B. für Benutzer und Administratoren), so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung entscheidend davon abhängig, ob die Passwörter korrekt gebraucht werden. Deshalb müssen durch das Definieren von Richtlinien sichere Passwörter etabliert werden. Beispielsweise müssen die Passwörter hinreichend stark gegenüber Brute-Force-Angriffen sein.“

Es folgen drei Beispiele für Passwörter, wie z. B. Passwörter für die Blog- oder CMS-Software, die mit dieser Maßnahme gemeint sind und ein Verweis auf die Maßnahme 2.11 aus dem IT-Grundschutz.

In den weiteren Maßnahmen werden u.a. allgemeine Hinweise auf Softwareupdates, Backups und Virenscanner gegeben.

Kritik

Der Text der Maßnahme ist nur dann als allererste Informationsquelle geeignet, wenn sich der Leser noch nie mit der Sicherheit eines Dienstes beschäftigt hat. Dabei bietet der fehlende Detailgrad kaum eine Anleitung zu notwendigen Handlungen ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK