zurück zur Übersicht

Ein Server stand in Panama…

Panama-Papers: Server waren nur unzureichend abgesichert Das Internet ist voll von Anleitungen, wie Server aufgesetzt werden können. Mit vermeintlich einfachen Schritten erstellt man sich im Handumdrehen einen File-, Mail- oder Webserver. Doch allzu bequeme, standardisierte Setups haben ihre Tücken: Während der Installation kann es beispielsweise passieren, dass unnötige Services oder Interpreter installiert werden. Bei Webservern kann es z.B. der Fall sein, dass ein FTP-Server (File Transfer Protocol) mit installiert wird, der direkte Zugriffe auf Serverdateien erlaubt. Ungewollt installierte Services werden im Anschluss selten konfiguriert. Im Beispiel des FTP-Servers bedeutet das, ein Teil der gespeicherten Daten kann von außen abgerufen, geändert oder gelöscht werden.

Schon wieder ein Patch?

Unregelmäßiges oder fehlendes Aufspielen sicherheitsrelevanter Patches lässt immer wieder Sicherheitslücken in Unternehmensnetzwerken entstehen. Ein Paradebeispiel hierfür ist die Enthüllung von geschäftlichen Informationen der Firma Mossack Fonseca & CO, den sogenannten Panama-Papers. Angreifern wurde es durch die veralteten Softwarekomponenten sehr einfach gemacht: Das Kundenprotal, mit dem alle Kunden ihre Geschäftsdaten einsehen konnten, basierte auf einer uralten Drupal-Version, die über 25 Schwachstellen aufweist. Unter anderem war es Angreifern möglich SQL-Injections ausführen, um Daten aus der Datenbank zu stehlen. Auf der Webseite setzte man eine veraltete WordPress-Version ein, zusammen mit einer nicht mehr unterstützten Version von Outlook Web Access. Diese wird seit 2013 nicht mehr mit Updates beliefert. Hinzu kam, dass Teile des Back-Ends durch das Erraten der korrekten URLs einsehbar waren.

Ist mein Server verwundbar gegenüber Angriffen?

Sicherheitsrelevante Fehlkonfigurationen können auf jedem Level passieren: Plattform, Webserver, Anwendungsserver, Datenbank, Framework und im Code der Webanwendungen. In der Kategorisierung von OWASP, der sogenannten OWASP TOP10, wird dies als „Security Misconfiguration“ aufgelistet und ist aktuell die fünftkritischste Schwachstelle in webbasierten IT-Systemen. Es muss sichergestellt werden, dass der gesamte Anwendungsstack korrekt konfiguriert wird. Einige Best Practises für verschiedene Betriebssysteme und Serversoftware wurde vom „Center for Internet Security“ im CIS Security Benchmark zusammengestellt. Diese Benchmarks stellen eine Checkliste dar, die von Administratoren Schritt für Schritt abgearbeitet werden kann.

Ist das Abarbeiten von Checklisten fehlerresistent?

In der Praxis ist es nicht immer sinnvoll, Checklisten manuell abzuarbeiten. Die häufige Iteration sorgt bei Beteiligten für Unaufmerksamkeit und Fehler können sich allzu leicht in die Routine einschleichen. Die Fehlerquote erhöht sich zusätzlich, wenn eine große Zahl an Servern tagtäglich konfiguriert werden muss. Hier ist es ratsam, ein gehärtetes Image (Golden Image) zu verwenden, um die Systeme aufzusetzen. Damit kann ein identischer Anfangszustand gewährleistet werden. Ein Image bzw. ein System gilt laut BSI (Bundesamt für Sicherheit in der Informationstechnik) als gehärtet, wenn alle „Softwarebestandteile und Funktionen, die zur Erfüllung der vorgesehenen Aufgabe durch das Programm nicht zwingend notwendig sind“ entfernt wurden (BSI: Leitfaden Informationssicherheit, Seite 45).

Elektrische Augen sehen alles!

Automatisierte Tools können helfen, fehlende Patches, Fehlkonfigurationen, Verwendung von Default-Konten und nicht benötigte Dienste zu entdecken. Ein Beispiel für solche Tools stellt Nessus von der Firma Tenable dar. Administratoren und Anwendungsverantwortliche sind in der Lage mithilfe von Nessus ein Golden-Image zu prüfen, bevor es später bei der Betankung von Servern verwendet wird. Das hat den Vorteil, dass alle Server identisch und schwachstellenfrei konfiguriert werden. Nach der Betankung der Server sollte dann nochmals geprüft werden, ob das Golden Image korrekt eingespielt wurde. So kann gewährleistet werden, dass nur gehärtete Systeme produktiv eingesetzt werden und keine Gefahr im Unternehmen darstellen. Diese Prüfung sollte über die gesamte Einsatzdauer des Systems regelmäßig und kontinuierlich erfolgen, um sicherzustellen, dass alle notwendigen Aktualisierungen eingespielt werden und sich im Rahmen von Konfigurationsanpassungen keine Fehler einschleichen.

Sind Sie sicher, dass alle Ihre Webserver optimal konfiguriert sind? Selbst wenn Sie diese Frage ohne Zögern mit „Ja“ beantworten können – regelmäßige Kontrollen durch unabhängige Dienstleister wie iT-CUBE und korrekt konfigurierte Tools wie Nessus sind in jedem Fall sinnvoll.

Bild: ©iT-CUBE SYSTEMS AG 2016

Schreibe einen Kommentar