Mit den Tipps und Workshops im ADMIN-Magazin 03/2013 sichern Administratoren ihre Webserver und Netze gegen Angriffe ab: gegen Abhören sensibler Informationen, ... (mehr)

Und was hilft?

Nachdem bis hierher ausführlich die von Exploit-Kits ausgehenden Gefahren zur Sprache kamen, ist es nun an der Zeit, über geeignete Gegenmaßnahmen zum Schutz vor Drive-by-Downloads zu sprechen. Grundsätzlich kommen drei Ansätze in Betracht, die ihre volle Wirkung allerdings erst in Kombination aller Maßnahmen erzielen:

Idealerweise beginnt die Absicherung gegen Exploit-Kits und Drive-by-Downloads schon bei den eigenen Webservern. Denn sind diese erst einmal als Malware-Schleuder aufgefallen, ist es zum einen schwer, das verlorengegangene Vertrauen wiederzugewinnen. Zum anderen stellt sich in einem solchen Fall natürlich auch die Frage nach der Haftung des Betreibers. Denn im Schadensfall muss der Betreiber nachweisen, dass er beim Betrieb des Webservers die "verkehrsübliche Sorgfaltspflicht" beachtet hat (§ 280 BGB, Schadensersatz wegen Pflichtverletzung), die er in der Regel an seinen Administrator delegiert. Erste Admin-Pflicht muss also die regelmäßige Überprüfung der eigenen Webservices auf Exploit-Kits und Malware-Befall sein.

Doch natürlich müssen auch die eigenen Client-Systeme vor Drive-by-Downloads geschützt werden, indem die eingesetzten Browser und Plugins immer auf dem neuesten Stand gehalten werden. Das wird umso schwieriger, wenn sich jeder Benutzer seine individuellen Browser, Plugins und Zusatzsoftware zusammenstellen darf. Es ist daher hilfreich, auch die Benutzer im Rahmen einer Awareness-Kampagne über die Gefahren aus dem Web zu informieren und von der Notwendigkeit der Einhaltung von Unternehmens-Policies zu überzeugen. Denn die beste Sicherheitstechnik nützt nichts, wenn sie von den Benutzern nur als Behinderung wahrgenommen wird und sie dann aktiv versuchen, Sicherheitsmaßnahmen zu umgehen.

Einen dritten Ansatzpunkt schließlich bieten Sicherheitsmaßnahmen am Übergang zum Internet, etwa durch den Einsatz von URL-Filtern und Virenscannern auf dem Internet-Gateway. In Umgebungen, in denen nach dem Bundesdatenschutzgesetz "besondere Arten personenbezogener Daten" verarbeitet werden, ist auch eine besondere Sorgfalt bei der Bereitstellung von Internet-Zugängen erforderlich. Zu den besonders schutzwürdigen personenbezogenen Daten zählen unter anderem Gesundheitsdaten, Informationen über die rassische oder ethnische Herkunft, politische, religiöse, gewerkschaftliche und sexuelle Orientierung. In diesen Umgebungen können grafische Firewalls gute Dienste leisten. Sie entkoppeln den Browser vollständig vom Arbeitsplatz und werden daher auch ReCoBs-Systeme (Remote Controlled Browser Systems) genannt. Auch andere sicherheitskritische Umgebungen, wie sie bei der Verarbeitung von Gesundheitsdaten, Verschlusssachen (VS-NfD) oder NATO-Restricted-Daten gegeben sind, profitieren von einer solchen Lösung. Doch dazu später mehr.

Verbreitungswege für Malware einschränken

Da Sicherheit bekanntlich am Anfang eines jeden Prozesses stehen sollte, ist die wichtigste Maßnahme, bereits bei der Entwicklung von Webapplikationen entsprechende Sorgfalt walten zu lassen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zu diesem Thema in Zusammenarbeit mit dem Sicherheitsdienstleister Securenet bereits im Jahr 2006 einen Maßnahmenkatalog und Best Practices für die Sicherheit von Webanwendungen erstellt [12], der entsprechende Hinweise für Entwickler liefert. Für bereits verfügbare Webapplikationen bietet der Markt entsprechende Tools zur automatischen Sourcecode-Analyse auf Sicherheitslücken, exemplarisch seien hier Fortify [13] und IBMs Rational AppScan [14] genannt.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019