IT-Grundschutzkompendium des BSI

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
app_anwendungen:app.3.2_webserver

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung
app_anwendungen:app.3.2_webserver [2024/12/07 20:39] muapp_anwendungen:app.3.2_webserver [2024/12/17 21:36] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
-== APP.3.2 Webserver == +====== APP.3.2 Webserver ======
- +
- +
- +
-=== Beschreibung === +
  
 +===== Beschreibung =====
  
 ==== Einleitung ==== ==== Einleitung ====
Zeile 21: Zeile 17:
 Der Baustein muss auf alle Webserver des Informationsverbunds angewendet werden. Der Baustein muss auf alle Webserver des Informationsverbunds angewendet werden.
  
-Die Bezeichnung Webserver wird sowohl für die Software verwendet, welche die HTTP-Anfragen beantwortet, als auch für die IT-Systeme, auf denen diese Software ausgeführt wird. In diesem Baustein wird vorrangig die Webserver-Software betrachtet. Sicherheitsaspekte des IT-Systems, auf dem die Webserver-Software installiert ist, werden im Baustein [[sys_it-systeme:sys.1.1_allgemeiner_server|SYS.1.1 Allgemeiner Server]] sowie den jeweiligen betriebssystemspezifischen Bausteinen betrachtet.+Die Bezeichnung Webserver wird sowohl für die Software verwendet, welche die HTTP-Anfragen beantwortet, als auch für die IT-Systeme, auf denen diese Software ausgeführt wird. In diesem Baustein wird vorrangig die Webserver-Software betrachtet. Sicherheitsaspekte des IT-Systems, auf dem die Webserver-Software installiert ist, werden im Baustein [[sys_it-systeme:sys.1.1_allgemeiner_server|SYS.1.1]] Allgemeiner Server sowie den jeweiligen betriebssystemspezifischen Bausteinen betrachtet.
  
-Empfehlungen, wie Webserver in die Netzarchitektur zu integrieren und mit Firewalls abzusichern sind, finden sich in den Bausteinen [[net_netze_und_kommunikation:net.1.1_netzarchitektur_und_-design|NET.1.1 Netzarchitektur und -design]] bzw. [[net_netze_und_kommunikation:net.3.2_firewall|NET.3.2 Firewall]].+Empfehlungen, wie Webserver in die Netzarchitektur zu integrieren und mit Firewalls abzusichern sind, finden sich in den Bausteinen [[net_netze_und_kommunikation:net.1.1_netzarchitektur_und_-design|NET.1.1]] Netzarchitektur und -design bzw. [[net_netze_und_kommunikation:net.3.2_firewall|NET.3.2]] Firewall .
  
-Der Baustein behandelt grundsätzliche Aspekte, die für die Bereitstellung von Webinhalten wichtig sind. Dynamische Inhalte, die durch Webanwendungen bereitgestellt werden, sind nicht Gegenstand des vorliegenden Bausteins. Diese werden im Baustein [[app_anwendungen:app.3.1_webanwendungen_und_webservices|APP.3.1 Webanwendungen und Webservices]] behandelt. Ebenso werden hier keine Webservices betrachtet.+Der Baustein behandelt grundsätzliche Aspekte, die für die Bereitstellung von Webinhalten wichtig sind. Dynamische Inhalte, die durch Webanwendungen bereitgestellt werden, sind nicht Gegenstand des vorliegenden Bausteins. Diese werden im Baustein [[app_anwendungen:app.3.1_webanwendungen_und_webservices|APP.3.1]] Webanwendungen und Webservices behandelt. Ebenso werden hier keine Webservices betrachtet.
  
-Webbrowser werden in diesem Baustein nicht betrachtet. Anforderungen dazu sind im Baustein [[app_anwendungen:app.1.2_webbrowser|APP.1.2 Webbrowser]] zu finden.+Webbrowser werden in diesem Baustein nicht betrachtet. Anforderungen dazu sind im Baustein [[app_anwendungen:app.1.2_webbrowser|APP.1.2]] Webbrowser zu finden.
  
-In der Regel werden die Verbindungen zu Webservern verschlüsselt. Der Baustein CON.1 Kryptokonzept beschreibt, wie die dazu notwendigen kryptografischen Schlüssel sicher verwaltet werden können.+In der Regel werden die Verbindungen zu Webservern verschlüsselt. Der Baustein [[con_konzepte_und_vorgehensweisen:con.1_kryptokonzept|CON.1]] Kryptokonzept beschreibt, wie die dazu notwendigen kryptografischen Schlüssel sicher verwaltet werden können.
  
-Werden Webserver nicht selbst betrieben, sondern über einen Hosting-Anbieter bereitgestellt, ist der Baustein [[ops_betrieb:ops.2.3_nutzung_von_outsourcing|OPS.2.3 Nutzung von Outsourcing]] zu beachten.+Werden Webserver nicht selbst betrieben, sondern über einen Hosting-Anbieter bereitgestellt, ist der Baustein [[ops_betrieb:ops.2.3_nutzung_von_outsourcing|OPS.2.3]] Nutzung von Outsourcing zu beachten.
  
-Oft werden Authentisierungsmechanismen für Webserver verwendet. Ergänzende Anforderungen dazu finden sich im Baustein [[orp_organisation_und_personal:orp.4_identitaets-_und_berechtigungsmanagement|ORP.4 Identitäts- und Berechtigungsmanagement]].+Oft werden Authentisierungsmechanismen für Webserver verwendet. Ergänzende Anforderungen dazu finden sich im Baustein [[orp_organisation_und_personal:orp.4_identitaets-_und_berechtigungsmanagement|ORP.4]] Identitäts- und Berechtigungsmanagement .
  
-=== Gefährdungslage ===+===== Gefährdungslage =====
  
-Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt. Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein [[app_anwendungen:app.3.2_webserver|APP.3.2 Webserver]] von besonderer Bedeutung.+Da IT-Grundschutz-Bausteine nicht auf individuelle Informationsverbünde eingehen können, werden zur Darstellung der Gefährdungslage typische Szenarien zugrunde gelegt. Die folgenden spezifischen Bedrohungen und Schwachstellen sind für den Baustein [[app_anwendungen:app.3.2_webserver|APP.3.2]] Webserver von besonderer Bedeutung.
  
 ==== Reputationsverlust ==== ==== Reputationsverlust ====
Zeile 65: Zeile 61:
 Treten während des Betriebs eines Webservers Fehler auf, kann sich das z. B. auf dessen Verfügbarkeit auswirken. Auch werden eventuell Inhalte unvollständig dargestellt oder Sicherheitsmechanismen fallen aus. Werden Fehler nicht korrekt behandelt, sind sowohl der Betrieb als auch der Schutz der Funktionen und Daten eines Webservers nicht mehr gewährleistet. Treten während des Betriebs eines Webservers Fehler auf, kann sich das z. B. auf dessen Verfügbarkeit auswirken. Auch werden eventuell Inhalte unvollständig dargestellt oder Sicherheitsmechanismen fallen aus. Werden Fehler nicht korrekt behandelt, sind sowohl der Betrieb als auch der Schutz der Funktionen und Daten eines Webservers nicht mehr gewährleistet.
  
-=== Anforderungen ===+===== Anforderungen =====
  
-Im Folgenden sind die spezifischen Anforderungen des Bausteins APP.3.2 Webserver aufgeführt. Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.+Im Folgenden sind die spezifischen Anforderungen des Bausteins [[app_anwendungen:app.3.2_webserver|APP.3.2]] Webserver aufgeführt. Der oder die Informationssicherheitsbeauftragte (ISB) ist dafür zuständig, dass alle Anforderungen gemäß dem festgelegten Sicherheitskonzept erfüllt und überprüft werden. Bei strategischen Entscheidungen ist der oder die ISB stets einzubeziehen.
  
 Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert. Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist. Im IT-Grundschutz-Kompendium sind darüber hinaus weitere Rollen definiert. Sie sollten besetzt werden, insofern dies sinnvoll und angemessen ist.
Zeile 77: Zeile 73:
 Die folgenden Anforderungen MÜSSEN für diesen Baustein vorrangig erfüllt werden. Die folgenden Anforderungen MÜSSEN für diesen Baustein vorrangig erfüllt werden.
  
- +=== APP.3.2.A1 Sichere Konfiguration eines Webservers (B) ===
-===== APP.3.2.A1 Sichere Konfiguration eines Webservers (B) =====+
  
 Nachdem der IT-Betrieb einen Webserver installiert hat, MUSS er eine sichere Grundkonfiguration vornehmen. Dazu MUSS er insbesondere den Webserver-Prozess einem Konto mit minimalen Rechten zuweisen. Der Webserver MUSS in einer gekapselten Umgebung ausgeführt werden, sofern dies vom Betriebssystem unterstützt wird. Ist dies nicht möglich, SOLLTE jeder Webserver auf einem eigenen physischen oder virtuellen Server ausgeführt werden. Nachdem der IT-Betrieb einen Webserver installiert hat, MUSS er eine sichere Grundkonfiguration vornehmen. Dazu MUSS er insbesondere den Webserver-Prozess einem Konto mit minimalen Rechten zuweisen. Der Webserver MUSS in einer gekapselten Umgebung ausgeführt werden, sofern dies vom Betriebssystem unterstützt wird. Ist dies nicht möglich, SOLLTE jeder Webserver auf einem eigenen physischen oder virtuellen Server ausgeführt werden.
Zeile 84: Zeile 79:
 Dem Webserver-Dienst MÜSSEN alle nicht notwendige Schreibberechtigungen entzogen werden. Nicht benötigte Module und Funktionen des Webservers MÜSSEN deaktiviert werden. Dem Webserver-Dienst MÜSSEN alle nicht notwendige Schreibberechtigungen entzogen werden. Nicht benötigte Module und Funktionen des Webservers MÜSSEN deaktiviert werden.
  
-===== APP.3.2.A2 Schutz der Webserver-Dateien (B) =====+=== APP.3.2.A2 Schutz der Webserver-Dateien (B) ===
  
 Der IT-Betrieb MUSS alle Dateien auf dem Webserver, insbesondere Skripte und Konfigurationsdateien, so schützen, dass sie nicht unbefugt gelesen und geändert werden können. Der IT-Betrieb MUSS alle Dateien auf dem Webserver, insbesondere Skripte und Konfigurationsdateien, so schützen, dass sie nicht unbefugt gelesen und geändert werden können.
Zeile 92: Zeile 87:
 Der IT-Betrieb MUSS alle nicht benötigten Funktionen, die Verzeichnisse auflisten, deaktivieren. Vertrauliche Daten MÜSSEN vor unberechtigtem Zugriff geschützt werden. Insbesondere MUSS der IT-Betrieb sicherstellen, dass vertrauliche Dateien nicht in öffentlichen Verzeichnissen des Webservers liegen. Der IT-Betrieb MUSS regelmäßig überprüfen, ob vertrauliche Dateien in öffentlichen Verzeichnissen gespeichert wurden. Der IT-Betrieb MUSS alle nicht benötigten Funktionen, die Verzeichnisse auflisten, deaktivieren. Vertrauliche Daten MÜSSEN vor unberechtigtem Zugriff geschützt werden. Insbesondere MUSS der IT-Betrieb sicherstellen, dass vertrauliche Dateien nicht in öffentlichen Verzeichnissen des Webservers liegen. Der IT-Betrieb MUSS regelmäßig überprüfen, ob vertrauliche Dateien in öffentlichen Verzeichnissen gespeichert wurden.
  
-===== APP.3.2.A3 Absicherung von Datei-Uploads und -Downloads (B) =====+=== APP.3.2.A3 Absicherung von Datei-Uploads und -Downloads (B) ===
  
 Alle mithilfe des Webservers veröffentlichten Dateien MÜSSEN vorher auf Schadprogramme geprüft werden. Es MUSS eine Maximalgröße für Datei-Uploads spezifiziert sein. Für Uploads MUSS genügend Speicherplatz reserviert werden. Alle mithilfe des Webservers veröffentlichten Dateien MÜSSEN vorher auf Schadprogramme geprüft werden. Es MUSS eine Maximalgröße für Datei-Uploads spezifiziert sein. Für Uploads MUSS genügend Speicherplatz reserviert werden.
  
-===== APP.3.2.A4 Protokollierung von Ereignissen (B) =====+=== APP.3.2.A4 Protokollierung von Ereignissen (B) ===
  
 Der Webserver MUSS mindestens folgende Ereignisse protokollieren: Der Webserver MUSS mindestens folgende Ereignisse protokollieren:
Zeile 102: Zeile 97:
 Die Protokollierungsdaten SOLLTEN regelmäßig ausgewertet werden. Die Protokollierungsdaten SOLLTEN regelmäßig ausgewertet werden.
  
-===== APP.3.2.A5 Authentisierung (B) =====+  * erfolgreiche Zugriffe auf Ressourcen, 
 +  * fehlgeschlagene Zugriffe auf Ressourcen aufgrund von mangelnder Berechtigung, nicht vorhandenen Ressourcen und Server-Fehlern sowie 
 +  * allgemeine Fehlermeldungen. 
 + 
 +=== APP.3.2.A5 Authentisierung (B) ===
  
 Wenn sich Clients mit Hilfe von Passwörtern am Webserver authentisieren, MÜSSEN diese kryptografisch gesichert und vor unbefugtem Zugriff geschützt gespeichert werden. Wenn sich Clients mit Hilfe von Passwörtern am Webserver authentisieren, MÜSSEN diese kryptografisch gesichert und vor unbefugtem Zugriff geschützt gespeichert werden.
  
-===== APP.3.2.A6 ENTFALLEN (B) =====+=== APP.3.2.A6 ENTFALLEN (B) ===
  
 Diese Anforderung ist entfallen. Diese Anforderung ist entfallen.
  
-===== APP.3.2.A7 Rechtliche Rahmenbedingungen für Webangebote (B) [Fachverantwortliche, Zentrale Verwaltung, Compliance-Beauftragte]  =====+=== APP.3.2.A7 Rechtliche Rahmenbedingungen für Webangebote (B) [Fachverantwortliche, Zentrale Verwaltung, Compliance-Beauftragte] ===
  
 Werden über den Webserver Inhalte für Dritte publiziert oder Dienste angeboten, MÜSSEN dabei die relevanten rechtlichen Rahmenbedingungen beachtet werden. Die Institution MUSS die jeweiligen Telemedien- und Datenschutzgesetze sowie das Urheberrecht einhalten. Werden über den Webserver Inhalte für Dritte publiziert oder Dienste angeboten, MÜSSEN dabei die relevanten rechtlichen Rahmenbedingungen beachtet werden. Die Institution MUSS die jeweiligen Telemedien- und Datenschutzgesetze sowie das Urheberrecht einhalten.
  
-===== APP.3.2.A11 Verschlüsselung über TLS (B) =====+=== APP.3.2.A11 Verschlüsselung über TLS (B) ===
  
 Der Webserver MUSS für alle Verbindungen durch nicht vertrauenswürdige Netze eine sichere Verschlüsselung über TLS anbieten (HTTPS). Falls es aus Kompatibilitätsgründen erforderlich ist, veraltete Verfahren zu verwenden, SOLLTEN diese auf so wenige Fälle wie möglich beschränkt werden. Der Webserver MUSS für alle Verbindungen durch nicht vertrauenswürdige Netze eine sichere Verschlüsselung über TLS anbieten (HTTPS). Falls es aus Kompatibilitätsgründen erforderlich ist, veraltete Verfahren zu verwenden, SOLLTEN diese auf so wenige Fälle wie möglich beschränkt werden.
Zeile 124: Zeile 123:
 Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für diesen Baustein. Sie SOLLTEN grundsätzlich erfüllt werden. Gemeinsam mit den Basis-Anforderungen entsprechen die folgenden Anforderungen dem Stand der Technik für diesen Baustein. Sie SOLLTEN grundsätzlich erfüllt werden.
  
-===== APP.3.2.A8 Planung des Einsatzes eines Webservers (S) =====+=== APP.3.2.A8 Planung des Einsatzes eines Webservers (S) ===
  
 Es SOLLTE geplant und dokumentiert werden, für welchen Zweck der Webserver eingesetzt und welche Inhalte er bereitstellen soll. In der Dokumentation SOLLTEN auch die Informationen oder Dienstleistungen des Webangebots und die jeweiligen Zielgruppen beschrieben werden. Für den technischen Betrieb und die Webinhalte SOLLTEN geeignete Zuständige festgelegt werden. Es SOLLTE geplant und dokumentiert werden, für welchen Zweck der Webserver eingesetzt und welche Inhalte er bereitstellen soll. In der Dokumentation SOLLTEN auch die Informationen oder Dienstleistungen des Webangebots und die jeweiligen Zielgruppen beschrieben werden. Für den technischen Betrieb und die Webinhalte SOLLTEN geeignete Zuständige festgelegt werden.
  
-===== APP.3.2.A9 Festlegung einer Sicherheitsrichtlinie für den Webserver (S) =====+=== APP.3.2.A9 Festlegung einer Sicherheitsrichtlinie für den Webserver (S) ===
  
 Es SOLLTE eine Sicherheitsrichtlinie erstellt werden, in der die erforderlichen Maßnahmen und Zuständigkeiten benannt sind. Weiterhin SOLLTE geregelt werden, wie Informationen zu aktuellen Sicherheitslücken besorgt werden. Auch SOLLTE geregelt werden, wie Sicherheitsmaßnahmen umgesetzt werden und wie vorgegangen werden soll, wenn Sicherheitsvorfälle eintreten. Es SOLLTE eine Sicherheitsrichtlinie erstellt werden, in der die erforderlichen Maßnahmen und Zuständigkeiten benannt sind. Weiterhin SOLLTE geregelt werden, wie Informationen zu aktuellen Sicherheitslücken besorgt werden. Auch SOLLTE geregelt werden, wie Sicherheitsmaßnahmen umgesetzt werden und wie vorgegangen werden soll, wenn Sicherheitsvorfälle eintreten.
  
-===== APP.3.2.A10 Auswahl eines geeigneten Webhosters (S) =====+=== APP.3.2.A10 Auswahl eines geeigneten Webhosters (S) ===
  
 Betreibt die Institution den Webserver nicht selbst, sondern nutzt Angebote externer Unternehmen im Rahmen von Webhosting, SOLLTE die Institution bei der Auswahl eines geeigneten Webhosters auf folgende Punkte achten: Betreibt die Institution den Webserver nicht selbst, sondern nutzt Angebote externer Unternehmen im Rahmen von Webhosting, SOLLTE die Institution bei der Auswahl eines geeigneten Webhosters auf folgende Punkte achten:
  
-===== APP.3.2.A12 Geeigneter Umgang mit Fehlern und Fehlermeldungen (S) =====+  * Es SOLLTE vertraglich geregelt werden, wie die Dienste zu erbringen sind. Dabei SOLLTEN Sicherheitsaspekte innerhalb des Vertrags schriftlich in einem Service Level Agreement (SLA) festgehalten werden. 
 +  * Die eingesetzten IT-Systeme SOLLTEN vom Webhoster regelmäßig kontrolliert und gewartet werden. Der Webhoster SOLLTE dazu verpflichtet werden, bei technischen Problemen oder einer Kompromittierung von Kundschaftssystemen zeitnah zu reagieren. 
 +  * Der Webhoster SOLLTE grundlegende technische und organisatorische Maßnahmen umsetzen, um seinen Informationsverbund zu schützen. 
 + 
 +=== APP.3.2.A12 Geeigneter Umgang mit Fehlern und Fehlermeldungen (S) ===
  
 Aus den HTTP-Informationen und den angezeigten Fehlermeldungen SOLLTEN weder der Produktname noch die verwendete Version des Webservers ersichtlich sein. Fehlermeldungen SOLLTEN keine Details zu Systeminformationen oder Konfigurationen ausgeben. Der IT-Betrieb SOLLTE sicherstellen, dass der Webserver ausschließlich allgemeine Fehlermeldungen ausgibt, die Clients darauf hinweisen, dass ein Fehler aufgetreten ist. Die Fehlermeldung SOLLTE ein eindeutiges Merkmal enthalten, das es dem IT-Betrieb ermöglicht, den Fehler nachzuvollziehen. Bei unerwarteten Fehlern SOLLTE sichergestellt sein, dass der Webserver nicht in einem Zustand verbleibt, in dem er anfällig für Angriffe ist. Aus den HTTP-Informationen und den angezeigten Fehlermeldungen SOLLTEN weder der Produktname noch die verwendete Version des Webservers ersichtlich sein. Fehlermeldungen SOLLTEN keine Details zu Systeminformationen oder Konfigurationen ausgeben. Der IT-Betrieb SOLLTE sicherstellen, dass der Webserver ausschließlich allgemeine Fehlermeldungen ausgibt, die Clients darauf hinweisen, dass ein Fehler aufgetreten ist. Die Fehlermeldung SOLLTE ein eindeutiges Merkmal enthalten, das es dem IT-Betrieb ermöglicht, den Fehler nachzuvollziehen. Bei unerwarteten Fehlern SOLLTE sichergestellt sein, dass der Webserver nicht in einem Zustand verbleibt, in dem er anfällig für Angriffe ist.
  
-===== APP.3.2.A13 Zugriffskontrolle für Webcrawler (S) =====+=== APP.3.2.A13 Zugriffskontrolle für Webcrawler (S) ===
  
 Der Zugriff von Webcrawlern SOLLTE nach dem Robots-Exclusion-Standard geregelt werden. Inhalte SOLLTEN mit einem Zugriffsschutz versehen werden, um sie vor Webcrawlern zu schützen, die sich nicht an diesen Standard halten. Der Zugriff von Webcrawlern SOLLTE nach dem Robots-Exclusion-Standard geregelt werden. Inhalte SOLLTEN mit einem Zugriffsschutz versehen werden, um sie vor Webcrawlern zu schützen, die sich nicht an diesen Standard halten.
  
-===== APP.3.2.A14 Integritätsprüfungen und Schutz vor Schadsoftware (S) =====+=== APP.3.2.A14 Integritätsprüfungen und Schutz vor Schadsoftware (S) ===
  
 Der IT-Betrieb SOLLTE regelmäßig prüfen, ob die Konfigurationen des Webservers und die von ihm bereitgestellten Dateien noch integer sind und nicht durch Angriffe verändert wurden. Die zur Veröffentlichung vorgesehenen Dateien SOLLTEN regelmäßig auf Schadsoftware geprüft werden. Der IT-Betrieb SOLLTE regelmäßig prüfen, ob die Konfigurationen des Webservers und die von ihm bereitgestellten Dateien noch integer sind und nicht durch Angriffe verändert wurden. Die zur Veröffentlichung vorgesehenen Dateien SOLLTEN regelmäßig auf Schadsoftware geprüft werden.
  
-===== APP.3.2.A16 Penetrationstest und Revision (S) =====+=== APP.3.2.A16 Penetrationstest und Revision (S) ===
  
 Webserver SOLLTEN regelmäßig auf Sicherheitsprobleme hin überprüft werden. Auch SOLLTEN regelmäßig Revisionen durchgeführt werden. Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert, ausreichend geschützt und vertraulich behandelt werden. Abweichungen SOLLTE nachgegangen werden. Die Ergebnisse SOLLTEN dem ISB vorgelegt werden. Webserver SOLLTEN regelmäßig auf Sicherheitsprobleme hin überprüft werden. Auch SOLLTEN regelmäßig Revisionen durchgeführt werden. Die Ergebnisse SOLLTEN nachvollziehbar dokumentiert, ausreichend geschützt und vertraulich behandelt werden. Abweichungen SOLLTE nachgegangen werden. Die Ergebnisse SOLLTEN dem ISB vorgelegt werden.
  
-===== APP.3.2.A20 Benennung von Anzusprechenden (S) [Zentrale Verwaltung] =====+=== APP.3.2.A20 Benennung von Anzusprechenden (S) [Zentrale Verwaltung] ===
  
 Bei umfangreichen Webangeboten SOLLTE die Institution zentrale Anzusprechende für die Webangebote bestimmen. Es SOLLTEN Prozesse, Vorgehensweisen und Zuständige für Probleme oder Sicherheitsvorfälle benannt werden. Bei umfangreichen Webangeboten SOLLTE die Institution zentrale Anzusprechende für die Webangebote bestimmen. Es SOLLTEN Prozesse, Vorgehensweisen und Zuständige für Probleme oder Sicherheitsvorfälle benannt werden.
Zeile 162: Zeile 165:
 Im Folgenden sind für diesen Baustein exemplarische Vorschläge für Anforderungen aufgeführt, die über dasjenige Schutzniveau hinausgehen, das dem Stand der Technik entspricht. Die Vorschläge SOLLTEN bei erhöhtem Schutzbedarf in Betracht gezogen werden. Die konkrete Festlegung erfolgt im Rahmen einer individuellen Risikoanalyse. Im Folgenden sind für diesen Baustein exemplarische Vorschläge für Anforderungen aufgeführt, die über dasjenige Schutzniveau hinausgehen, das dem Stand der Technik entspricht. Die Vorschläge SOLLTEN bei erhöhtem Schutzbedarf in Betracht gezogen werden. Die konkrete Festlegung erfolgt im Rahmen einer individuellen Risikoanalyse.
  
-===== APP.3.2.A15 Redundanz (H) =====+=== APP.3.2.A15 Redundanz (H) ===
  
 Webserver SOLLTEN redundant ausgelegt werden. Auch die Internetanbindung des Webservers und weiterer IT-Systeme, wie etwa der Webanwendungsserver, SOLLTEN redundant ausgelegt sein. Webserver SOLLTEN redundant ausgelegt werden. Auch die Internetanbindung des Webservers und weiterer IT-Systeme, wie etwa der Webanwendungsserver, SOLLTEN redundant ausgelegt sein.
  
-===== APP.3.2.A17 ENTFALLEN (H) =====+=== APP.3.2.A17 ENTFALLEN (H) ===
  
 Diese Anforderung ist entfallen. Diese Anforderung ist entfallen.
  
-===== APP.3.2.A18 Schutz vor Denial-of-Service-Angriffen (H) =====+=== APP.3.2.A18 Schutz vor Denial-of-Service-Angriffen (H) ===
  
 Der Webserver SOLLTE ständig überwacht werden. Des Weiteren SOLLTEN Maßnahmen definiert und umgesetzt werden, die DDoS-Angriffe verhindern oder zumindest abschwächen. Der Webserver SOLLTE ständig überwacht werden. Des Weiteren SOLLTEN Maßnahmen definiert und umgesetzt werden, die DDoS-Angriffe verhindern oder zumindest abschwächen.
  
-===== APP.3.2.A19 ENTFALLEN (H) =====+=== APP.3.2.A19 ENTFALLEN (H) ===
  
 Diese Anforderung ist entfallen. Diese Anforderung ist entfallen.
  
-=== Weiterführende Informationen === +===== Weiterführende Informationen =====
- +
  
 ==== Wissenswertes ==== ==== Wissenswertes ====
Zeile 187: Zeile 188:
  
 Das National Institute of Standards and Technology (NIST) stellt in seinem Dokument „Guideline on Securing Public Web Servers“ Hinweise zur Absicherung von Webservern zur Verfügung. Das National Institute of Standards and Technology (NIST) stellt in seinem Dokument „Guideline on Securing Public Web Servers“ Hinweise zur Absicherung von Webservern zur Verfügung.
 +
 +  * Migration auf TLS 1.2 - Handlungsleitfaden
 +  * Sicheres Webhosting: Handlungsempfehlung für Webhoster
 +  * Sicheres Bereitstellen von Webangeboten (ISi-Webserver)
  
  
app_anwendungen/app.3.2_webserver.1733603999.txt.gz · Zuletzt geändert: 2024/12/07 20:39 von mu
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki