Sie befinden sich hier: Themen IT-Grundschutz-Kataloge. Inhalt. Dokumententitel: M 2.173 Festlegung einer WWW-Sicherheitsstrategie - IT-Grundschutz-Kataloge - Stand 2006
direkt zu der Navigation Servicebereich. direkt zu der Hauptnavigation. direkt zur Themennavigation. direkt zum Seiteninhalt.

M 2.173 Festlegung einer WWW-Sicherheitsstrategie

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Webserver sind für Angreifer sehr attraktive Ziele, da einem erfolgreichen Angriff oft sehr große Publizität zuteil wird. Daher muss der Absicherung eines Webservers ein hoher Stellenwert eingeräumt werden. Vor dem Einrichten eines Webservers sollte in einer WWW-Sicherheitsstrategie beschrieben werden, welche Sicherheitsmaßnahmen in welchem Umfang umzusetzen sind. Anhand der in der WWW-Sicherheitsstrategie festgelegten Anforderungen kann dann regelmäßig überprüft werden, ob die getroffenen Maßnahmen ausreichend sind.

In der Sicherheitsstrategie für den Betrieb eines Webservers sollten die folgenden Fragen beantwortet werden:

Insbesondere wenn der Webserver ein öffentliches Webangebot beherbergt, müssen in der Sicherheitsstrategie auch Reaktionen auf bestimmte webserver-spezifische Sicherheitsvorfälle festgelegt werden (siehe auch Baustein B 1.8 Behandlung von Sicherheitsvorfällen).

Diese Punkte sollten selbst dann berücksichtigt werden, wenn der Schutzbedarf des Webangebots ansonsten nur als niedrig eingeschätzt wird. Insbesondere ein Hackerangriff oder ein Defacement können unabhängig vom konkreten Schutzbedarf bei allen öffentlichen Webangeboten passieren.

Teil einer Sicherheitsstrategie muss auch die regelmäßige Informationsbeschaffung über potentielle Sicherheitslücken sein, um rechtzeitig Vorsorge dagegen treffen zu können. Neben den in M 2.35 Informationsbeschaffung über Sicherheitslücken des Systems angesprochenen Informationsquellen ist für Sicherheitshinweise zur WWW-Nutzung besonderes die "World Wide Web Security FAQ" eine wertvolle Quelle. Die Master-Kopie dieses Dokumentes ist unter http://www.w3.org/Security/Faq/ zu finden.

Ergänzende Kontrollfragen: