Software Sicherheit
Inhaltsverzeichnis |
Einleitung
Software-Sicherheit ist ein sehr großer Themenkomplex, der immer wieder vernachlässigt wird! BOS2Web ist eine Software, die für diese Thema die perfekte Grundlage bietet. Jeder der im BOS-Bereich eine Tätigkeit ausübt muss sich im Klaren sein, dass er an vielen Stellen mit sensiblen Daten in Kontakt gerät. In Bezug auf BOS2Web fängt das an mit der digitalen Alarmierung und zum Beispiel personenbezogenen Alarmierungsinhalten und führt weiter zu den Alarmierungen und den Fahrzeugstatus. All diese Daten müssen geschützt werden!
Bitte nehmen Sie sich einen Moment Zeit und lesen Sie die folgenden Abschnitte. Dieser Artikel soll keine Anleitung zum Absichern Ihres Angebotes darstellen, sondern Sie lediglich für das Thema Sicherheit sensibilisieren.
Die Software
Die erste Frage, die Sie sich in Bezug auf BOS2Web stellen sollten lautet: Wem möchte ich meine Dienste bereitstellen und wie möchte ich meine Dienste bereitstellen. Hier gibt es viele verschiedene Möglichkeiten, die auch verschiedene Sicherheitsmechanismen beinhalten oder aber auch nicht. Dazu muss man sich aber auch im Klaren sein, welche Angriffsvektoren eine solche Software bietet. Oft wird einem das gar nicht so recht bewusst oder man muss erst einmal auf die Nase fallen. Doch dann kann es schon zu spät sein.
Angriffsvektoren
Da es sich bei den Daten die mit der Software verarbeitet werden um meist sehr sensible Daten handelt, ist auch der Personenkreis, der ein Interesse an diesen Daten hat, sehr groß. In diesem Abschnitt werden zunächst die Angriffspunkte erläutert. Später folgen dann noch die Zugriffswege, über die Sie Ihre Dienste bereitstellen können.
Server
Der Angreifer weiß meist noch gar nicht, welche Daten einem ein Server oder eine Datenbank bereitstellt. Doch ist erst einmal das Interesse geweckt, so schaut er sich meist die Zielobjekte genauer an. Im einfachsten Fall versucht der Angreifer nur einen Datenverlust herbeizuführen. Im schlimmsten Fall weiß er um was für Daten es sich handelt und hat es auf eben diese abgesehen. Der Server ist das Medium, der das Webfrontend und die Datenbank ausliefert. Somit sind Schwachstellen zum Einen Sicherheitslücken im Betriebssystem und zum Anderen auch in der Webserversoftware und dem Softwareinterpreter. Der erste Schritt zu einem sicheren System ist somit das Einspielen von aktuellen Betriebssystem- und Softwarepatches. Ein aktuell gepatchtes System macht es dem Angreifer schon in der Regel sehr schwer. Wichtig ist außerdem, dass der Zugriff zum System durch zum Beispiel eine Firewall so beschränkt ist, dass von Außen ein Zugriff nur auf die gewünschten Dienste angeboten wird. Möchte man zum Beispiel ein Webfrontend auf Port 80 anbieten, so sollte allein auch nur dieser Port zugänglich sein. Besser noch sollten bekannte Dienste, wie zum Beispiel ein Webfrontend auf einen fremden Port ausgelagert werden. Angreifer zum Beispiel ein Webfrontend suchen werden zunächst auf die Ports 80 und 8080 schauen.
Datenbank
Die Datenbank ist der nächste Angriffsvektor. Oft liegen Server und Datenbank auf ein und demselben physikalischen System. Dies ist im Prinzip auch nicht verwerflich. Oft wird dies aus Kostengründen so realisiert. Jedoch sollte peinlichst genau darauf geachtet werden, dass die Datenbank von außen nicht zugänglich gemacht wird, wenn nicht benötigt. Somit kann ein Angreifer auch nur auf die Datenbank zugreifen, wenn er entweder Zugriff auf den Server oder aber Zugriff über das Webfrontend erlangt hat. Auch hier empfehlen wir immer die Standardportnummern gegen andere Nummern auszutauschen. Zum Beispiel sollte die MySQL-Datenbank auf einem anderen Port als 3306 laufen. Zudem lassen sich die Benutzer einer Datenbank so anlegen, dass sie nur Zugriff vom eigenen System haben.
Webfrontend
Das Webfrontend ist ebenfalls ein großer Angriffsvektor. Auch hier gilt der Grundsatz, dass die Software immer auf dem aktuellen Stand sein sollte. Ist ein Webfrontend von außen Dritten zugängich, so wird dies vermutlich die Stelle sein, an der der Angreifer zuerst sein Glück versucht. Ein Stichwort hier wäre die so genannte SQL-Injection, also der Versuch eigenen Programmcode in die Software einzuschleusen um Informationen zu erhalten, die der Angreifer sonst nicht erhalten würde. Was kann man dagegen tun? Prinzipiell jeden Verdachtsfall eines Missbrauchs beim Softwarehersteller melden, um so andere Kunden in Zukunft zu schützen. Ein weiterer Punkt ist die unverschlüsselte Kommunikation in Fremdnetzen. Sollten Sie zum Beispiel per WLAN in einem Internetcafé auf BOS2Web zugreifen und dabei über das HTTP-Protokoll kommunizieren, so kann fast jeder Laie mit wenig Aufwand alle Daten einschließlich Ihrer Zugangsdaten mitlesen! Ein erster Schritt wäre hier zum Beispiel die Verwendung des HTTPS-Protokolls. Dieses sichert in der richtigen Konfiguration Ihre Verbindung so, dass außer Ihnen und des Servers keiner die Information mitlesen kann.
Zugriffswege
Welche Möglichkeiten bietet Ihnen eine gut konfigurierte Netzwerkinfrastruktur? Auf jeden Fall Sicherheit! Doch welche Konfiguration ist ist die Beste? Das hängt ganz von Ihrem Anwendungsfall ab und natürlich Ihren finanziellen Möglichkeiten. Einige einfach Konfigurationen stellen wir hier kurz vor.
VPN
Ziel dieses Zugriffspfades ist es nach außen nur einen Kommunikationskanal anzubieten. Stellen Sie sich vor, dass von A nach B mit dem Auto fahren möchten. Rund um Sie herum ist Wasser. Zum Schwimmen ist es zu weit und ein Wasserbeförderungsmittel steht nicht zur Verfügung. Der einzige Weg führt durch einen Tunnel, an dem Sie sich aber zunächst als Nutzer mit Ihrem Reisepass authorisieren lassen müssen. Genau so funktioniert ein VPN und ist aus unserer Sicht der sicherste Weg nach Außen einen Webdienst anzubieten.
Intranet
Das Intranet ist der zweite Weg. Stellen Sie sich vor, Sie befinden sich in einem Gebäude, dass keine Fenster und keine Türen hat. Im Gebäude gibt es aber einen Supermarkt, eine Bekleidungsgeschäft, ein Kino, etc.. Dies ist ähnlich einem Intranet. Dienste die über ein Intranet angeboten werden, stehen auch nur Leuten zur Verfügung, die schon im Gebäude drin sind. Jede große Firma hat heutzutage ein Intranet über das sie Informationen an ihre Mitarbeiter verteilt. In Kombination mit einem VPN-Tunnel kann ein Mitarbeiter aber auch von einem anderen Ort (von außerhalb) darauf zugreifen.
andere Lösungen
Ja, es gibt andere Lösungen! Diese würden wir aber selbst in der perfekten Konfiguration nicht zu 100% sicher einstufen. Hier muss ganz klar die Abwägung zwischen Kosten und Nutzen getroffen werden. Es muss natürlich auch die Frage gestellt werden, ob man 100%ige Sicherheit braucht. Allein ein Mitarbeiter stellt schon einen Unsicherheitsfaktor dar. Menschen können die von Ihnen zu sichernden Informationen auch ohne digitale Medien transportieren.
Zusammenfassung
Diese kurze Einführung in das Thema Sicherheit ist natürlich nur ein kleiner Einblick in das, auf was man wirklich achten muss. Wir möchten hiermit zu allererst sensibilisieren! Sie müssen sich Ihrer Sicherheitslücken bewusst sein und diese dann im zweiten Schritt konsequent beseitigen.
Die Firma BOS2Web steht Ihnen hierbei als Partner mit Rat und Tat zur Seite. Unsere Firma bietet in diesem Bereich auch Schulungen und Seminare an, die Ihnen das Thema Sicherheit in der BOS, wie auch in der freien Wirtschaft näher bringt.
