Mit der ISO/IEC 27002:2022 ist im Februar eine neue Version der internationalen Norm erschienen, welche eine Neustrukturierung von Referenzmaßnahmenzielen sowie -maßnahmen für Informationssicherheit vornimmt und zudem auch ganz neue Referenzmaßnahmen (auch „Controls“ genannt) einführt. Unser Blogbeitrag „Die neue ISO/IEC 27002“ klärte diesbezüglich auf.

Das Control „8.23 Web filtering“ zählt zu den neuen präventiven („Preventive“) Referenzmaßnahmen der ISO/IEC 27002:2022. Hierdurch soll sichergestellt sein, dass der Zugang zu externen Webseiten verwaltet ist, um Gefährdungen durch bösartige Inhalte zu verringern. Systeme der IT-Landschaft sollen im Zuge der Maßnahmenumsetzung vor Beeinträchtigungen durch Malware geschützt und die Verhinderung des Zugriffs auf nicht autorisierte Web-Ressourcen durchgesetzt werden.

Umsetzung der Maßnahme

Um das Risiko zu verringern, dass Mitarbeitende auf Webseiten zugreifen, die illegale Informationen oder Viren- und Phishing-Inhalte enthalten, sollten IP-Adressen (Internet Protocol) und Domänen betroffener Webseiten blockiert werden. Web-Browser und verschiedene Antimalware-Technologien tun dies bereits automatisch oder können dementsprechend konfiguriert werden.

Für die Maßnahmenumsetzung sollte durch Regelungen festgelegt werden, auf welche Arten von Webseiten die Mitarbeitenden Zugriff haben sollen und auf welche entsprechend nicht. Diese Regeln sollten stets auf dem neuesten Stand gehalten werden. Im Wesentlichen sollte dabei eruiert werden, den Zugriff auf folgende charakteristische Webseiten zu sperren:

  • Webseiten, die Funktionen zum Hochladen von Informationen/Dokumenten beinhalten, z. B. Cloud-Speicher-Dienste. Es sei denn, dies wird aus geschäftlichen Gründen erlaubt.
  • Bekannte oder vermeintliche Webseiten mit bösartigen Inhalten, wie Malware- oder Phishing-Bestandteilen.
  • Befehls- und Kontroll-Server (a.k.a. Command-and-Control Server, C&C-Server oder auch C2-Server), die verwendet werden, um Befehle an kompromittierte Systeme zu senden und anschließend zu steuern. Einige Ransomware-Varianten benötigen bspw. zur Verschlüsselung von Daten eine Verbindung zu C2-Servern. In solchen Fällen wird sogar die Verschlüsselung der Daten unterbunden. Das Projekt „abuse.ch“ bietet Informationen zu aktiven C2-Servern und kompromittierten Webseiten, die Nutzer mit Ransomware infizieren.
  • Bösartige Webseiten, die aus Bedrohungsdaten („Threat intelligence“) gewonnen wurden (siehe hierzu unseren Beitrag zu Control „5.7 Threat intelligence“).
  • Webseiten, welche illegale Inhalte verbreiten.

„Web filtering“ kann eine Reihe technischer Umsetzungen beinhalten, darunter Listen zulässiger Webseiten oder Domänen (Whitelisting) oder Listen verbotener Webseiten oder Domänen (Blacklisting) durch Gateways (oftmals in Firewall-Lösungen integriert) oder weitere individuelle Konfigurationen, um zu verhindern, dass bösartige Software Netze und Systeme angreift. Häufig können auch Module zur Anwendungskontrolle in einer AV-Software (Anti-Virus) die Ausführung oder Verbreitung von Malware verhindern, indem diese verdächtiges und typisches Verhalten von Schadsoftware erkennen und unterbinden.

Eine konkrete Möglichkeit insbesondere ausgehenden Netzwerkverkehr innerhalb einer Organisation zu filtern, ist die Etablierung eines zentralen Proxy-Servers (Stellvertreter, meist auch nur als Proxy bezeichnet). Ein (Forward-)Proxy für den Schutz von Clients wird als Schnittstelle zwischen einem privaten Netzwerk (LAN, Local Area Network) und dem Internet platziert, um lokale Endgeräte von Einflüssen aus dem öffentlichen und unsicheren Netz abzuschirmen. Anfragen aus dem LAN werden vom Proxy entgegengenommen und mit dessen IP-Adresse als Absender an den Zielrechner im Internet weitergeleitet. Antwortpakete aus dem öffentlichen Netz werden anschließend nicht an den Client im LAN adressiert, sondern passieren ebenfalls den Proxy, bevor diese an das eigentliche Ziel weitergeleitet werden.

Im Wesentlichen existieren zwei unterschiedliche Arten von Proxy-Servern:

  • Application-Level-Proxy: Hierunter ist ein Proxy auf der Anwendungsschicht (Schicht 7 des OSI-Referenzmodells, Open Systems Interconnection Model) zu verstehen, der über Funktionen verfügt, um Datenpakete von Anwendungsprotokollen, wie z. B. das Hypertext Transfer Protocol (HTTP) oder File Transfer Protocol (FTP), zu analysieren und je nach vorkonfigurierten Regeln aus Sicherheitsgründen zu blockieren, zu verändern und weiterzuleiten. Ein Application-Level-Proxy wird auch als Applikations- oder Anwendungsfilter bezeichnet.
  • Circuit-Level-Proxy: Hierunter ist ein Proxy zu verstehen, der auf der Transportschicht (OSI-Schicht 4) angesiedelt ist und nicht in der Lage ist, die Logik auf der Anwendungsschicht zu analysieren. Datenpakete werden in den meisten Fällen über Ports und IP-Adressen nach dem Alles-oder-nichts-Prinzip gefiltert, d. h. Datenpakete werden entweder durchgelassen oder blockiert. Diese Proxy-Art wird in der Regel als Firewall-Filtermodul eingesetzt.

Application-Level-Proxies bieten gegenüber der ausschließlichen Verwendung von Circuit-Level-Proxies einen größeren Handlungsspielraum für den Schutz von Clients, da die Inhalte der versendeten Datenpakete auf der Anwendungsebene analysiert werden können. Positiver Nebeneffekt einen Proxy-Server als Schnittstelle zwischen internem und öffentlichem Netz aufzubauen ist, dass Funktionalitäten wie Caching, Bandbreitenkontrolle/Lastenverteilung und die Anonymisierung der Clients ebenfalls durch den Proxy erbracht werden können.

Für einen ganzheitlichen Ansatz sollten zudem die Mitarbeitenden in der sicheren und angemessenen Nutzung von Online-Ressourcen und dem Zugang zum Internet geschult werden. Die Schulung sollte u. a. die oben erwähnten Regelungen für den Zugriff auf Webseiten, Kontaktstellen bei auftretenden Sicherheitsbedenken und das Ausnahmeverfahren für den Zugriff auf ansonsten eingeschränkte Web-Ressourcen beinhalten. Darüber hinaus sollte der Umgang mit Hinweisen von Web-Browsern erläutert werden, die anzeigen, dass eine Webseite nicht sicher ist, der bedienenden Person aber erlauben, fortzufahren.

Über E-Learnings oder Phishing-Kampagnen (unsere Angebote dazu finden Sie hier und hier) sollten zwei wesentliche Infektionswege für Schadprogramme immer wieder thematisiert werden: Unbedarftes Öffnen von Anhängen in E-Mails und der Besuch kompromittierter Webseiten im Internet (Drive-By-Exploit). Im selben Zuge können etablierte „Web filtering“-Maßnahmen auf deren Wirksamkeit geprüft werden.

Fazit

Die neu eingeführte Referenzmaßnahme „8.23 Web filtering“ gibt vor, dass eine Organisation regeln sollte, auf welche Art von Webseiten Mitarbeitende Zugriff bekommen sollten und auf welche entsprechend nicht.

Die Ausgestaltung sollte bei Netzübergängen durch technische Maßnahmen, wie z. B. Proxies mit mindestens einem Whitelisting oder Blacklisting von IP-Adressen oder Domänen, forciert werden. Es wird zudem auf den Schulungsbedarf der Mitarbeitenden verwiesen. Auch bei der besten Schulung wird die Erfolgsrate nur begrenzt sein, Angriffe, die auf die Schwachstelle Mensch abzielen, ausschließlich durch Sensibilisierungen der Mitarbeitenden erfolgreich abzuwehren. Unterstützend sollten daher neben organisatorischen Maßnahmen immer technische Maßnahmen getroffen werden.