Das BSI zur Absicherung von Telemediendiensten
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ein „Diskussionspapier: Absicherung von Telemediendiensten“ für Internet-Dienstleister veröffentlicht. In diesem Dokument werden Empfehlungen gegeben, wie die Anforderungen aus § 13 Abs. 7 TMG erfüllt werden können.
Die Maßnahmen
Das BSI hat für die verschiedenen Providertypen (Content Provider, Host Provider, Access Provider und Cache Provider) insgesamt 19 Maßnahmen nach dem Stand der Technik definiert. Diese werden, je nach Providertyp, in Basis- und Standard-Maßnahmen unterschieden. Nach Ansicht des BSI müssen die Basis-Maßnahmen grundsätzlich umgesetzt werden. Die Standard-Maßnahmen sollten dann zusätzlich umgesetzt werden.
Die Maßnahmen sind sehr kurz und allgemein formuliert. So heißt es in der Maßnahme 1 „Sichere Passwörter“:
„Verwendet der Provider von Telemediendiensten Passwörter zur Authentisierung (z. B. für Benutzer und Administratoren), so ist die Sicherheit der Zugangs- und Zugriffsrechteverwaltung entscheidend davon abhängig, ob die Passwörter korrekt gebraucht werden. Deshalb müssen durch das Definieren von Richtlinien sichere Passwörter etabliert werden. Beispielsweise müssen die Passwörter hinreichend stark gegenüber Brute-Force-Angriffen sein.“
Es folgen drei Beispiele für Passwörter, wie z. B. Passwörter für die Blog- oder CMS-Software, die mit dieser Maßnahme gemeint sind und ein Verweis auf die Maßnahme 2.11 aus dem IT-Grundschutz.
In den weiteren Maßnahmen werden u.a. allgemeine Hinweise auf Softwareupdates, Backups und Virenscanner gegeben.
Kritik
Der Text der Maßnahme ist nur dann als allererste Informationsquelle geeignet, wenn sich der Leser noch nie mit der Sicherheit eines Dienstes beschäftigt hat. Dabei bietet der fehlende Detailgrad kaum eine Anleitung zu notwendigen Handlungen. Detailliertere Informationen für Webanwendungen erhält man z. B. beim OWASP im Developer Guide. Dort wird z. B. detailliert auf verschiedene Authentisierungsmechanismen eingegangen. Unterstützt wird die sichere Entwicklung durch den Code Review Guide. Zuletzt kann man mit den Informationen der Testing Guide die Sicherheit eines Webservices prüfen.
Hinzukommt, dass der Text noch sehr unausgereift zu sein scheint, so wird z. B. bei der Maßnahme 3 „Gehärtete Konfiguration“ in den Referenzen lediglich auf die Dokumentation zum Apache-http-Server sowie auf ein allgemeines BSI-Dokument verwiesen. Eine umfassendere Referenzliste für häufig genutzte Webserver fehlt dagegen.
Interessant ist auch der folgende Hinweis zur Maßnahme 1:
„Werden im Telemediendienst vertrauliche oder sensible Informationen übertragen (z. B. personenbezogene Daten oder Authentisierungsdaten), dann dürfen Passwörter nur mit einer Transportverschlüsselung übertragen werden“
Dies heißt aber in der Umkehrung, dass Passwörter nach Ansicht des BSI auch ohne eine Transportverschlüsselung übertragen werden dürfen, wenn im Telemediendienst keine vertraulichen Daten übertragen werden. Zugleich sind Passwörter aber auch Authentisierungsdaten, weshalb zur Passwortübertragung gemäß den eigenen Vorgaben immer eine Transportverschlüsselung benötigt wird.
Ein weiteres Beispiel findet sich in der Maßnahme 9 „Monitoring“. Hier wird empfohlen sicherheitsrelevante Aktivitäten zu protokollieren. Zwar wird auf die Einhaltung des Datenschutzes verwiesen, ohne jedoch die Anforderungen zu spezifizieren oder zu erklären. Damit birgt die Umsetzung dieser Maßnahme einiges Konfliktpotential, da von den Datenschutzaufsichtsbehörden in der Regel nur eine 7-tägige Speicherung von IP-Adressen akzeptiert wird.
Das Dokument und die 19 vorgeschlagenen Maßnahmen sind somit kaum mehr als eine weitere Checkliste, um allgemeine Themen zur Sicherheit von Webservices abzuhaken. Es ist jedoch nicht geeignet den unklaren Begriff „Stand der Technik“ aus dem Gesetz mit Inhalt zu füllen oder als konkrete Anleitungen zur Absicherung von Telemediendienste zu dienen.