Sicherheitsmaßnahmen

In der heutigen gefahrvollen Welt ist es zwingend erforderlich, das Sicherheitsbewusstsein sowohl der Benutzer als auch der Server-Betreiber zu erhöhen.
Die Server-Betreiber müssen stärker differenzieren, welche Informationen schützenswert sind und diesen Schutz auch konsequent durchsetzen. Hierzu zählen die Verwendung moderner Softwarekomponenten und die sichere Konfigurationen der Systeme (Tabelle 3 zeigt unterschiedliche Konfigurationsmöglichkeiten für den Apache Webserver). Weiterhin müssen ständig die wirklich verwendeten Verschlüsselungsverfahren mit Leitungs-orientierten Analyse-Tools wie dem Internet-Analyse-System (IAS) überwacht werden.

SSLEngine on

SSLProtocol all -SSLv2

# Im Folgenden stehen einige Konfigurationsmöglichkeiten für den Apache Webserver

# (Version 2.2 verwendet) mit verschiedenen Sicherheitsstufen

# Unter Unix-Systemen kann man sich ausgeben lassen, welche Cipher-Suites mit dem

# jeweiligen Konfigurations-String genutzt werden:

# Bsp: openssl ciphers -v ‚AES:!ADH‘

SSLCipherSuite AES:!ADH # nur AES mit sicherer Diffie-Hellman-Authentikation (sehr sicher)

#SSLCipherSuite AES:3DES:!MD5 # nur AES und Triple-DES, keine MD5-Prüfsumme (sicher)

#SSLCipherSuite AES:3DES:RC4:-EXP # nurAES, Triple-DES und RC4, als Prüfsummen SHA1 und MD5 (unsicher, aber mit Unterstützung für alte Browser wie dem Internet-Explorer 6)

Tabelle 3: Konfigurationsmöglickeiten für den Apache Webserver
Auch der Benutzer kann für seine Sicherheit eine Menge tun. Dazu zählt z.B. die Benutzung von neuester, aber ausgereifter (keine sog. Beta-Software) Programme. Auch sollte der Benutzer unsichere Konfigurationseinstellungen konsequent deaktivieren. Hilfe hierfür bietet u.A. das Bundesamt für Sicherheit in der Informationstechnik (BSI).