Sicherheitsmaßnahmen
In der heutigen gefahrvollen Welt ist es zwingend erforderlich, das Sicherheitsbewusstsein sowohl der Benutzer als auch der Server-Betreiber zu erhöhen.
Die Server-Betreiber müssen stärker differenzieren, welche Informationen schützenswert sind und diesen Schutz auch konsequent durchsetzen. Hierzu zählen die Verwendung moderner Softwarekomponenten und die sichere Konfigurationen der Systeme (Tabelle 3 zeigt unterschiedliche Konfigurationsmöglichkeiten für den Apache Webserver). Weiterhin müssen ständig die wirklich verwendeten Verschlüsselungsverfahren mit Leitungs-orientierten Analyse-Tools wie dem Internet-Analyse-System (IAS) überwacht werden.
SSLEngine on SSLProtocol all -SSLv2 # Im Folgenden stehen einige Konfigurationsmöglichkeiten für den Apache Webserver # (Version 2.2 verwendet) mit verschiedenen Sicherheitsstufen # Unter Unix-Systemen kann man sich ausgeben lassen, welche Cipher-Suites mit dem # jeweiligen Konfigurations-String genutzt werden: # Bsp: openssl ciphers -v ‚AES:!ADH‘ SSLCipherSuite AES:!ADH # nur AES mit sicherer Diffie-Hellman-Authentikation (sehr sicher) #SSLCipherSuite AES:3DES:!MD5 # nur AES und Triple-DES, keine MD5-Prüfsumme (sicher) #SSLCipherSuite AES:3DES:RC4:-EXP # nurAES, Triple-DES und RC4, als Prüfsummen SHA1 und MD5 (unsicher, aber mit Unterstützung für alte Browser wie dem Internet-Explorer 6) |
Tabelle 3: Konfigurationsmöglickeiten für den Apache Webserver
Auch der Benutzer kann für seine Sicherheit eine Menge tun. Dazu zählt z.B. die Benutzung von neuester, aber ausgereifter (keine sog. Beta-Software) Programme. Auch sollte der Benutzer unsichere Konfigurationseinstellungen konsequent deaktivieren. Hilfe hierfür bietet u.A. das Bundesamt für Sicherheit in der Informationstechnik (BSI).