February 9. Februar ist der „Safer Internet Day“. Weltweit müssen sich Softwareentwickler ebenso wie alltägliche Internetnutzer mit dem Thema Online-Sicherheit auseinandersetzen. Durch die COVID-19-Beschränkungen und die Verlagerung vieler Aktivitäten auf Online-Plattformen ist dieses Thema besonders relevant geworden. Anlässlich dieses Tages haben die STDev-Spezialisten eine Liste mit Tipps und Hinweisen zusammengestellt, um 2021 zu Ihrem sichersten Jahr zu machen.
Dies sind dieselben Praktiken und Methoden, die wir bei STDev einsetzen, um unsere Produkte sicher und geschützt zu halten. In diesem Jahr hat sich das Team auf Server-Sicherheit konzentriert.
1. Der Zugriff auf Ihren Server sollte so stark wie möglich eingeschränkt sein
In jedem Unternehmen – unabhängig von Größe oder Struktur – sollte der Serverzugriff strikt limitiert werden. Das bedeutet, dass nur jene Mitarbeitenden Zugriff erhalten sollten, die ihn unbedingt benötigen. Falls externe Personen aus irgendeinem Grund Zugriff benötigen, sollte eine klare Genehmigungskette definiert und die Anfrage über die IT-Abteilung abgewickelt werden. So bleibt der Zugriff auf einen eng begrenzten Personenkreis beschränkt.
Ein weiterer wichtiger Punkt ist, nur vertrauenswürdigen IP-Adressen Zugriff zu gewähren. Falls das nicht möglich ist, sollte zumindest ein Private-Key-Verfahren verwendet werden und nicht ausschließlich ein Passwort.
2. Halten Sie alle Server-Anwendungen aktuell
Alle serverseitigen Anwendungen sollten sofort aktualisiert werden, sobald neue Versionen verfügbar sind. Je veralteter Ihre Server-Software ist, desto anfälliger wird Ihr Unternehmen für Sicherheitslücken.
3. Verwenden Sie das Fail2Ban-Programm
Fail2Ban ist eine Software, die Firewall-Regeln dynamisch anpasst und IP-Adressen für einen bestimmten Zeitraum blockiert. Einfacher gesagt handelt es sich um ein Intrusion-Prevention-Framework, das Server vor Brute-Force-Angriffen schützt. Dadurch wird der Schutz vor Hackern deutlich erhöht.
4. Schließen Sie alle Server-Ports außer Web-Ports
Alle Ports außer den Webserver-Ports (sofern nicht ausdrücklich erforderlich) sollten für den externen Zugriff geschlossen werden. Vereinfacht gesagt handelt es sich um eine präventive Maßnahme, die die Anzahl potenzieller Zugriffspunkte von vornherein reduziert.
5. Schutzmaßnahmen für Mailserver
Wenn ein Mailserver auf Ihrem Hauptserver betrieben wird, sollte Fail2Ban auch auf die Mailserver-Ports angewendet werden, um zu verhindern, dass Angreifer systematisch Passwörter erraten.
6. Hinweise zum DNS-Management
DNS-Management-Software steuert Domain-Name-System-Servercluster. DNS-Daten werden typischerweise auf mehreren physischen Servern verteilt. Für DNS-Management empfehlen wir ausdrücklich die Nutzung von Cloudflare, das zudem Schutz vor DDoS-Angriffen bietet, hochwertige Caching-Funktionen bereitstellt und bei Bedarf ein kostenloses SSL-Zertifikat zur Verfügung stellt.
7. Vorsicht beim Datei-Upload
Dies sollte unbedingt mit Ihrer IT-Abteilung abgestimmt werden. Falls es möglich ist, Dateien auf Ihren Server hochzuladen, sollte dieser Prozess so restriktiv wie möglich gestaltet werden. Die IT sollte prüfen, welche Dateitypen erlaubt sind (z. B. nur Bilder). Andere Dateitypen wie .exe oder .bat sollten unbedingt blockiert werden.
Dateiuploads stellen ein erhebliches Sicherheitsrisiko dar, da Angreifer darüber schädliche Dateien einschleusen und Systeme manipulieren können. Daher sollte dieses Szenario möglichst vermieden werden.
8. Eingehende Daten prüfen
Auch eingehende Daten können potenziell schädlich sein. Daher sollten alle von Nutzern empfangenen Daten auf SQL-Injection, XSS-Angriffe und Cross-Site-Request-Forgery (CSRF) überprüft werden.
9. Alle Authentifizierungsformulare müssen ein Captcha enthalten
Wenn Ihre Produkte Authentifizierungsformulare enthalten, sollten diese zwingend mit einem Captcha oder besser noch einem unsichtbaren Captcha geschützt werden. Ein Beispiel finden Sie hier.
10. Passwörter, Passwörter, Passwörter
Natürlich sollten überall Passwörter verwendet werden – sowohl für Nutzer als auch insbesondere für Administratoren, um das Einloggen durch automatisierte Passwort-Guessing-Programme zu verhindern. Wo immer möglich, sollten stattdessen Private Keys verwendet werden.
Fazit
So wie es zahlreiche Risiken im Internet gibt, existieren auch viele Möglichkeiten, sich zu schützen. Wenn Sie nicht sicher sind, welche dieser Lösungen für Ihren konkreten Fall geeignet sind, kontaktieren Sie das STDev-Team. Wir beraten Sie gerne in einem Call und helfen Ihnen, den besten Ansatz zu finden.
Frohen Safer Internet Day!