BETA-Cybersecurity-Werkzeug
Security Challenge Schnelltest
Hier können Sie Ihre Webseite in Bezug auf sechs spezifische IT-Sicherheitsmaßnahmen testen. Nutzen Sie unseren Schnelltest und tragen Sie zur weiteren Steigerung der IT-Sicherheit bei.
Was ist die OZG Security-Challenge 2023?
Das Bundesministerium des Innern und für Heimat hat auf der Plattform Open CoDE den Source Code des Projekts „OZG-Security-Challenge 2023“ veröffentlicht. Dieses Projekt zielte darauf ab, die Umsetzung von IT-Sicherheitsmaßnahmen und Best Practices im Rahmen der Umsetzung des „Online-Zugangsgesetzes“ der öffentlichen Verwaltung zu steigern. Der Source Code wurde von dem Ministerium unter der European Public License (EUPL-1.2) veröffentlicht und steht, unter Einhaltung der Lizenzbedingungen, frei zur Verfügung.
Mehr IT-Sicherheit. Erhöhen Sie die Sicherheit Ihrer digitalen Dienste mit bewährten Maßnahmen und Best Practices.
Open-Source. Beteilligen Sie sich an der Weiterentwicklung.
Austausch fördern. Teilen Sie Ihre Erfahrungen und Erkenntnisse mit anderen.
Wir haben dieses Projekt nachgenutzt und eine Kopie des Web-Frontends mit einem angepassten Design erstellt (Code auf GitHub, EUPL-1.2 ). Mit dem ebenfalls im Rahmen des Projekts erstellten Helm-Charts haben wir das System in einem Kubernetes-Cluster installiert. Wir stellen die Schnelltest-Funktion mit dieser Instanz der Öffentlichkeit zur freien Nutzung zur Verfügung.
Mitmachen und Mehrwert schaffen!
Security Challenge Schnelltest – ein innovatives Werkzeug, das entwickelt wurde, um IT-Sicherheitsmaßnahmen und Best Practices im Rahmen des „Online-Zugangsgesetzes“ (OZG) zu verbessern. Wir laden Sie ein, Teil dieses bedeutenden Open-Source-Projekts zu werden und durch Ihre Mitarbeit die Sicherheit digitaler Dienste zu stärken.
Ihre Chance zur Mitarbeit
Wenn Sie sich an der Entwicklung beteiligen möchten, finden Sie den Quellcode der „OZG-Security-Challenge 2023“ auf der Plattform Open CoDE. Nutzen Sie diese Gelegenheit, um aktiv an der Gestaltung sicherer digitaler Dienste mitzuwirken.
Eine Anleitung, wie Sie Ihren Beitrag leisten können, finden Sie hier: CONTRIBUTING.md.
Werden Sie Teil eines engagierten Netzwerks und helfen Sie dabei, die IT-Sicherheit in der öffentlichen Verwaltung auf das nächste Level zu heben. Gemeinsam können wir Vertrauen und Sicherheit in der digitalen Welt schaffen.
Stärken Sie die IT-Sicherheit mit dem Security Challenge Schnelltest!
Die getesteten Sicherheitsmaßnahmen im Überblick
Responsible Disclosure
Responsible Disclosure ist ein Verfahren zur verantwortungsvollen Meldung von Sicherheitslücken, bevor diese veröffentlicht werden. Es ermöglicht es Organisationen, potenzielle Schwachstellen in ihren Systemen zu identifizieren und zu beheben, bevor sie von böswilligen Akteuren ausgenutzt werden können.
Vorteile der Responsible Disclosure
Sicherheit erhöhen: Durch die frühzeitige Meldung und Behebung von Sicherheitslücken wird die allgemeine IT-Sicherheit verbessert.
Vertrauen aufbauen: Unternehmen, die Responsible Disclosure praktizieren, zeigen Engagement für die Sicherheit ihrer Systeme und die ihrer Nutzer.
Prävention von Angriffen: Durch das proaktive Schließen von Sicherheitslücken werden potenzielle Angriffe verhindert.
Vorgehensweise bei der Responsible Disclosure
Identifizierung: Sicherheitsforscher oder Nutzer entdecken eine potenzielle Sicherheitslücke in einem System.
Meldung: Die Entdeckung wird dem betroffenen Unternehmen oder der Organisation vertraulich gemeldet.
Bestätigung: Das Unternehmen bestätigt den Erhalt der Meldung und beginnt mit der Untersuchung der Schwachstelle.
Analyse und Behebung: Die Organisation analysiert die Schwachstelle und entwickelt einen Fix oder eine Lösung.
Veröffentlichung: Nach der Behebung der Schwachstelle wird die Sicherheitslücke öffentlich gemacht, um Transparenz zu gewährleisten und andere Organisationen zu warnen.
TLS 1.3
Transport Layer Security (TLS) 1.3 ist aktuelles Verschlüsselungsprotokoll, das für die Kommunikation im Internet eingesetzt wird. Es bietet verbesserte Sicherheit und Leistung gegenüber früheren Versionen von TLS und stellt sicher, dass Kommunikation zwischen dem Benutzer und einem Server verschlüsselt und geschützt ist.
Vorteile von TLS 1.3
Erhöhte Sicherheit: TLS 1.3 schließt Schwachstellen und veraltete Algorithmen aus früheren Versionen aus und verwendet modernste Verschlüsselungstechniken.
Bessere Leistung: Reduzierte Handshake-Zeiten und verbesserte Effizienz bedeuten, dass Verbindungen schneller aufgebaut und gesichert werden können.
Privatsphäre: TLS 1.3 unterstützt die Verschlüsselung von mehr Metadaten als frühere Versionen, was die Privatsphäre der Nutzer zusätzlich schützt.
Implementierung von TLS 1.3
Um TLS 1.3 in einem Server zu implementieren, müssen i. d. R. nur kleine Einstellungen in der Serverkonfigurationsdatei vorgenommen werden – eine Umsetzung ist daher wenig aufwendig.
Empfehlung
Für eine optimale Sicherheit wird empfohlen, die Unterstützung für veraltete Protokolle wie TLS 1.0 und TLS 1.1 zu deaktivieren und ausschließlich TLS 1.2 und TLS 1.3 zu verwenden. Dies minimiert die Angriffsfläche und schützt die Kommunikation effektiv.
Strict-Transport-Security (HSTS)
Strict-Transport-Security (HSTS) ist ein Sicherheitsmechanismus, der es Webservern ermöglicht, Browser anzuweisen, ausschließlich über HTTPS auf eine Website zuzugreifen. Dies verhindert, dass unverschlüsselte und unsichere Verbindungen (HTTP) verwendet werden.
Vorteile der Nutzung von HSTS
Erhöhte Sicherheit: HSTS schützt vor Man-in-the-Middle-Angriffen, indem es sicherstellt, dass alle Verbindungen nach dem ersten Kontakt zur Website verschlüsselt sind.
Schutz vor Downgrade-Angriffen: HSTS verhindert, dass Angreifer versuchen, die Verbindung auf eine weniger sichere HTTP-Verbindung herabzustufen.
Vertrauenswürdige Verbindungen: Nutzer können sicher sein, dass ihre Verbindung zur Website stets verschlüsselt ist, was das Vertrauen in die Website erhöht.
Einfache Implementierung: HSTS ist einfach zu implementieren und erfordert nur eine minimale Änderung der Serverkonfiguration.
Verbesserte Benutzererfahrung: Da der Browser HSTS-Richtlinien speichert, werden Nutzer immer automatisch auf die sichere Version der Website geleitet.
Funktionsweise von HSTS
Initiale HTTPS-Verbindung: Der Webserver antwortet auf eine HTTPS-Anfrage des Browsers mit einem HSTS-Header.
Speicherung der Richtlinie: Der Browser speichert die HSTS-Richtlinie für die angegebene Dauer (max-age).
Erzwingung von HTTPS: Bei zukünftigen Besuchen dieser Domain wird der Browser automatisch eine HTTPS-Verbindung herstellen, selbst wenn der Benutzer eine HTTP-URL eingibt.
Empfehlung
Es wird empfohlen, HSTS mit einem langen max-age-Wert zu setzen, um sicherzustellen, dass alle zukünftigen Verbindungen zur Website über HTTPS erfolgen. Dies minimiert das Risiko von Man-in-the-Middle-Angriffen und erhöht die allgemeine Sicherheit der Datenübertragung.
Deaktivierung von TLS 1.0 und TLS 1.1
TLS 1.0 und TLS 1.1 sind veraltete Verschlüsselungsprotokolle, die nicht mehr den heutigen Sicherheitsanforderungen entsprechen. Sie weisen Schwachstellen auf, die von Angreifern ausgenutzt werden können, um die Kommunikation zwischen Nutzern und Servern zu kompromittieren.
Risiken veralteter TLS-Versionen
Schwachstellen: TLS 1.0 und TLS 1.1 enthalten bekannte Sicherheitslücken, die es Angreifern ermöglichen können, Daten abzufangen oder zu manipulieren.
Regulatorische Anforderungen: Viele Sicherheitsstandards und Regulierungen schreiben die Deaktivierung dieser veralteten Protokolle vor, um den Schutz sensibler Daten zu gewährleisten.
Deaktivierung in der Serverkonfiguration
Um die Unterstützung für TLS 1.0 und TLS 1.1 zu deaktivieren und sicherzustellen, dass nur die sichereren Protokolle TLS 1.2 und TLS 1.3 verwendet werden, können Serverkonfigurationsdateien entsprechend angepasst werden.
Diese Konfiguration stellt sicher, dass nur TLS 1.2 und TLS 1.3 unterstützt werden, was die Sicherheit der Kommunikation erheblich erhöht.
Empfehlung
Es wird dringend empfohlen, die Unterstützung für TLS 1.0 und TLS 1.1 in allen Servern zu deaktivieren und stattdessen auf die sicheren Protokolle TLS 1.2 und TLS 1.3 umzusteigen. Dies reduziert die Angriffsfläche und schützt die Datenübertragung effektiv.
DNS Security Extensions (DNSSEC)
DNS Security Extensions (DNSSEC) sind ein Satz von Erweiterungen für das Domain Name System (DNS), die entwickelt wurden, um die Sicherheit der DNS-Anfragen zu erhöhen. DNSSEC schützt vor bestimmten Angriffen, indem es sicherstellt, dass die Antworten auf DNS-Anfragen authentisch und unverändert sind.
Vorteile der Nutzung von DNSSEC
Erhöhte Sicherheit: DNSSEC schützt vor Angriffen wie DNS-Spoofing und Cache Poisoning, indem es sicherstellt, dass die DNS-Antworten authentisch sind.
Vertrauenswürdigkeit: Durch die Überprüfung der digitalen Signaturen können Benutzer sicher sein, dass die empfangenen DNS-Daten nicht manipuliert wurden.
Integrität: DNSSEC gewährleistet die Integrität der DNS-Daten, indem es sicherstellt, dass die Informationen während der Übertragung nicht verändert wurden.
Verhinderung von Umleitungsangriffen: DNSSEC verhindert, dass Angreifer den Datenverkehr auf betrügerische Websites umleiten, was das Risiko von Phishing-Angriffen verringert.
Erweiterte Sicherheitsschichten: DNSSEC ergänzt andere Sicherheitsmaßnahmen wie HTTPS und HSTS, um einen umfassenderen Schutz zu bieten.
Funktionsweise von DNSSEC
Digitale Signaturen: DNSSEC verwendet digitale Signaturen, um die Authentizität der DNS-Daten zu überprüfen. Jede Antwort auf eine DNS-Anfrage wird mit einer kryptografischen Signatur versehen.
Schlüsselpaare: DNSSEC basiert auf einem System öffentlicher und privater Schlüssel, die zur Erstellung und Überprüfung dieser Signaturen verwendet werden.
Vertrauensanker: Der Browser oder DNS-Resolver verwendet einen Vertrauensanker, um die Signaturkette bis zur Root-Zone zu validieren.
Resource Public Key Infrastructure (RPKI)
Resource Public Key Infrastructure (RPKI) ist ein Sicherheitsmechanismus, der entwickelt wurde, um die Zuweisung von IP-Adressen und AS-Nummern (Autonomous System Numbers) zu sichern. RPKI hilft dabei, die Integrität und Authentizität von Routen im Internet zu gewährleisten, indem es sicherstellt, dass nur autorisierte Netzwerke bestimmte IP-Adressbereiche ankündigen.
Vorteile der Nutzung von RPKI
Erhöhte Sicherheit: RPKI schützt vor BGP Hijacking und anderen Routing-Angriffen, indem es sicherstellt, dass nur autorisierte Netzwerke IP-Adressen ankündigen können.
Integrität des Internet-Routings: Durch die Authentifizierung von Routenankündigungen trägt RPKI zur Stabilität und Zuverlässigkeit des globalen Internets bei.
Schutz vor Umleitungsangriffen: RPKI verhindert, dass Angreifer den Datenverkehr auf betrügerische Netzwerke umleiten, was das Risiko von Datendiebstahl und -verlust verringert.
Vertrauenswürdigkeit: Netzbetreiber können sicher sein, dass die von ihnen verwendeten Routing-Informationen authentisch und nicht manipuliert sind.
Kompatibilität mit bestehenden Sicherheitsprotokollen: RPKI ergänzt andere Sicherheitsmaßnahmen und bietet eine zusätzliche Schutzschicht für Internet-Routing.
Funktionsweise von RPKI
Digitale Zertifikate: RPKI verwendet digitale Zertifikate, um die Zuweisung von IP-Adressen und AS-Nummern zu authentifizieren. Diese Zertifikate werden von vertrauenswürdigen Registries ausgestellt.
Route Origin Authorizations (ROAs): ROAs sind spezifische Datensätze, die in der RPKI-Datenbank gespeichert werden und angeben, welche AS-Nummern berechtigt sind, bestimmte IP-Adressbereiche anzukündigen.
Validierung: Netzbetreiber können die RPKI-Datenbank verwenden, um zu überprüfen, ob die Routenankündigungen von autorisierten AS-Nummern stammen, und ungültige Ankündigungen blockieren.
Beispiel für einen ROA-Eintrag
Ein ROA (Route Origin Authorization) in der RIPE-Datenbank enthält folgende Informationen:
ROA-Name: Ein eindeutiger Name für die Route Origin Authorization.
AS-Nummer (ASN): Die Autonomous System Number, die berechtigt ist, den IP-Adressbereich anzukündigen.
Gültigkeitszeitraum: Der Zeitraum, in dem die ROA gültig ist.
IP-Adressen: Eine oder mehrere IP-Adressen oder CIDR-Blöcke, die von der AS-Nummer angekündigt werden dürfen, sowie die maximale Länge der IP-Präfixe.
RPKI-Signatur: Eine digitale Signatur, die die Authentizität und Integrität der ROA bestätigt.
IT-Sicherheit ist eines der wichtigsten Themen unserer Zeit und betrifft uns alle!
Umso wichtiger ist es, dass die Verbesserung der IT-Sicherheit als eine gemeinsame Anstrengung verstanden wird.
Schützen Sie, was Ihnen wichtig ist
Es ist Zeit, die Kontrolle über Ihre digitale Sicherheit zu übernehmen. Stärken Sie sich gegen Cyberbedrohungen
Sie haben Fragen?
Wir haben die Antworten!
Kontaktieren Sie uns für Fragen wie Fördermöglichkeiten und Ablauf der Cybersecurity-Dienstleistung.