Empfehlungen und Hinweise
Informationen sind ein wesentlicher Wert für die Forschung und Lehre unserer Hochschule und müssen daher angemessen geschützt werden. Arbeits- und Geschäftsprozesse basieren immer stärker auf IT-Lösungen. Somit ist die Sicherheit und Zuverlässigkeit der Informations- und Kommunikationstechnik ebenso wie der vertrauenswürdige Umgang mit Informationen zunehmend wichtig. Unzureichend geschützte Informationen stellen einen häufig unterschätzten Risikofaktor dar.
Als zentraler IT-Dienstleister ist das IT Center operativ, kooperativ und informativ für Nutzende seiner Services verantwortlich. Ziel ist der sichere Einsatz von Informations- und Kommunikationstechniken. Sicherheitsaspekte sollen schon möglichst früh bei der Entwicklung und Beschaffung von IT-Systemen und –Anwendungen, ebenso wie bei ihrer Bedienung, Berücksichtigung finden.
Eine grundlegende Aufgabe ist dabei die entsprechende Aufklärung und Sensibilisierung der Nutzenden, der das IT Center mit folgenden Empfehlungen und Regelungen nachkommen möchte.
Handreichung zur Cloud-Nutzung
In den Angeboten der IT-Branche sind Cloud-Dienste allgegenwärtig und sehr einfach zugänglich. Gerade wegen dieser einfachen Verfügbarkeit ist es unverzichtbar, sich über Zweck, Art und Umfang der beabsichtigten Nutzung Gedanken zu machen und den Nutzen ggf. gegen den Schutzbedarf der zu verarbeitenden Daten abzuwägen. Dazu muss man sich fragen, welcher Schaden entsteht, wenn Vertraulichkeit, Integrität oder Verfügbarkeit der Daten verletzt werden. Einen ersten entsprechenden Überblick über relevante Aspekte der Cloud-Nutzung gibt unsere Cloud-Handreichung .
Nutzung von Webbrowsern
Je nach verwendeter Plattform stehen den Nutzenden verschiedene Web-Browser zur Auswahl. Plattform übergreifend sind das z. B. „Chrome“ und „Firefox“. Plattformspezifisch z. B. „Safari“ und „Edge“. Bei Nutzung eines Web-Browsers werden Daten in der Regel auch aus nicht vertrauenswürdigen Quellen geladen. Diese Daten können auch Schadsoftware (Viren, Trojaner usw.) enthalten. Daher kommt der Auswahl eines geeigneten Browsers eine besondere Bedeutung zu.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt einen Mindeststandard für sichere Web-Browser. Demnach erfüllt der "Mozilla Firefox 68 Extended Support Release (ESR)" am ehesten die Anforderungen des BSI.
Die wichtigste Empfehlung ist, aktive Inhalte wie Java und Adobe Flash möglichst zu deaktivieren und immer nur mit den neusten Browser-Versionen zu arbeiten. Weitere Details finden sich auf der Webseite "BSI für Bürger".
Empfehlungen für Administrator*innen
Wir möchten hiermit auf einen sich abzeichnenden Mangel in der Konfiguration von vielen Webservern in der RWTH hinweisen. Es geht dabei um die Einstellungen für den abgesicherten Zugriff auf die Webserver, konkret um Mängel in vielen Zertifikaten und veralteten Protokollen.
Der Hash-Algorithmus SHA-1 gilt als nicht mehr ausreichend sicher. Daher gelten auch Zertifikate die noch SHA-1 verwenden als nicht mehr zuverlässig. Die Firma Google hat nun begonnen in neuen Versionen des Chrome-Browsers Webseiten die Zertifikate mit SHA-1 verwenden als nicht mehr ganz zuverlässig zu markieren [1][2]. Das kann wiederum zur Verunsicherung von unseren Nutzern führen. Aus diesem Grund werden wir im IT Center unsere Zertifikate in den kommenden Wochen und Monaten austauschen. Sie sind eingeladen Ihre Zertifikate auch auf den neuesten Stand zu bringen. Natürlich gilt das auch für Zertifikate im Kontext von anderen Diensten. Es gibt Webseiten mit denen Sie prüfen können, ob Ihr Server SHA-1 verwendet [3]. Weitere Hinweise finden Sie z. B. auf osxdaily [4].
Das zweite Problem bezieht sich auf SSLv3. Mittlerweile können alle aktuellen Browser mit den neueren TLS-Protokollen arbeiten. Die SSL-PRrotokolle sind veraltet und weisen Sicherheitslücken auf. Aus diesem Grund schalten wir auf den Servern des IT Centers SSL komplett ab und bieten nur noch TLS für den Zugriff auf unsere Dienste an. Auch hier können wir aus Zeitgründen nicht sofort für alle Server aktiv werden, aber wir schalten je nach Dringlichkeit und erwarteten Nebenwirkungen die Protokolle nach und nach ab. Auch hier finden sie im Web Hinweise zum Testen der Anfälligkeit und zum Abschalten [6][8].
Ich möchte mich bei dieser Gelegenheit bei allen Kolleginnen und Kollegen bedanken die geholfen, haben die Informationen zusammenzutragen und zu bewerten. Besonders erwähnen möchte ich Jens Hektor, Bernd Kohler, Ekaterina Papachristou, Peter Steves, ....
Guido Bunsen
IT Manager Security im IT Center der RWTH
Quellen und Links:
[1] http://blog.chromium.org/2014/09/gradually-sunsetting-sha-1.html
[2] https://konklone.com/post/why-google-is-hurrying-the-web-to-kill-sha-1
[3] https://shaaaaaaaaaaaaa.com/
[4] http://osxdaily.com/2012/02/09/verify-sha1-hash-with-openssl/
[5] http://arstechnica.com/security/2012/10/sha1-crypto-algorithm-could-fall-by-2018/
[6] http://www.heinlein-support.de/blog/security/deaktivieren-sie-sslv3-apachepostfixdovecot-poodle-bug/
[7] http://www.heise.de/security/meldung/So-wehren-Sie-Poodle-Angriffe-ab-2424327.html