09.10.2017

HSTS: Webseitensicherheit durch HSTS

Dass Webseiten aus Gründen der Sicherheit vorzugsweise verschlüsselt aufgerufen werden sollten, hat sich inzwischen herumgesprochen. Trotzdem genügt es nicht, wenn Sie Ihren Webauftritt von http:// auf https:// umleiten – genau in dieser Umleitung lauert eine Sicherheitslücke, und zwar bedroht diese die PCs der Webseitenbesucher. Mit HSTS können Sie Ihre Webseite noch sicherer machen.

Von: Lars Behrens   Drucken Teilen   Kommentieren  

Lars Behrens, Dipl.-Paed

Lars Behrens ist Geschäftsführer der Firma MaLiWi IT. Staatlich geprüfter Netzwerkadministrator, Microsoft MCP/Linux LCP. Er hat langjährige Erfahrung in der Beratung bei Planung und Einrichtung von IT-Systemen und Netzwerken und dem Support heterogener Systeme (Apple Macintosh, Microsoft Windows, Linux). Universitätsstudium der Pädagogik, mehrere Jahre Tätigkeit im Ausland. Seminar- und Kursleiter, Referent und Fachbuchautor. Weiterhin ist er Herausgeber von dem Online-Fachportal «InformatikPraxis» bei der WEKA Business Media AG.

MaLiWi IT

 zum Portrait

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 

Per HTTPS abgesicherte Seite

Heutzutage gehört es mehr und mehr zum guten Ton der «Netiquette», seinen Webauftritt in einer per SSL verschlüsselten Version anzubieten. Zum einen dient dies der Absicherung der Aufrufe. Ihre Besucher können sicher sein, dass beispielsweise Passwörter eines Logins zu Ihrem Content Management System usw. nicht im Klartext übertragen werden. Zum anderen ergibt sich aus heutigen Datenschutzbestimmungen die Notwendigkeit, personenbezogene Daten, die Besucher Ihrer Webseite etwa beim Ausfüllen des Kontaktformulars preisgeben, vor unbefugtem Zugriff zu schützen - und nach allgemeiner Auffassung gehört dazu eine per HTTPS abgesicherte Seite. Ausserdem honoriert die Suchmaschine Google die Verschlüsselung von Webseiten mit einer etwas besseren Platzierung in den Suchergebnissen.

Nun können Sie Ihren Webserver so konfigurieren, dass eine Webseite ausschliesslich verschlüsselt abrufbar ist, also nur noch auf https:// hört. Ein Aufruf von http: //weka.ch wird dann vom Server auf https: //weka.ch umgeleitet. Allerdings garantiert auch dies noch keine vollständige Sicherheit. Ein Angreifer könnte mittels einer so genannten Man-in-the-Middle-Attacke den Aufruf der Webseite umleiten, möglicherweise den gesamten HTTP-Datenstrom des Besuchers abhören und diesem sogar eine gefälschte Version einer Webseite präsentieren.

Die Anfragen Ihres Browsers könnten durch einen Hacker manipuliert werden

Diese potentielle Sicherheitslücke entsteht dadurch, dass eine Webseite auch über http:// erreichbar sein sollte - es könnte ja ein Besucher diese URL fest verlinkt haben. Bietet Ihr Webserver nur noch https: //weka.ch und nicht mehr http: //weka.ch an, würde so mancher Besucher, der die unverschlüsselte Version aufruft und nicht auf die verschlüsselte Seite umgeleitet wird, eine Fehlermeldung erhalten und schlimmstenfalls davon ausgehen, dass Ihr Internetauftritt nicht mehr erreichbar ist. In der Regel leitet man also einen Aufruf von http: //weka.ch per Webserver auf https: //weka.ch um. Rufen Sie beziehungsweise Ihr Browser http: //weka.ch auf, kommt vom Server eine Antwort zurück, dass die Seite jetzt auf https: //weka.ch umgeleitet wird. Genau an dieser Stelle in der Kommunikation zwischen Client und Server liegt eine mögliche Gefahr: Die Anfragen Ihres Browsers könnten durch einen Hacker, der sich in den Datenstrom zwischen Ihren PC und den zu besuchenden Webserver einklinkt, manipuliert werden. Ein offenes WLAN wird hier gerne als Einfallstor genommen, beispielsweise in der Hotellounge mit dem formidablen Apéro, der Sie leider auch ein wenig Ihrer Aufmerksamkeit beraubt.

HSTS Header

Dieses Problem lässt sich durch ein recht einfaches Konstrukt lösen. Wenn eine Webseite per HTTP angesprochen wird, könnte ein Webserver, statt wie üblich mit einer Rückmeldung "Fehlernummer 301 - Seite ist umgezogen nach https: //weka.ch" zu antworten, schlicht den Aufruf der Seite per (unverschlüsseltem) HTTP verweigern. Dies wird per so genanntem HSTS Header Ihrem Browser zurückgegeben, wenn dieser versucht, Ihre Anfrage nach http: //weka. ch aufzulösen. Ihr Browser wird nun nur noch https: //weka. ch aufrufen - ganz gleich, mit welcher Hartnäckigkeit Sie http: //weka.ch in die Adresszeile eingeben. Mit anderen Worten: Sie sind bezogen auf die URL entmündigt, aber es dient eben Ihrem und dem Interesse der Sicherheit des gesamten Internets.

Dass das ganze nicht für die sprichwörtliche Katz ist, zeigen die andauernden erfolgreichen Angriffe auf IT-Systeme über das Einfallstor «Internetauftritt». Das ist auch nachvollziehbar, denn eine Webseite ist nun einmal an prominenter Stelle in einem Netzwerk verortet, steht also mit den entsprechenden Ports 80 und 443 ungeschützt im weltweiten Netz. Zwar lassen sich Application Level Gateways und ähnliche Mechanismen vorschalten, die sich zwischen Internet und Webserver legen und den Inhalt der Datenströme zu analysieren und schützen versuchen, aber das ist einerseits aufwendig und somit ausserhalb der Möglichkeiten der üblichen KMU-Webseitenbetreiber, und andererseits bietet eben auch das keine absolute Sicherheit.

Am sichersten wären natürlich eine Webseite und der darunter liegende Webserver, wenn diese aus dem Internet heraus überhaupt nicht erreichbar wären - kein Witz, schliesslich funktionieren ja viele Intranetseiten, interne webgestützte Dokumentations-Systeme und so weiter nur innerhalb eines lokalen Netzwerks. Sobald Sie aber den namensgebenden Teil Ihres Internetauftritts ernst nehmen, sollten Sie sich auch um die Sicherheit Ihrer Webseite kümmern. Sollte es nämlich einem Angreifer gelingen, über eine Sicherheitslücke Zugriff auf das System zu erlangen, ist oftmals nicht nur Ihre eigene Webseite betroffen, sondern alles weitere an Webseiten auf diesem Server. Eventuell wird sogar der die Webseiten beherbergende (hostende) Server betroffen, indem Schadcode in Datenbanken, PHP- oder andere Code oder sonstige Stellen des Betriebssystems gelangt.

Unterschiedlichste Webseiten werden auf ein und demselben Webserver betrieben

Heutzutage ist es nämlich üblich, viele unterschiedlichste Webseiten auf ein und demselben Webserver zu betreiben - ob es sich bei letzterem nun um den Internet Information Server (IIS) von Microsoft handelt oder um einen der Platzhirsche Apache und Nginx (letztere beiden vorrangig auf Linuxservern). Ein häufig auftretendes Problem sind auch Mailsysteme, die missbraucht werden - beispielsweise über massenhaften Spamversand aus dem Kontaktformular einer Webseite heraus. Der eigentlich stabil und sicher laufende Webserver nimmt die Mails an - schliesslich kommen sie ja aus einer lokalen, also prinzipiell vertrauenswürdigen Quelle -, schickt sie in die Weltgeschichte hinaus und landet dadurch auf schwarzen Listen anderer Mailserverbetreiber. Fortan ist kein regulärer Mailversand von diesem System aus mehr möglich, der Hoster hat den Schaden und der Kunde das Nachsehen. Wenn es ganz dumm für Sie läuft, sperrt der Webserverbetreiber Ihnen sogar den Zugang, um weiteren Schaden vom Gesamtsystem abzuwenden. Aber auch, wenn Sie die Server- und Netzstruktur selbst betreiben, könnte Ihnen eine Einschränkung Ihres Internetzugangs durch den Internetprovider drohen. Dieser wird nämlich von Organisationen wie beispielsweise dem CERT von dem Schadsoftware-Vorkommnis aus dem Ihnen zugedachten Adressbereich informiert und wird schnell darauf reagieren.

Was können Sie Ihrerseits tun, um nicht nur Ihren eigenen Internetauftritt, sondern freundlicherweise indirekt das Gesamtsystem zu schützen? Die Liste ist eben so kurz wie in der Praxis oftmals schwierig zu realisieren:

  • Kontinuierliche Durchführung von Updates
  • Verwendung sicherer Passwörter
  • Installation von Software nur aus vertrauenswürdiger Quelle
  • Ausschliessliche Verwendung von HTTPS

Eigentlich sollten alle erwähnten Massnahmen eine Selbstverständlichkeit und kontinuierlich geübte Praxis sein. Zum dritten Punkt sei nur eine aktuelle Meldung von heise.de erwähnt:

"Gefaktes Sicherheits-Plugin für WordPress im Umlauf - Unter dem Deckmantel eines legitimen WordPress-Plugin richtet X-WP-SPAM-SHIELD-PRO eine Backdoor auf Webseiten ein" (Quelle: https://www.heise.de/security/news/, Oktober 2017).

Und was ist mit der Verschlüsselung Ihrer Webseite mittels HTTPS?

Dies war bis vor kurzem ja nicht nur mit einem gewissen administrativen, sondern vor allem finanziellen Aufwand verbunden. Die hierfür benötigten SSL-Zertifikate gab es nur kostenpflichtig von Anbietern wie VeriSign, von wenigen Ausnahmen abgesehen. Seit der erfolgreichen Implementierung des Let´s Encrypt-Projekts (wir berichteten) ist eine Absicherung praktisch jeder Webseite erschwinglich geworden. Die Class-1-Zertifikate sind kostenlos, es entsteht lediglich Aufwand für die Umsetzung. Wer also nicht gerade eine Bank oder einen ausgewachsenen Webshop betreibt, kann und sollte die Let´s Encrypt-Zertifikate nutzen.

Wollen Sie den Stand Ihrer Webseitenverschlüsselung übrigens einmal selber testen? Dazu gibt es zum einen natürlich Software, die aber lokal installiert werden muss, oder kryptische Kommandozeilenbefehle. Allerdings ist so etwas nicht jedermanns Sache. Elegant und fast ohne Aufwand lässt sich dieses Resultat auch mit Online-Testseiten erzielen:

https://www.ssllabs.com/ssltest/

Geben Sie hier einfach den abzufragenden Webseitennamen (die URL bzw. den FQDN wie shop.racletepfaennli.ch) an, lassen Sie den Test durchlaufen - und schon haben Sie ein aussagekräftiges Ergebnis auf dem Bildschirm. Vielleicht hilft es Ihnen ja, Ihren Administratoren oder den Entwicklern und Hostern Ihrer Webseite die entscheidenden Hinweise für die Erhöhung der Webserversicherheit zu geben. Denn merke: Webseitensicherheit ist Webserversicherheit!

Seminar-Empfehlung

Praxis-Seminar, ½ Tag, ZWB, Zürich

Update Datenschutz

Neuerungen in der EU und der Schweiz

Nächster Termin: 07. November 2017

mehr Infos

Produkt-Empfehlungen

  • Download-Paket IT-Musterverträge

    Download-Paket IT-Musterverträge

    Über 120 Mustervorlagen für ein sicheres und effizientes IT-Management

    CHF 248.00

  • InformatikPraxis

    InformatikPraxis

    DIE ultimative Praxislösung für IT-Entscheider!

    Mehr Infos

  • Rechtssicher

    Rechtssicher

    Sicherheit bei Rechtsfragen im Geschäftsalltag

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, ½ Tag, ZWB, Zürich

    Update Datenschutz

    Neuerungen in der EU und der Schweiz

    Nächster Termin: 07. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    IT-Verträge entwerfen und verhandeln

    Rechtssicherheit bei IT-Projekten, Outsourcing und Cloud Computing

    Nächster Termin: 16. November 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Workshop Datenschutz in der Praxis

    Die neue DSGVO und deren Folgen für Schweizer Unternehmen

    Nächster Termin: 30. November 2017

    mehr Infos