Onlinescanner für Webseiten
Kritischer Blick
Veröffentlicht in Ausgabe 12/2023 - PRAXIS
Webmaster – so hieß früher die Rolle der Person, die in einem Unternehmen für den Webauftritt und die Technik dahinter verantwortlich zeichnete. Heute ist es oft nur noch der E-Mail-Alias, weil der Betrieb von Webservern, mal abgesehen von darauf spezialisierten Hostern, häufig im Alltagsgeschäft nebenbei erledigt wird. Also kümmert sich der SEO-Marketing-Teamleiter oder der Onlineredakteur respektive Content Manager heute um so viele andere Dinge, dass die Pflege des Webauftritts nicht immer die gebotene Aufmerksamkeit erhält.
Glücklicherweise lassen sich Server in vielen Fällen automatisch updaten. Die Zeit, in denen Schattenserver mit Updateversionen bis zum Umfallen getestet wurden, gehört der Vergangenheit an. Die Webanwendung, aber auch die Webserver sind damit eigentlich ohne weiteres auf dem neusten Stand. Was sich aber trotz allem nicht mit aktualisiert, ist etwa die Konfiguration der Software. So kommt es schon einmal dazu, dass aktuelle Webserver veraltete TLS-Cipher-Suites anbieten, weil diese vom Webmaster einmal per Hand konfiguriert wurden. Natürlich funktionieren die Webseiten damit häufig noch, sodass der Fehler nicht weiter auffällt.
Immer von außen scannen – das ist wohl die Prämisse, wenn es um das Monitoring angebotener Dienste im Web geht. Ähnliches muss auch für die Tests sicherheitsrelevanter Parameter gelten. Um direkt auf die Sicherheit zu schauen, bieten sich ein paar Angebote von Onlinescannern an, auch deutsche Anbieter sind hier vertreten. Diese werden wir uns im Folgenden etwas näher ansehen.
Webmaster – so hieß früher die Rolle der Person, die in einem Unternehmen für den Webauftritt und die Technik dahinter verantwortlich zeichnete. Heute ist es oft nur noch der E-Mail-Alias, weil der Betrieb von Webservern, mal abgesehen von darauf spezialisierten Hostern, häufig im Alltagsgeschäft nebenbei erledigt wird. Also kümmert sich der SEO-Marketing-Teamleiter oder der Onlineredakteur respektive Content Manager heute um so viele andere Dinge, dass die Pflege des Webauftritts nicht immer die gebotene Aufmerksamkeit erhält.
Glücklicherweise lassen sich Server in vielen Fällen automatisch updaten. Die Zeit, in denen Schattenserver mit Updateversionen bis zum Umfallen getestet wurden, gehört der Vergangenheit an. Die Webanwendung, aber auch die Webserver sind damit eigentlich ohne weiteres auf dem neusten Stand. Was sich aber trotz allem nicht mit aktualisiert, ist etwa die Konfiguration der Software. So kommt es schon einmal dazu, dass aktuelle Webserver veraltete TLS-Cipher-Suites anbieten, weil diese vom Webmaster einmal per Hand konfiguriert wurden. Natürlich funktionieren die Webseiten damit häufig noch, sodass der Fehler nicht weiter auffällt.
Immer von außen scannen – das ist wohl die Prämisse, wenn es um das Monitoring angebotener Dienste im Web geht. Ähnliches muss auch für die Tests sicherheitsrelevanter Parameter gelten. Um direkt auf die Sicherheit zu schauen, bieten sich ein paar Angebote von Onlinescannern an, auch deutsche Anbieter sind hier vertreten. Diese werden wir uns im Folgenden etwas näher ansehen.
Prüfen der TLS-Verbindung
Der vermutlich bekannteste Anbieter seiner Klasse ist Qualys. Der "SSL Server Test" [1] bietet einen Einblick in die TLS-Konfiguration des Webservers und bewertet diese mit einem Ranking, das den amerikanischen Schulnoten folgt. Bewertungen mit A+ sind natürlich das IT-Security-Ziel und Qualys zeigt mögliche Konfigurationen für unterschiedliche Webserver, um dieses Ziel zu erreichen. Allerdings bedeutet ein A+ unter Umständen auch, ältere legacy Software nicht zu unterstützen – und damit möglicherweise legitime Benutzer auszusperren.
Unser IT-Administrator-Webserver wird etwa allein auf Basis der verwendeten Protokolle TLS 1.0 und TLS 1.1 auf ein B abgewertet. Das bedeutet natürlich nicht, dass Sie auf den Seiten unsicher unterwegs sind. Denn wenn Ihr Webbrowser TLS 1.3 unterstützt, wird natürlich dieses (sichere) Protokoll für die Verbindung verwendet.
ImmuniWeb
Der Websecurity-Service des Schweizer Unternehmens ImmuniWeb [2] fokussiert deutlich breiter als der SSL-Test von Qualys, kratzt dafür aber mehr an der Oberfläche der einzelnen Bereiche. Der Webserver wird zwar getestet, die angebotene Verschlüsselung aber nicht weiter analysiert. Dafür kommt die eingesetzte Software unter die Lupe und fehlende Updates ans Licht.
Ein praktischer Hinweis auch für Hacker auf der Suche nach verwundbaren Webseiten. Ebenfalls im Blick hat der Scanner die Anforderungen der PCI DSS, des Securitystandards der Kreditkartenindustrie. Zusätzlich werden HTTP-Header mit Bezug auf Privacy und Datenschutz überprüft. Bei diesem Test erhalten wir für it-administrator.de trotz einiger kleiner Issues immer noch die Note A.
Privacyscore
Ein in Deutschland gehosteter Dienst zur Prüfung firmiert unter dem Namen Privacyscore [3]. Hier steht, wie der Name schon vermuten lässt, der Datenschutz eines Benutzers im Vordergrund. Privacyscore prüft den Serverstandort und wie viele Inhalte von Drittanbietern oder Tracking-Cookies auf einer Webseite eingebunden werden. HTTP-Header zum Schutz vor Cross-Site-Scripting und verwandten Angriffen werden ebenso wie bei ImmuniWeb kontrolliert.
Bei der Analyse verschlüsselter Verbindungen orientiert sich Privacyscore für den Webserver und den Mailserver beim Umfang an dem Dienst von Qualys, vor allem werden bekannte Verwundbarkeiten wie Heartbleed, CRIME oder BEAST getestet. Leider scheint das Projekt von dem Betreiberkonsortium verschiedener deutscher Hochschulen nicht weiter gepflegt. Die maßgebliche Codebase hat bereits seit mehr als fünf Jahren kein Update mehr gesehen. Auch auf Korrekturanfragen reagiert niemand. Dennoch lassen sich wertvolle Erkenntnisse aus den ermittelten Ergebnissen ziehen.
Mozilla greift nach den Sternen
Der von Mozilla angebotene Dienst Observatory [4] bietet vier unterschiedliche Tests für eine Domain mit Blick auf HTTP, TLS und SSH. Das HTTP-Observatory analysiert die relevanten HTTP-Header, die Sie im Grunde auch bei den anderen Diensten testen können. Bei der Bewertung zeigt sich Mozilla allerdings deutlich strenger. Während Sie bei ImmuniWeb mit einem A glücklich sind, straft Mozilla Sie durchaus mit einem F ab, sobald Sie die grundlegenden HTTP-Header nicht anständig konfigurieren.
Der TLS-Scanner bewertet lediglich die angebotenen Cipher-Suites, eine richtige Bewertung der Konfiguration oder konkrete Vorschläge wie bei Qualys erhalten Sie aber leider nicht. Auch der Test des SSH-Observatory enttäuscht auf ganzer Linie, denn offenbar wird nur abgeprüft, ob auf dem Standardport 22 ein SSH-Server läuft – einen Webtest braucht es dafür eher nicht. Das Observatory bietet sich auch als Proxy für weitere Drittanbieter, etwa Qualys, an. Diese würde man bei Bedarf jedoch eher direkt anfragen.
Blacklists nicht vergessen
Der Onlinedienst von SiteGuarding [5] hat einen guten Fokus auf Schadsoftware und Blocklisten. Letzteres ist natürlich beim Betrieb eines eigenen Mailservers relevant. Das umfangreiche Ergebnis des kostenfreien Scans listet Ihnen globale und Spam-bezogene Sperrlisten auf. Bestenfalls lautet das Ergebnis hier überall "OK". Externe Ziele der Links auf Ihrer Webseite werden ebenfalls auf das Vorhandensein von Blocklisteneinträgen geprüft. Auch hier sollte der Blacklist-Status überall "OK" lauten.
Läuft Ihr Mailserver getrennt vom Webserver, prüfen Sie den Eintrag auf Sperrlisten nochmal für die MX-Subdomain. Bei unseren Tests haben wir so einen Eintrag auf der Norton-Blocklist für den Mailserver festgestellt. Mit einer Anfrage bei Norton lässt sich dies in den meisten Fällen schnell korrigieren. Im Bezug auf Schadsoftware werden populäre Webseiten-CMS geprüft. Verfügbare Updates für ein installiertes Drupal-System werden aber nicht moniert.
Handlungsempfehlung
Wenn Sie die unterschiedlichen Onlinedienste für die von Ihnen verantworteten Domains ausprobieren, werden Sie ohne weitere Interpretation unterschiedliche und zum Teil widersprüchliche Ergebnisse erhalten. Lassen Sie sich davon nicht abschrecken. Sie erhalten auf jedem Fall wertvolles Feedback und Anhaltspunkte, wo Sie die Sicherheit Ihrer Onlinedienste weiter verbessern können.
Vor allem müssen wir bei der Nutzung von Onlinescannern aber eine Empfehlung aussprechen: Bleiben Sie dran! Es reicht nicht, einmal einen Server aufzusetzen, diesen mit Inhalten zu füllen und ihn dann sich selbst zu überlassen. Das wird mit sehr großer Wahrscheinlichkeit in einem Sicherheitsvorfall enden. Prüfen Sie also regelmäßig den Zustand Ihrer Dienste, was heute noch ein A+ ist, kann mit einer gefundenen Schwachstelle morgen schon deutlich schlechter ausfallen. Viele Scanner bieten im kostenpflichtigen Bereich regelmäßige Prüfungen oder solche mit weiteren Details an. Ob sich das im Einzelfall lohnt, müssen Sie anhand Ihrer Infrastruktur entscheiden. Automatische Updates der Software allein helfen Ihnen nicht in allen Fällen. Auch die Konfiguration muss bei existierenden Schwachstellen möglicherweise angepasst werden.
Fazit
Wenn Sie verantwortlich für die Sicherheit der Onlinedienste sind, sollten Sie diese Aufgabe ernst nehmen. Der Security-Tipp in diesem Monat hat Ihnen beispielhaft fünf webbasierte Scanner vorgestellt, mit denen Sie Ihre öffentlich verfügbaren Server testen können. Sogenannte Pentests werden auch von Kriminellen auf der Suche nach neuen Opfern durchgeführt. Behalten Sie die Oberhand und prüfen Sie Ihre Infrastruktur regelmäßig selbst oder mithilfe von Dienstleistern.
(dr)
Link-Codes
[1] Qualys SSL Test: https://www.ssllabs.com/ssltest/
[2] ImmuniWeb: https://www.immuniweb.com/websec/
[3] Privacyscore: https://privacyscore.org/
[4] Mozilla Observatory: https://observatory.mozilla.org/
[5] SiteGuarding: https://www.siteguarding.com/