Messverfahren Grundlegende Sicherheit.co.uk

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Basic Security misst und veröffentlicht alle Messungen rund um die Online-Sicherheit, die zu veröffentlichen verantwortungsvoll ist, mehr dazu in der Veröffentlichungsrichtlinie. Wir verwenden auch die Überlegungen in unserem Verhaltenskodex, um zu bestimmen, welche Maßnahmen hinzugefügt werden.

Dieser Artikel listet auf, welche Messungen mit welchen Techniken durchgeführt werden. Eine vollständige Liste mit Referenzen finden Sie unter der Überschrift „Übersicht über alle Messungen“.

Diese Messpolitik wird ständig weiterentwickelt und reagiert auf neue Entwicklungen. Es gibt eine Reihe von Ausnahmen von dieser Messpolitik; diese sind in den Ausnahmen von der Messpolitik beschrieben.

Bitte lesen Sie unseren Haftungsausschluss, bevor Sie die Messdaten verwenden. Wenn Sie Fragen haben, wenden Sie sich bitte an info@internetcleanup.foundation.

In diesem Artikel heißt es:

• Informationen über die Aktualität der Messungen
• Wie die Messungen im Laufe der Zeit strenger bewertet werden (Roadmap)
• Eine Übersicht über alle Einzelmessungen
  • Enthält Links zur Dokumentation und zu Testtools

Rechtzeitigkeit der Messungen

Die Messungen werden täglich bis wöchentlich durchgeführt, dies hängt von der Komplexität und Intensität der Messungen ab. Eine einzelne Bestandsmessung wird einmal alle sechs Monate durchgeführt, weil sie zu laut ist, die Wiederholungsmessung findet einmal pro Woche statt.

Aufgrund der Häufigkeit der Messungen sind die Daten in den Berichten normalerweise nie älter als eine Woche. Wenn doch, dann ist etwas Besonderes im Gange. Wir arbeiten noch an der Funktionalität, dass Messungen, die älter als zwei Monate sind, nie in den Berichten erscheinen, und reduzieren diese Dauer auf höchstens einen Monat.

Sie können im Detailbericht immer sehen, wie alt eine Messung ist. Dies wird am unteren Rand jeder Messung angezeigt. Im Beispiel unten können Sie also sehen, dass die Messung seit 22 Tagen gleich geblieben ist und die letzte Messung vor 1 Tag stattfand.

Darüber hinaus zeigt jede Karte die Datenqualität der Karte an. Diese Übersicht zeigt, welche Messungen vorgenommen werden und wie viele davon aktuell / veraltet sind. In dieser Übersicht werden Messungen, die älter als 7 Tage sind, als veraltet betrachtet. Dies ist auch im untenstehenden Beispiel zu sehen.

Die Datenqualität steht unter der Kugel in der oberen linken Ecke der Karte. Diese Kugel färbt sich je nach Qualität. Wenn sie orange oder rot ist, ist etwas nicht in Ordnung. Normalerweise ist der Punkt grün. Wenn alles auf dem neuesten Stand ist, sehen Sie hier einen Regenbogen.

Fahrplan der Verschärfung der Messungen

Mit der Zeit wird es eine strengere Überwachung geben. Zum Beispiel sind einige Befunde derzeit grün oder orange, werden aber in Zukunft rot sein.

Eine neue Anzeige wird oft als orange oder grün eingeführt, damit sich die Menschen daran gewöhnen und handeln können, bevor sie rot wird.

Der Fahrplan dafür ist immer noch fragmentiert und nicht festgelegt. Wenn einzelne Messungen eingeführt werden, wird dies oft erwähnt. Diese Informationen werden noch gesammelt.

Übersicht über alle Messungen

Hier finden Sie eine Übersicht über alle Messungen, Bewertungen, Dokumentationen und Hilfsmittel, mit denen Sie sich messen können. Wenn alle diese Maßnahmen richtig angewendet werden, wird die Organisation auf der Karte grün dargestellt.

Wenn ein Unternehmen seine Online-Dienste im Auge behält und sie auf ein Minimum reduziert, ist es nicht allzu schwierig, auf orange oder sogar grün zu kommen.

Sicherer Domänenname (DNSSEC)

• Zweck: Gewissheit über den Domainnamen und den Inhalt der Website zu schaffen
• Stärkste Bewertung: Rot
• Gemessen mit: dnssec.pl tool
• Dokumentation: internet.co.uk, OpenCRE, Wikipedia
• Überprüfbar auf: Zonemaster, internet.co.uk, verisign labs, DNS Visualizer

# level: url
dnssec

TLS auf der Website (HTTPS)

• Ziel: Verschlüsselung anwenden: dass der Besuch einer Website vertraulich und integer ist. Prüfen Sie, ob das Vertrauen in Ordnung ist und ob es keine Schwachstellen in der Verschlüsselung gibt.
• Stärkste Bewertung:Rot
• Gemessen mit: Qualys SSL Labs
• Dokumentation: TLS-Einstellungen, Wikipedia, Digital Government Act
• Zu messen an: SSL-Laboratorien

# level: endpoint
tls_qualys_encryption_quality
tls_qualys_certificate_trusted

Website ohne Verschlüsselung (HTTPS)

• Zweck: Anwendung der Verschlüsselung, wie TLS auf der Website
• Stärkste Bewertung:Rot
• Gemessen mit: Eigener Scanner
• Dokumentation: TLS-Einstellungen, Wikipedia, Digital Government Act
• Zu messen an: SSL Labs, internet.de

# level: endpoint
plain_http

Dateiübertragung (FTP)

• Zweck: Anwendung der Verschlüsselung
• Stärkste Bewertung:Rot
• Gemessen mit: Eigener Scanner
• Dokumentation: Wikipedia
• Überprüfbar z.B. unter: ftptest.net

# level: endpoint
ftp

Informationen zur Softwareversion (Banner)

• Ziel: Versionsinformationen entfernen, da diese nur für Angreifer nützlich sind
• Stärkste Bewertung:Rot
• Gemessen mit: nmap
• Dokumentation: Wikipedia, nmap
• Prüfen Sie auf: ipvoid

# level: endpoint
bannergrab
bannnergrab_product_name (unpublished)
bannnergrab_product_version (unpublished)
bannnergrab_product_info (unpublished)
bannnergrab_product_cpe (unpublished)

E-Mail-Sicherheit (STARTTLS, DMARC, DKIM, SPF)

• Zweck: Sicherstellung der Integrität und Vertraulichkeit von E-Mails
• Stärkste Bewertung:Rot
• Gemessen von: internet.co.uk
• Dokumentation: Wikipedia (STARTTLS), Wikipedia (DKIM), Wikipedia (DMARC), Wikipedia (SPF)
• Überprüfbar bei: internet.co.uk, dmarcian, mxtoolbox, u.a.

# level: endpoint
internet_nl_mail_auth_dmarc_exist
internet_nl_mail_auth_dkim_exist
internet_nl_mail_starttls_tls_available (unpublished)

Login-Portale

• Zweck: Keine globalen und öffentlichen Funktionen, die für eine kleine Gruppe von Personen bestimmt sind, insbesondere um die Administratorfunktionen abzuschirmen.
• Stärkste Bewertung: Rot
• Gemessen mit: Kerne
• Dokumentation: Wikipedia
• Zu messen an o.a.: prüfen Sie die Links in den Ergebnissen. Gibt es hier ein Login-Portal? Dann ist der Befund noch gültig. Diese Portale befinden sich auf einer speziellen Seite namens Login Plaza.

# level: endpoint
# Only reachable via the login plaza JSON call at the moment. Will be published in the report at a later time.

Tracking Cookie ohne Zustimmung

• Zweck: Tracking-Cookies sollten nie ohne Erlaubnis gesetzt werden. Indem Sie dies transparent machen, können Website-Betreiber diese Cookies entfernen.
• Stärkste Bewertung: Orange, Rot ab Januar 2024.
• Gemessen mit: Eigener Scanner obv Playwright
• Dokumentation: tbd
• Zu messen am: tbd

Übersicht gemessene Tracking-Kekse

Wir messen die nachstehenden Tracking-Kekse. Dabei handelt es sich um Follower Biscuits, die nach Angaben des Lieferanten zu Marketingzwecken platziert werden. Diese Nachlaufkekse sind laut unserer Umfrage vom November 2023 die mit Abstand am häufigsten platzierten Nachlaufkekse.

# level: endpoint
web_privacy_cookie_products_no_consent

Eigentümer der Internetadresse (WHOIS)

• Zweck: Die Verwaltung der Domain in Ordnung bringen. Ein Außenstehender kann überprüfen, ob die Website der richtigen Organisation bei SIDN gehört.
• Stärkste Bewertung: Orange
• Gemessen mit: Eigener Scanner
• Dokumentation: SIDN, Wikipedia, OpenCRE
• Überprüfbar auf: SIDN

# level: url
whois_domain_ownership

Sichere Verbindung gemäß den NCSC-NL-Anforderungen (TLS)

• Zweck: Anwendung der Verschlüsselung, Messung der gesetzlichen Anforderungen
• Stärkste Bewertung:Orange
• Gemessen von: internet.co.uk
• Dokumentation: Gesetz, Auslegung des Gesetzes, Technische Anforderungen
• Zu messen z.B. an: internet.co.uk

# level: endpoint
internet_nl_web_tls

Sicherheit.txt

• Zweck: Um Benachrichtigungen über schwerwiegende Online-Schwachstellen erhalten zu können.
• Stärkste Bewertung:Orange
• Gemessen von: internet.co.uk
• Dokumentation: internet.co.uk, Wikipedia, securitytxt.org
• Zu messen z.B. an: internet.co.uk

# level: endpoint
internet_nl_wsm_web_appsecpriv_securitytxt

Vertrauenswürdige Weiterleitung des Internetverkehrs (RPKI)

• Ziel: Sicherstellung, dass der Internetverkehr den richtigen Weg nimmt
• Stärkste Bewertung:Orange
• Gemessen von: internet.co.uk
• Dokumentation: Wikipedia
• Überprüfbar unter: internet.co.uk, reif

# level: endpoint
internet_nl_web_rpki_exists

HSTS-Kopfzeile

• Zweck: Erzwingen Sie die Verschlüsselung von Websites, solange die Browser dies nicht tun.
• Stärkste Bewertung:Orange
• Gemessen mit: Eigener Scanner
• Dokumentation: MDN, Wikipedia, Gesetz über die digitale Verwaltung
• Überprüfbar unter: securityheaders.com, internet.co.uk, u.a.
• Beachten Sie, dass includesubdomains und preload ignoriert werden, falls preload nicht aktualisiert wird und ein Besucher auf einer Subdomain ohne HSTS-Header landet.

# level: endpoint
http_security_header_strict_transport_security

Website-Besuch respektiert die Privatsphäre

• Zweck: Vertraulichkeit eines Besuchs, damit nach einem Besuch keine Werbung an Sie gerichtet wird
• Stärkste Bewertung:Orange
• Gemessen mit: Eigener Scanner
• Dokumentation: Broschüre zum Aufbau datenschutzfreundlicher Websites, Disconnect.me, Google Analytics Verbot
• Zu messen an: Webkoll, Privacycore.org

# level: endpoint
web_privacy_third_party_requests
web_privacy_tracking

Redundante Dienste (offene Tore)

• Ziel: Minimierung der Online-Dienste. Das öffentliche Internet muss nur die Dienste enthalten, die für jeden weltweit verfügbar sein sollten.
• Stärkste Bewertung:Orange
• Gemessen mit: Nmap
• Dokumentation: Wikipedia (open gates)
  • Suchen Sie nach: ipvoid

# level: endpoint
ports

STARTTLS Anwesenheit (E-Mail)

• Zweck: um als Absender verschlüsselte E-Mails an den Mailserver senden zu können.
• Stärkste Bewertung:Orange
• Gemessen von: internet.co.uk
• Dokumentation: internet.co.uk
  • Zu messen z.B. an: internet.co.uk

# level: endpoint
internet_nl_mail_starttls_tls_available

E-Mail-Verschlüsselung gemäß den NCSC-Anforderungen

• Zweck: um als Absender verschlüsselte E-Mails an den Mailserver senden zu können.
• Stärkste Bewertung:Orange
• Gemessen von: internet.co.uk
• Dokumentation: internet.co.uk
  • Zu messen z.B. an: internet.co.uk

# level: endpoint
internet_nl_mail_dashboard_tls

Standort des Servers (IP Geolocation)

• Zweck: Verarbeitung von Daten in NL/EU, Messung der gesetzlichen Anforderungen. Sicherstellen, dass sich alle Dienste in ihrem eigenen (rechtlichen) Hoheitsgebiet befinden.
• Stärkste Bewertung:Grün (während der Einführungsphase),Orange nach Oktober 2023
• Gemessen mit: Maxmind, Ripe (für einige Korrekturen)
• Dokumentation: Gesetz zum Verbot der Datenverarbeitung außerhalb der EU (Matomo)
• Überprüfbar auf: InfoByIP, geolocation.com, iplocation.io (nicht alle diese Websites haben die gleiche Geolocation-Datenbank)

# level: url
location_server
location_mail_server
location_third_party_website_content

Andere Website-Kopfzeilen (X-Frame-Options usw.)

• Zweck: Sichere Einstellungen beim Besuch einer Website
• Stärkste Bewertung:Orange (kein CSP UND x-frame-Optionen),Grün (Rest)
• Gemessen mit: Eigener Scanner
• Dokumentation: Allgemein (OWASP), CSP-Header, Berechtigungsrichtlinie, Referrer-Richtlinie, X-Content-Type-Options, Clickjacking,
• Überprüfbar unter: securityheaders.com, internet.co.uk, u.a.

# level: endpoint
http_security_header_x_content_type_options
http_security_header_x_frame_options
http_security_header_referrer_policy (unpublished)
internet_nl_web_appsecpriv_csp (unpublished)
http_security_header_permissions_policy (unpublished)