Ausnahmen von der Messpolitik

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Diese Seite enthält eine Liste von Ausnahmesituationen für Messungen zur Basissicherheit. Eine Messung ohne Kontext wird negativ beurteilt. Daher fügt die Basissicherheit Ausnahmen nach dem sogenannten „comply or explain“-Verfahren hinzu.

Wenn Sie eine Ausnahme vermissen, kontaktieren Sie uns bitte. Dieser Ausnahmeantrag wird dann geprüft und kann zu den Messungen hinzugefügt werden oder auch nicht. Fügen Sie die Anforderungen des Handbuchs für gute Erklärungen hinzu.

Versionsnummern

Wir erwarten, dass wir keine Informationen finden, die ein Angreifer für einen Angriff nutzen könnte. Im Allgemeinen erwarten wir also keine Versionsnummern. Dies sind die Ausnahmen hiervon:

  1. SSH2.0-Strings ohne Kommentare sind ausgeschlossen, da die Versionsinformationen Teil des Protokolls sind. Siehe www.openssh.com/txt/rfc4253.txt 4.2. Das bedeutet zum Beispiel, dass „OpenSSH_9.2p1“ zugelassen ist, „OpenSSH_9.2p1 Debian-2+deb12u2“ jedoch nicht. Das liegt daran, dass es zusätzliche Informationen („Debian-2+deb12u2“) über das System veröffentlicht. Das bedeutet, dass das System nicht gegen Angreifer gehärtet ist und ein Angreifer genau weiß, um welche Art von System es sich handelt.
  2. Hauptversionen bekannter Produkte, die wenig über den Patch-Level aussagen. Zum Beispiel: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Diese sind genehmigt.

Zertifikate

Es wird erwartet, dass alle Zertifikate von einer akkreditierten Organisation ausgestellt werden. Diese Zertifikate werden dann in Browsern und Geräten als vertrauenswürdig eingestuft. Dies sind die Ausnahmen von dieser Regel:

  1. G1 Regierungszertifikate. Diese werden vom Browser nicht als vertrauenswürdig eingestuft, wohl aber von der Zentralregierung. Dies wird durch einen Hinweis angezeigt. Nicht vertrauenswürdig ist jetzt absichtlich. Das Zertifikat, das akzeptiert wird, muss unter anderem die Seriennummer 10004001 enthalten.

Offene Pforten

Die Erwartung ist, dass die Angriffsfläche minimal ist: das heißt, so wenig offene Ports wie möglich. Dies sind die Ausnahmen von dieser Regel:

  1. 8080/8443 (Cloudflare): Die Cloudflare-Firewall öffnet standardmäßig einige redundante Ports, wie z.B. 8080. Was dort erscheint, können Sie selbst konfigurieren. Wenn wir sehen, dass Cloudflare dort aufgeführt ist, genehmigen wir es jetzt mit einer Erklärung. Das ist letztlich nicht gut und wir ermutigen Cloudflare-Benutzer, darauf hinzuweisen, dass das Unternehmen damit beginnen sollte, diese Ports zu schließen. Diese Ausnahme erfolgt auf der Grundlage des Inhalts der Webseite. Hierfür wird eine Richtlinie als Erklärung angewendet.
  2. 8443 (VPN): Subdomains, die mit Heimarbeit zu tun haben, können diesen Port öffnen. Wir erkennen dies an den Subdomains (und vielen Varianten davon): Telearbeit, Heimarbeit, Arbeitsplatz, Workstation, Extranet, Intranet, Remote, Fernarbeit, vpn und so weiter.

Verschlüsselte Datenübertragung (HTTPS)

Es wird erwartet, dass Websites und Webdienste verschlüsselt werden, damit die Informationen vertraulich bleiben. Dies sind die Ausnahmen hiervon:

  1. Zertifikatssperrlisten: Für die Subdomänen „pki“, „crl“, „ocsp“ und einige Varianten davon ist keine verschlüsselte Verbindung erforderlich. Der HSTS-Header muss auf Port 443 nicht gesetzt werden (wir würden kein https erwarten).
  2. Auf Microsoft Autodiscover-Subdomains ist keine Verschlüsselung erforderlich, dies ist eine allgemeine Ausnahme für Microsoft-Dienste, da sonst alle rot sind…? Dies gilt für die Domänen „autodiscover“ und „autodiscover.test“.

HTTP-Kopfzeilen

Es wird erwartet, dass alle Websites sicher eingerichtet sind. Dies sind die Ausnahmen hiervon:

  1. Fehlende Kopfzeilen für SOAP/JSON/XML-Inhaltstypen: Diese Dienste sind nicht für Menschen bestimmt und müssen daher nicht den Browserschutz bieten, der für den Schutz von Menschen gedacht ist.
  2. Fehlende Header für technische Dienste: Für die ADFS-Subdomain muss der HSTS-Header nicht gesetzt werden.

Andere

Es wird erwartet, dass alle Sicherheitsanforderungen erfüllt werden. Es gibt komplexe Szenarien, in denen dies noch nicht geschehen ist oder nicht möglich ist. Dies sind die Ausnahmen:

  1. Microsoft-Dienste auf Subdomänen um lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Dies wurde getan, weil diese Dienste nicht für Browser, sondern für automatisierte Dienste gedacht sind. Gleichzeitig, weil die Auswirkungen überall groß wären und IKT-Dienstleister diese Probleme nicht lösen können:
    • Das Zertifikat dieser Subdomänen ist vertrauenswürdig, obwohl es von Qualys nicht vertrauenswürdig ist.
    • Da diese Dienste für Geräte und nicht für Browser gedacht sind, sind die http-Header nicht zwingend erforderlich.