Haftungsausschluss: Das Original dieser Seite wurde auf Niederländisch verfasst. Diese Seite wurde mit DeepL automatisch in andere Sprachen übersetzt. Dies kann zu Unterschieden in Nuancen, Ton und Bedeutung führen. Im Zweifelsfall sollten Sie immer zuerst die niederländische Version konsultieren. Aufgrund der hohen Kosten für Übersetzungen kann diese Seite inhaltlich hinter der niederländischen Version zurückbleiben. Wir betrachten die niederländische Version dieser Seite als führend.
Die Internet Cleanup Foundation hat einen Verhaltenskodex, der die grundlegenden Prinzipien darüber festlegt, welche Messungen veröffentlicht werden und welche nicht.
Auf dieser Seite wird dies anhand praktischer Beispiele näher erläutert.
Öffentliche Messungen mit einem öffentlichen Zweck
Im Prinzip misst Basic Security die Sicherheit auf der grundlegenden Ebene. Diese kann frei veröffentlicht werden, ohne das Risiko des Missbrauchs über das ohnehin bestehende Maß hinaus zu erhöhen. Überlegen Sie sich, wo es an gängigen Sicherheitsmaßnahmen mangelt.
Die Datenbank von Basisbeveiliging.nl enthält mehr als 10 Millionen einzigartige Messungen. Alle Messungen in der Datenbank können jederzeit in vollem Umfang veröffentlicht oder weitergegeben werden, ohne dass neue Risiken entstehen, die ein Angreifer ausnutzen kann.
Ein Unternehmen mit einer angemessenen Sicherheitspolitik wird bei der Basissicherheit immer im grünen Bereich sein: Die Messungen an sich sind keine Neuigkeit oder schockierend, aber die fehlende Anwendung kann es manchmal sein.
Die Messungen der grundlegenden Sicherheit liegen im Bereich des ethischen Hackings und der Sicherheitstests. Es gibt starke Ähnlichkeiten mit den ersten Schritten professioneller Sicherheitstests, wie z.B. die Kartierung der Angriffsfläche. Dies umfasst Domänen, Ports und Software. Dies sind öffentliche Informationen, die leicht in großem Umfang gesammelt werden können. Es gibt viele Unternehmen, die dies tun und es zu sehr geringen Kosten oder sogar öffentlich und kostenlos anbieten.
Basic Security veröffentlicht niemals ernsthafte oder kritische Sicherheitslücken. Dies überlässt Basic Security anderen Organisationen, wie z.B. professionellen Sicherheitstestunternehmen wie Secura, Zerocopter oder freiwilligen Organisationen wie dem DIVD.
Veröffentlichbare Ergebnisse
Die Internet Cleanup Foundation veröffentlicht Informationen über Sicherheitslücken und fehlende Sicherheitsmaßnahmen. Sie tut dies mit dem Ziel, diese Schwachstellen beheben zu lassen. Auf der Grundlage des Verhaltenskodexes wird entschieden, ob eine Sicherheitslücke veröffentlicht werden kann. Dabei werden das öffentliche Interesse, die Verhältnismäßigkeit und die Subsidiarität berücksichtigt.
Veröffentlichbare Schwachstellen sind für jedermann auf der Website der Basissicherheit öffentlich zugänglich. Darauf kann auch automatisch zugegriffen werden.
Veröffentlichbare Schwachstellen werden nach Risiko eingestuft. Dies ist eine andere Risikoeinstufung, die in der Welt der Sicherheit üblich ist, da das Spektrum der Messungen unterschiedlich ist. Das Spektrum für die Basissicherheit umfasst vier Stufen, die danach gestaffelt sind, was potenziell schief gehen könnte. Dies steht im Gegensatz zu den üblichen Sicherheitstests, bei denen dieselben Ergebnisse mit den Dingen verglichen werden, die jetzt wirklich schief gehen. Wo Basic Security etwas als „hoch“ bewertet, wird es in einem professionellen Sicherheitstest als „info“, „niedrig“ oder in einem speziellen Fall als „mittel“ eingestuft, je nach Zweck des Tests.
Die Abstufungen bei der Basissicherheit ändern sich im Laufe der Zeit, um die Messlatte für die Basissicherheit langsam anzuheben. Wenn eine Messung in diesem Jahr orange ist, kann sie im nächsten Jahr rot sein, um mehr Aufmerksamkeit zu erregen. Beispielsweise ist die Anwendung von security.txt erst ab Mitte 2023 verpflichtend, so dass zu diesem Zeitpunkt noch nicht alle Organisationen diesen Standard anwenden werden. Mitte 2024 wäre dies jedoch inakzeptabel, da sie dann ein Jahr Zeit hatten, ihn anzuwenden. Mehr dazu finden Sie in den Richtlinien zur Messung.
Dies sind die vier Abstufungen, die wir anwenden:
Rot: Dies steht für eine hochriskante Schwachstelle. Hier geht es um eine Schwachstelle, die behoben werden muss. Nehmen wir zum Beispiel eine schwache Verschlüsselung. Das Durchsickern von Versionsinformationen (d.h. einem Angreifer mitteilen, was er ausführen soll) und dergleichen.
Orange: Dies betrifft oft Institutionen und Verwaltungsmängel. Auch neue Messungen, die eigentlich rot sein sollten, aber für die Einführung als orange eingestuft werden: um die Messung für die verantwortlichen Organisationen sichtbar und umsetzbar zu machen.
Grün (niedrig): Eine Messung, die eine Abweichung in Bezug auf die Sicherheit beinhaltet, die (noch) sehr geringe Auswirkungen hat, weil nur wenige Menschen von diesem Problem betroffen sein könnten und in diesem Fall oft bereits einer Vielzahl von ernsteren Problemen ausgesetzt sind. Diese Stufe wird auch für Messungen verwendet, die in der Zukunft rechtliche Verpflichtungen nach sich ziehen könnten, aber heute noch nicht sehr häufig vorkommen.
Grün (ok): Eine korrekte Messung: Die Sicherheit ist an diesem Punkt gewährleistet.
Die Ergebnisse werden immer mit einer Dokumentation, Referenzen und, wenn möglich, einem Link zu einer zweiten Meinung versehen, über den ein erneuter Test durchgeführt werden kann. Diese sind auch in der Messrichtlinie enthalten. So können Sie die Relevanz eines neuen Fundes erkennen und sofort überprüfen, ob die Schwachstelle behoben wurde.
Beispiele für zu veröffentlichende Schwachstellen sind: fehlende Verschlüsselung, fehlendes DNSSEC, fehlende security.txt, physischer Standort des Dienstes, Anwendung von RPKI, öffentliche Versionsinformationen.
Alle Informationen auf den Websites, einschließlich aller Messungen, unterliegen unserem Haftungsausschluss. Sie handeln daher immer auf eigene Kosten und eigenes Risiko, wenn Sie sich auf diese Angaben verlassen. Wir tun unser Bestes, um immer korrekte und aktuelle Maße zu veröffentlichen. Lesen Sie mehr darüber in der Maßpolitik.
Wie werden neue Messungen veröffentlicht?
Bevor eine neue Messung veröffentlicht wird, wird sie zunächst den Dachverbänden mitgeteilt, damit diese Maßnahmen ergreifen können. Zu diesem Zeitpunkt sind die Messergebnisse selbst oft noch nicht aufschlussreich. Spätestens einen Monat später wird die Messung sichtbar und öffentlich.
Danach folgt eine Probezeit, in der die Messung höchstens orange bewertet wird. Während dieser Probezeit kann jeder auf die Messung reagieren und die Messung kann verschärft werden. Dieser Zeitraum dauert in der Regel ein oder zwei Monate. Nach diesem Zeitraum wird die Messung neu skaliert und möglicherweise auf rot gesetzt.
Beispielszenario veröffentlichbare Schwachstelle
Eine Organisation braucht eine Website. Diese Website wird von einer Entwicklungsagentur geliefert. Diese Entwicklungsagentur verwendet Standardsoftware und konzentriert sich hauptsächlich auf Funktionalität und Informationen.
Die Website ist in Betrieb, aber die Sicherheit ist noch nicht gewährleistet. Zum Beispiel ist die Website noch nicht über eine verschlüsselte Verbindung (1: https) zugänglich, es gibt keine Garantien, ob der Domainname zur IP-Adresse der Website gehört (2: DNSSEC) und es gibt ein öffentliches Verwaltungspanel (3: Anmeldepanel), das anzeigt, dass es sich um die Softwareversion 7.0.2 handelt (4: Versionsinformationen).
Dieser Fall gibt einem Angreifer alle möglichen Handgriffe an die Hand, die leicht umgangen werden können. Ein Angreifer braucht nur wenig oder gar keinen Aufwand, um sie zu finden, und hat dieses Wissen lange und weitgehend automatisiert, um auf diese Weise möglichst viel Schaden anzurichten.
In dieser Fallstudie kann ein Angreifer die Schwachstellen auf folgende Weise ausnutzen: er kann den Internetverkehr im selben Netzwerk, z.B. einem Wi-Fi-Hotspot, mitlesen, weil https fehlt (1: https), im selben Netzwerk kann der Angreifer den Verkehr auf eine gefälschte Seite umleiten (2: dnssec), man kann versuchen, sich überall auf der Welt auf der Verwaltungsseite anzumelden (3: Login-Panel) und überall auf der Welt öffentlich bekannte Schwachstellen suchen und anwenden (4: Versionsinformationen).
Die Angreifer verfügen bereits über diese Informationen, daher ist es wichtig, dass auch die Menschen, die sich verteidigen müssen, diese Informationen haben. All diese Angriffe beruhen auf Offenheit und guter Professionalität.
Wenn bekannte Sicherheitsframeworks und -standards kompetent befolgt werden, gibt es all diese Schwachstellen nicht. Denken Sie an ISO27002, NEN7510, Baseline Information Security Government und dergleichen. Beachten Sie, dass solche Frameworks nicht praktikabel sind und jeder seine Lösungen selbst messen und bewerten kann. Folglich wird ein Anfänger in der gleichen Situation einen inhaltlich anderen Plan erstellen als ein Profi. Bei der Grundsicherheit setzen wir eine bestimmte Messlatte, die in allen Fällen relevant ist. Manche finden diese Messlatte zu hoch, andere finden sie zu niedrig. In jedem Fall ist es die Basis.
Nicht veröffentlichbare Schwachstellen
Die Basissicherheit konzentriert sich auf die grundlegenden Sicherheitsanforderungen.
Freiwillige der Stiftung finden manchmal auch schwerwiegende Schwachstellen. Das ist ein Nebenprodukt und nicht das Ziel der Stiftung. Hier ist, wie wir damit umgehen. Die aktive Suche nach schweren Sicherheitslücken wird von der befreundeten Organisation DIVD durchgeführt. Base Security sucht also nie aktiv nach schwerwiegenden Sicherheitslücken.
Sollten wir versehentlich eine schwerwiegende Sicherheitslücke finden, gehen wir wie folgt damit um.
Bei Verdacht auf eine schwerwiegende Schwachstelle wird hier von Fall zu Fall der Ansatz in Betracht gezogen, der in kürzester Zeit die größte Sicherheit bietet. Es gibt eine Reihe von Optionen, die in Betracht gezogen werden:
- Wenn es sich um eine neue Sicherheitslücke handelt, die noch nicht bekannt ist (kein CVE), gibt es eine Reihe von Optionen. Es hängt davon ab, wo die Schwachstelle identifiziert wurde und wie schwerwiegend sie ist. Die folgenden Wege werden in Betracht gezogen:
- Übergeben Sie an das niederländische Institut für die Offenlegung von Sicherheitslücken. Sie verfügen über die Infrastruktur, um die Opfer dieser Sicherheitslücke zu identifizieren und vor dem Leck zu warnen. Diese Maßnahme ist unsere bevorzugte Option.
- Wenn der Hersteller der Software über einen ordnungsgemäßen Coordinated Vulnerability Disclosure-Prozess verfügt, wird diese Schwachstelle auch direkt an den Hersteller weitergegeben. Dies geschieht nur, wenn es vertraulich geschehen kann.
- Die Grundregeln für die koordinierte Offenlegung von Sicherheitslücken werden angewendet, um die gefährdete Partei zu benachrichtigen.
- Wenn es sich um eine bekannte Schwachstelle handelt, werden die Grundregeln für die koordinierte Offenlegung von Schwachstellen befolgt. Es wird geprüft, ob die Organisation ein solches Verfahren eingeführt hat.
- Wenn kein CVD-Verfahren vorhanden ist, wird die Dachorganisation für Sicherheit kontaktiert, zu der das Unternehmen gehört. Dies ist z.B. der Informationssicherheitsdienst für Kommunen oder das Nationale Cybersicherheitszentrum für die nationale Regierung.
- Es wird in Erwägung gezogen, den Bericht über die Sicherheits-Hotline weiterzuleiten.
- Die Kommunikation rund um die schwerwiegende Sicherheitslücke wird gemäß den Grundregeln des CVD berücksichtigt. Da es nicht unser Ziel ist, neue Schwachstellen zu finden und zu veröffentlichen, wird die Kommunikation über neue Schwachstellen, wenn überhaupt, wahrscheinlich über die Partei erfolgen, an die die Schwachstelle gemeldet wurde, über die Sicherheits-Hotline, das DIVD oder eine ähnliche Organisation.
Beispiele für nicht-veröffentlichbare Schwachstellen sind: SQL-Injection, Cross-Site-Scripting, Verwendung schwacher Passwörter, durchgesickerte Passwörter, Remotecode-Ausführung, Pufferüberläufe und CVEs.
Beispielszenario schwere Verwundbarkeit
Dieses Beispiel basiert auf einem echten Szenario und einer bekannten Sicherheitslücke: Deaktivierung eines Moduls, das Dateien mit Passwörtern direkt auf der Startseite einer Website lesbar machte (Deaktivierung von PHP). Dies ist ein Konfigurationsfehler.
Ein Freiwilliger durchsucht die Informationen auf basicsecurity.de. Der Freiwillige sieht eine Website: „oud.belangrijkeoganisation.nl“, die also möglicherweise eine schwache Sicherheit aufweist. Der Freiwillige wird neugierig und besucht die Seite.
Beim Besuch der Website scheint etwas mit der Konfiguration nicht in Ordnung zu sein: Anstelle einer schönen Website ist der Quellcode der Website zu sehen. Dieser Quellcode enthält ein Datenbankpasswort und Links zu sensiblen Dateien.
Der Freiwillige weiß, dass dies nicht die Absicht ist und berät sich mit anderen Freiwilligen darüber, was zu tun ist. Hier geht es um eine individuelle und bekannte Schwachstelle, die CVD-Regeln werden eingehalten.
Der Freiwillige kontaktiert die Sicherheitsorganisation, zu der die Website gehört. Es werden Informationen über die Schwachstelle ausgetauscht und die Organisation folgt den internen Prozessen im Zusammenhang mit CVD und der Behebung von Schwachstellen.
Die Organisation hat die Schwachstelle innerhalb eines überschaubaren Zeitraums behoben. Manchmal belohnt die Organisation den Reporter mit einem Goodie oder einem Eintrag in die Ruhmeshalle.