Verschlüsselung

IT-Sicherheitsgesetz gilt für zahlreiche Unternehmen

5. Dezember 2017
  • Verschlüsselung

© Jakub Jirsák - Fotolia.com

Seit Juli 2015 gilt das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, kurz: IT-Sicherheitsgesetz. Vielfach wird darauf hingewiesen, dass dieses Gesetz vorrangig im Bereich Kritischer Infrastrukturen (KRITIS) gilt. Jedoch wird übersehen, dass alle Anbieter von Telemediendiensten betroffen sind, also auch Online-Shops und Provider. Wir werfen heute einen Blick auf das sichere Bereitstellen von Online-Werbung, die häufig zum Refinanzieren von kostenfreien Inhalten genutzt wird.

Online-Werbung: Viele Beteiligte

Website-Betreiber, die kostenfreie Inhalte anbieten, aber auch Online-Shops und andere Seiten nutzen Online-Werbung als zusätzliche Einnahmequelle. Gerne werden Werbebanner im Seitenbereich oder oben auf einer Website eingeblendet. Jedoch sind an solchen Werbemaßnahmen recht viele Akteure beteiligt, deren Sicherheit zuweilen zweifelhaft ausfällt.

Der Werbetreibende, auch Advertiser genannt, möchte seine Produkte oder Dienstleistungen bewerben. Er beauftragt eine Agentur mit dem Entwerfen entsprechender Werbemittel. Ein Vermarkter wird weiter involviert, damit die Werbeanzeige auf verschiedenen Seiten erscheint und idealerweise bestmöglich platziert wird. Diese Vermarkter kaufen die Werbeplätze bei sogenannten Publishern ein, also den Websitebetreibern.

Die Auslieferung der Werbeanzeige wird rein technisch durch sogenannte Ad-Server realisiert. Wird eine werbefinanzierte Site besucht, stellt die Webseite eine Verbindung zum entsprechenden Ad-Server her. Anschließend wählt der Ad-Server die Werbung aus und sendet es an die Website. Dahinter steckt ein komplizierter Prozess: die Werbung wird in Echtzeit versteigert („Real-Time-Bidding“). In aller Regel werden weitere Ad-Server kontaktiert, damit das Werbemittel ausgeliefert wird oder aber Nutzerdaten für das Versteigern der Werbung erhoben werden können („Tracking“).

Malvertising: eine realistische Gefahr

Beim sogenannten Malvertising, einem Kofferwort aus „Malware“ und „Advertising“ verstecken sich Schadprogramme in Werbebannern und werden verteilt. Das kam in der Vergangenheit schon recht häufig vor. Dafür kompromittieren Angreifer schlecht abgesicherte Ad-Server oder kaufen mit gestohlenen Kreditkarten Werbeplätze bei den Vermarktern.

Angreifer finden diese Methode attraktiv, denn die Verknüpfung des Ad-Servers mit zahlreichen Websites bietet eine hohe Reichweite für das Verteilen von Schadprogrammen. So lassen sich sogar Schadprogramme auf seriösen Websites platzieren.

Die verbreiteten Schadprogramme sind häufig Ransomware oder Trojanische Pferde. Letztere werden unter anderem dafür genutzt, vertrauliche Daten abzufangen oder Spam-Mails versenden zu können. Ransomware hingegen verschlüsselt die Daten des Opfers und versucht, für die Freigabe der Daten ein Lösegeld zu erpressen.

Was hat das mit dem IT-Sicherheitsgesetz zu tun?

Das IT-Sicherheitsgesetz wurde eingeführt, um die Sicherheit von IT-Infrastrukturen wesentlich verbessern zu können. Im Zuge des IT-Sicherheitsgesetzes entstand eine Anpassung im Telemediengesetz (TMG). Verantwortliche von Telemedien sollten beim Absichern ihrer IT-Systeme intensiver in die Verantwortung genommen werden. Diensteanbieter sind insbesondere verpflichtet, gemäß § 13 Abs. 7 TMG Sicherheitsmaßnahmen entsprechend dem Stand der Technik umzusetzen. Betont wird besonders das Anwenden eines Verschlüsselungsverfahrens, welches als sicher eingestuft ist.

Ad-Server-Betreiber fallen ebenfalls unter diese Paragrafen. Denn sie sind Anbieter von Telemediendiensten, die Informationen – in dem Fall Werbemittel – zum Abrufen bereithalten. Deshalb sind diese Betreiber verpflichtet, neben den anderen gesetzlichen Vorgaben die in § 13 Abs. 7 TMG enthaltenen Sicherheitsmaßnahmen umzusetzen.

Sicherheitsmaßnahmen laut IT-Sicherheitsgesetz

Das BSI hat ein Diskussionspapier bereitgestellt, welches Maßnahmen beinhaltet, die für das sichere Bereitstellen von Online-Werbung eingehalten werden sollten. Diese Sicherheitsmaßnahmen stellen wir Ihnen im Folgenden vor. Bitte verstehen Sie diese Maßnahmen als Erweiterung der Cyber-Sicherheitsempfehlung „Absicherung von Telemediendiensten nach Stand der Technik“ (PDF).

Starke Passwörter wählen

Ad-Server-Betreiber sind in der Pflicht, starke Passwörter zu wählen oder Alternativen einzusetzen, die mindestens vergleichbar sicher sind. So soll gewährleistet werden, dass Kunden Passwörter wählen, die stark genug für Brute-Force-Attacken sind. Um wirksam gegen gestohlene Passwörter vorgehen zu können, empfiehlt sich weiter eine Mehrfaktor-Authentifizierung.

Updates regelmäßig einspielen

Die Vergangenheit zeigt, dass Ad-Server häufig aufgrund fehlender Sicherheits-Updates kompromittiert werden konnten. Lang bekannte Sicherheitslücken ziehen Hacker geradezu magisch an. Deshalb sind Betreiber in der Pflicht, Sicherheits-Updates schnellstmöglich einzuspielen. Solche Sicherheitsupdates müssen auf sämtlichen zum Ad-Server gehörenden Komponenten installiert werden, einschließlich der Clients der Mitarbeiter. Nur so lassen sich Schwachstellen in der gesamten IT beseitigen.

Es empfiehlt sich, einen Patch-Management-Prozess zu etablieren. So können Betreiber zügig auf neu zur Verfügung gestellte Sicherheits-Updates reagieren und sie schnellstmöglich einspielen.

Wirksamer Virenschutz

Das Gesetz schreibt vor, einen effizienten Virenschutz auf allen Rechnern von Mitarbeitern einzusetzen. Darüber hinaus ist es empfehlenswert, Virenschutz-Programme auch auf Ad-Servern einzusetzen. Die AV-Programme sollten auf den Ad-Servern regelmäßige Scans durchführen und etwaige Schadprogramme isolieren oder entfernen. Idealerweise entscheiden Sie sich für ein Virenschutzprogramm, welches schadhafte Werbung bereits beim Upload erkennt und entsprechende Maßnahmen veranlasst. Dazu können beispielsweise das Überprüfen des Werbekunden oder aber auch das Benachrichtigen anderer Ad-Server-Betreiber gehören.

Effiziente Verschlüsselung

Das IT-Sicherheitsgesetz schreibt vor, ein als sicher anerkanntes Verschlüsselungsverfahren zu wählen, um Vertraulichkeit und Integrität des Ad-Servers zu gewährleisten. Unterschieden wird die Verschlüsselung der Transportdaten und die der Speicherung.

Das SSL/TLS-Protokoll muss beim Ausliefern von Werbung Anwendung finden. So erfolgt der Datenverkehr zwischen Client und Webserver verschlüsselt. Wichtig: Eine sogenannte durchgängige Verschlüsselung muss sämtliche beteiligten Ad-Server innerhalb der Auslieferungskette umfassen! Es muss sichergestellt sein, dass die Auslieferungskette nicht durch nachgelagerte unverschlüsselte Ad-Server unterbrochen wird.

Weiter muss das SSL/TLS-Protokoll auch für andere Anwendungen des Ad-Servers berücksichtigt werden. Dies gilt insbesondere für das Übertragen vertraulicher Informationen, etwa beim Authentifizieren der Verwaltungsschnittstelle des Ad-Servers.

Ebenfalls verpflichtend ist das Benutzen einer sicheren Hash-Funktion beim Speichern von Passwörtern. Das Diskussionspapier verweist hier auf die technischen Richtlinien „BSI TR-02102-1“ und „BSI TR-02102-2“ des BSI.

Monitoring

Sicherheitsrelevante Aktivitäten müssen in Ad-Servern unter Beachtung des Datenschutzes protokolliert werden. So muss zum Beispiel überprüft werden, ob bestehende Container Tags in ungewohnter Weise manipuliert oder gar mit schadhaften Inhalten infiziert wurden. Dies lässt sich automatisch, stichprobenartig oder manuell überprüfen, wahlweise durch interne oder externe Experten.

Ein effizientes Monitoring muss es ermöglichen, Manipulationen auf Ad-Servern nachverfolgen zu können. Nur so lassen sich bei Sicherheitsvorfällen auch Rückschlüsse auf die Ursache ziehen, die es dann auszuschalten gilt. Beim Monitoring (aber auch bei allen anderen Maßnahmen) ist der gesetzliche Datenschutz zu beachten.

Sicherheitskonzept und Notfallvorsorge

Per Gesetz sind Ad-Server-Betreiber in der Pflicht, ein Notfallvorsorge-Konzept zu erstellen, um auf Sicherheitsvorfälle entsprechend reagieren zu können. Darüber hinaus ist ein Sicherheitskonzept anzuraten. Hierin lässt sich festlegen, welche Strategien in der Informationssicherheit überhaupt verfolgt werden. Dazu gehört unter anderem, dass Serverbetreiber schnellstmöglich auf Sicherheitsvorfälle reagieren, indem schadhafte Werbemittel schnellstmöglich entfernt werden.

Hat bereits eine Verbreitung mit schadhaften Inhalten begonnen, empfiehlt es sich, andere Ad-Server-Betreiber zu informieren. Damit gibt man ihnen die Chance, angemessen zu reagieren und das Werbemittel beispielsweise zu sperren oder zu löschen. Weiter sollte das BSI über den Sicherheitsvorfall informiert werden.

Empfehlenswert ist das Aufsetzen eines Information Security Management Systems (ISMS). Hier werden Regeln definiert, um so die Informationssicherheit dauerhaft planen, umsetzen, prüfen, aufrechterhalten und optimieren zu können.

Sensibilisierung der Mitarbeiter

Mitarbeiter gehören zu den größten Sicherheitslücken in vielen Unternehmen. Deshalb empfiehlt es sich, Mitarbeiter ausreichend zu sensibilisieren und sicherzustellen, dass alle Mitarbeiter ausreichend Kenntnis von Informationssicherheit haben. Gerade technische Mitarbeiter sollten spezielle Kenntnisse im Bereich Sicherheit von Online-Werbung haben. Klickbetrug, SQL- und XSS-Injection-Angriffe sollten keine Fremdwörter sein. Für alle anderen Mitarbeiter stellen Sie idealerweise allgemeines IT-Wissen zur Verfügung: Was sind sichere Passwörter und effiziente Verschlüsselung? Wie funktionieren Social-Engineering-Angriffe? Als Ad-Server-Betreiber gewährleisten Sie idealerweise, dass die Mitarbeiter fortlaufend über entsprechende Sicherheitsthemen informiert sind.

Verhindern von Tracking-Angriffen

Das IT-Sicherheitsgesetz schreibt vor, dass sich Ad-Server-Betreiber am Konzept der Datensparsamkeit orientieren. Bedeutet: Es dürfen nur so viele sensible Daten erhoben werden, wie für das Ausliefern der Werbung notwendig sind. Es dürfen hingegen keinerlei Daten erhoben sowie ausgewertet werden, die zu Sicherheitsvorfällen führen könnten.

So ist mittlerweile etwa bekannt, dass durch Tracking erhobene Daten derart präzise ausgewertet werden können, dass Nutzer zu über 99 % wiedererkannt werden können. Haben nun Angreifer Zugriff auf erhobene Datensätze, lassen sich Angriffe auf bestimmte Nutzer (-gruppen) durchführen.

Nutzerdaten, die mittels Tracking erhoben werden, müssen geschützt werden, da viele Website-Betreiber auch mit ausländischen Ad-Server-Betreibern und Vermarktern zusammenarbeiten. Es lässt sich also nicht ausschließen, dass ausländische Dienste auf erhobene Nutzerdaten zugreifen und diese gezielt missbrauchen könnten.

Blacklists

Um das automatisierte Ausliefern manipulierter Werbemittel zu verhindern, müssen Ad-Server-Betreiber Sperrlisten („Blacklists“) mit jenen URLs nutzen, hinter denen sich schadhafte Inhalte verbergen. Die Sperrliste lässt sich direkt zum Blockieren nutzen, wenn es einem Angreifer gelingen sollte, manipulierte Werbung zu verlinken.

Damit eine möglichst hohe Menge an schadhafter Werbung blockiert werden kann, lohnt es sich, eigene Sperrlisten zu betreiben und diese mit anderen Betreibern zu teilen.

Account-Verifizierung

Um die Personen hinter dem Werbekunden identifizieren zu können, müssen Ad-Server-Betreiber ein Verfahren zur Verifizierung von Werbekunden etablieren. Es gilt, anonyme Accounts zu verhindern, denn diese haben schon häufig dazu geführt, mithilfe gestohlener Kreditkarten schadhafte Werbung zu schalten. Das Verifizierungsverfahren lässt sich durch weitere Sicherheitsmaßnahmen wie der Mehrfaktor-Authentisierung erweitern.

Zusammenarbeit mit anderen Betreibern

Es empfiehlt sich, mit anderen Ad-Server-Betreibern sowie Vermarktern zusammenzuarbeiten, insbesondere beim Reagieren auf Sicherheitsvorfällen. Hierbei lässt sich die Nutzung eindeutiger Werbe-IDs diskutieren: Diese ID wäre über mehrere Werbenetzwerke hinweg identisch. Gibt es einen Sicherheitsvorfall, bräuchte der Ad-Server-Betreiber seinem Netzwerk lediglich die ID des Werbemittels mitteilen. Diese könnten das Ausliefern des betroffenen Werbemittels in den eigenen Ad-Servern blockieren. Dabei ist sicherzustellen, dass die ID des Werbemittels keinesfalls personenbezogen ist.

IT-Sicherheitsgesetz geht jeden an

Wie Sie sehen, ist das IT-Sicherheitsgesetz komplex und kompliziert. Benötigen Sie Unterstützung bei der Umsetzung in Ihrem Betrieb, scheuen Sie sich nicht, uns zu kontaktieren. Das gilt auch, wenn Sie selbst keinen Ad-Server betreiben, sondern beispielsweise einen Online-Shop. Denn auch für Sie ist das IT-Sicherheitsgesetz bindend.



0 Kommentar(e)

Schreibe einen Kommentar