Empfehlung für Internet-Service-Provider
Internet-Service-Provider (ISP) haben gemäß §109 Telekommunikationsgesetz (TKG) geeignete technische Vorkehrungen und sonstige Schutzmaßnahmen zu treffen. Die Bundesnetzagentur hat im Benehmen mit dem BSI einen Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen sowie für die Verarbeitung personenbezogener Daten als Grundlage für das Sicherheitskonzept nach §109 TKG (im Folgenden Sicherheitskatalog) erstellt.
Das BSI hat zwischenzeitlich in Zusammenarbeit mit Internet-Service-Providern zu verschiedenen Themenfeldern detaillierte Handlungsempfehlungen veröffentlicht, welche die im oben genannten Sicherheitskatalog beschriebenen Maßnahmen konkretisieren und den derzeitigen Stand der Technik ("Best Current Practise") widerspiegeln.
Absicherung von Telemediendiensten nach Stand der Technik
Mit dem IT-Sicherheitsgesetz soll die Sicherheit informationstechnischer Systeme (IT-Systeme) signifikant verbessert werden. Die Neuregelungen dienen dazu, den Schutz der IT-Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu erhöhen, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können.
Im Zusammenhang mit dem IT-Sicherheitsgesetz wurde auch eine Änderung des Telemediengesetzes (TMG) vorgenommen, die die Verantwortlichen von geschäftsmäßig angebotenen Telemedien bei der Absicherung ihrer IT-Systeme stärker in die Pflicht nimmt (siehe § 13 Abs. 7 TMG).
Dieses Dokument richtet sich an die Adressaten des § 13 Abs. 7 TMG und gibt Empfehlungen, welche Maßnahmen nach dem Stand der Technik zu berücksichtigen sind. Dazu werden im ersten Schritt die verschiedenen Provider-Typen von Telemediendiensten nach TMG erläutert. Im zweiten Schritt werden anhand von Anwendungsfällen für jeden Provider-Typ die zu berücksichtigenden technischen und organisatorischen Maßnahmen dargestellt.
Absicherung von Telemediendiensten nach Stand der Technik
Sicheres Bereitstellen von Online-Werbung – Absicherung von Ad-Servern
Das vorliegende Diskussionspapier "Sicheres Bereitstellen von Online-Werbung – Absicherung von Ad-Servern" richtet sich im Speziellen an die Adressaten der Online-Werbebranche, insbesondere an Betreiber von Ad-Servern und Vermarkter. Das Dokument gibt Empfehlungen, welche Maßnahmen nach dem Stand der Technik zu berücksichtigen sind, um IT-Systeme der Online-Werbebranche technisch abzusichern. Die hier vorgestellten Maßnahmen verstehen sich zum einen als Konkretisierung und zum anderen als Erweiterung der Maßnahmen, die bereits in der Cyber-Sicherheitsempfehlung " Absicherung von Telemediendiensten nach Stand der Technik angegeben worden sind.
Sicheres Bereitstellen von Online-Werbung v1.0
Bereitstellung sicherer ISP-Dienstleistungen
Diese Cybersicherheits-Empfehlung gibt eine Übersicht über die technischen Handlungsempfehlungen und wesentliche organisatorische Aspekte.
Sichere Bereitstellung von ISP-Dienstleistungen v2.0
Malware-Schutz
Schadsoftware auf angeschlossenen Kundensystemen können die Infrastruktur von ISPs beispielsweise durch das Versenden von Spam oder das Durchführen von DDoS-Angriffen schädigen. Die Handlungsempfehlung "Malware-Schutz" gibt eine Zusammenfassung von Maßnahmen zum Schutz vor Schadsoftware, die durch Provider im Privatkundenbereich umgesetzt werden sollten. Die Empfehlungen umfassen die Bereiche Kundenunterstützung (Customer-Support), technische Schutzmaßnahmen sowie providerübergreifende Kooperation.
Malware-Schutz: Handlungsempfehlungen für Internet-Service-Provider v2.0
Sicheres Webhosting
Ungenügend gesicherte Webseiten und -server im Internet sind als potenzielle Verbreitungswege für Schadprogramme anzusehen und stellen daher eine Bedrohung dar. Die BSI-Empfehlung "Sicheres Webhosting" richtet sich an Webhoster und behandelt Maßnahmen zur Verbesserung der Sicherheit für Webhostingkunden. Hierfür werden die verschiedenen Phasen des Webhostings sowie grundlegende Maßnahmen betrachtet.
E-Mail-Sicherheit
Trotz diverser Vorhersagen, dass sich in Zukunft die Internetkommunikation immer stärker auf soziale Netzwerke verlagern wird, bildet E-Mail derzeit noch immer das meistgenutzte Medium für die Übertragung von elektronischen Nachrichten. Hiermit verbunden ist jedoch auch die Tatsache, dass E-Mail nach wie vor einer der meistgenutzten Transportkanäle für die Verbreitung von Malware, wie Viren, Würmern und Trojanern, ist. Ein nicht minder großes Ärgernis ist das enorme Aufkommen an Spam-Nachrichten, welche nach wie vor den weitaus größten Anteil aller versendeten E-Mails umfassen. Die Handlungsempfehlung "E-Mail-Sicherheit" fasst verschiedene Maßnahmen zur Eindämmung von Malware und Spam sowie zur Absicherung der Postfachzugänge zusammen.
E-Mail-Sicherheit: Handlungsempfehlungen für Internet-Service-Provider v2.0
Sichere Bereitstellung von Domaindienstleistungen
Internet-Domains sind ein wesentlicher Bestandteil jeder Internetanbindung, da sämtliche Inhalte von Internet-Diensten üblicherweise über Domainnamen adressiert werden. Der zuverlässigen Registrierung und Verwaltung von Internetdomains im weltweiten Domain-Name-Service (DNS)-Verbund kommt daher eine hohe Bedeutung zu. Die Handlungsempfehlung "Sichere Bereitstellung von Domaindienstleistungen" zeigt auf, wie eine sichere Bereitstellung von Domaindienstleistungen erfolgen und einer maliziösen Verwendung von Domainnamen begegnet werden kann.
Sichere Bereitstellung von Domaindienstleistungen v1.0
Sichere Bereitstellung von DNS-Diensten
Das DNS-Protokoll weist prinzipielle Schwächen auf. Daher werden regelmäßig neue Schwachstellen gefunden, die die Manipulation von DNS-Einträgen ermöglichen. Die Handlungsempfehlung "Sichere Bereitstellung von DNS-Diensten" beschreibt wesentliche Aspekte, die für einen sicheren und zuverlässigen Betrieb von DNS-Servern umgesetzt sein sollten.
Sichere Bereitstellung von DNS-Diensten v1.0
Domain Name System Security Extensions (DNSSEC)
Um die Akzeptanz und Verbreitung von DNSSEC zu erhöhen, hat das BSI eine Cyber-Sicherheitsempfehlung zum Thema DNSSEC veröffentlicht. Unter dem Titel "Umsetzung von DNSSEC" richtet sich die Empfehlung sowohl an Inhaber von Domains als auch an Anwender und Registrare und fasst wesentliche Aspekte zusammen, die bei Umsetzung und Betrieb von DNSSEC beachtet werden sollten.
Studie zur DNSSEC-Tauglichkeit von Internetzugangsroutern
In der vorliegenden Studie wurden Internetzugangsrouter, die üblicherweise an privaten Internetanschlüssen in Deutschland eingesetzt werden, auf ihre Kompatibilität mit der DNS-Sicherheitserweiterung DNSSEC (Domain Name Security Extensions) sowie weitere Sicherheitseigenschaften untersucht. Die Studie wurde in Zusammenarbeit mit interessierten Herstellern und Internetprovidern erstellt. Eine möglichst vollständige Erfassung des deutschen Marktes beziehungsweise die Erstellung von Einzelbewertungen oder Produktempfehlungen stand nicht im Fokus. Stand der Studie ist April 2010.
DNSSEC-Tauglichkeit von Internetzugangsroutern
Maßnahmen gegen Reflection Angriffe
Das BSI beobachtet in 2014 eine deutliche Zunahme an Distributed-Denial-of-Service (DDoS) Angriffen, die sogenannte Reflection-Techniken einsetzen. Dabei wird das Zielsystem nicht direkt angegriffen, sondern offen zur Verfügung stehende Dienste im Internet missbraucht. Das Dokument "Maßnahmen gegen Reflection Angriffe" fasst zahlreiche Möglichkeiten zusammen, mit denen Systeme gegen deren Ausnutzung im Rahmen von Reflection-Angriffen abgesichert werden können.
Maßnahmen gegen Reflection Angriffe v1.1
Anti-DDoS-Maßnahmen
Die Handlungsempfehlung "Anti-DDoS-Maßnahmen" beschreibt Maßnahmen, die zum einen durch interne Umsetzung und zum anderen in Zusammenarbeit mit den Kunden dazu beitragen können, DDoS-Angriffen und deren Auswirkungen entgegenzuwirken.
IPv6 für Internet-Service-Provider
Die Handlungsempfehlung "IPv6 für Internet-Service-Provider" gibt Hinweise, die bei der Einführung von IPv6 beachtet werden sollten.
IPv6 für Internet-Service-Provider v2.0
Inter-Domain-Routing
Inter-Domain-Routing bezeichnet Routing über mehrere autonome Systeme hinweg. Diese Form des Routings wird meist vom Internet-Dienstanbieter administriert. Im Internet stellt das sogenannte Border Gateway Protocol (BGP) den de-facto-Standard für Inter-Domain-Routing dar. Der unbedachte oder nicht ausreichend geprüfte Eingriff in das Routing kann dazu führen, dass Teilbereiche des Netzes nicht mehr erreichbar sind oder Kommunikationswege unbemerkt umgeleitet werden können. Die Ergreifung von Maßnahmen zur Verhinderung der Manipulation von BGP-Routen ist somit eine wichtige Aufgabe. Die Handlungsempfehlung "Inter-Domain-Routing" gibt eine Zusammenfassung gängiger Best-Practice-Ansätze sowie Empfehlungen zur Verbesserung der Sicherheit des Internetroutings.
Testkonzept für Breitband-Router
Das Testkonzept des BSI richtet sich vornehmlich an Internet Service Provider und Hersteller von Breitband-Routern. Es verfolgt eine transparente Vorgehensweise und ermöglicht die Überprüfung relevanter Sicherheitseigenschaften von Routern. Die zentralen Punkte des Testkonzepts befassen sich mit grundlegenden sicherheitsrelevanten Funktionen sowie mit der Unterstützung und Einhaltung etablierter Sicherheitsstandards. Darüber hinaus behandelt das Testkonzept exemplarisch bekannte Sicherheitsrisiken und Angriffsszenarien.
Nicht veröffentlicht sind zwei Kapitel, die sich unter anderem mit der Erkennung potentieller Schwachstellen befassen und daher nach dem Traffic Light Protocol als TLP Amber eingestuft sind. Die komplette Fassung des Dokuments können Interessierte per E-Mail gegen eine Vertraulichkeitserklärung nach dem Traffic Light Protocol sowie die Zusicherung, diese Informationen nicht für unerlaubte Angriffe auf Router zu verwenden, unter routertestkonzept@bsi.bund.de anfordern.
Testkonzept für Breitband-Router
- Kurz-URL:
- https://www.bsi.bund.de/dok/6621338