Prüfen Sie Sicherheitseinstellungen mit dem Website-Scanner
- Meldung
© Adobe Stock
Der Website-Scanner steht Nutzerinnen und Nutzer kostenfrei auf dem neuen Cybersicherheitsportal der CSBW zur Verfügung und kann dort nach einer Registrierung verwendet werden. Die gewünschte Website kann über die Eingabe der URL ausgewählt werden. Der Scanner prüft sie daraufhin auf folgende sechs IT-Sicherheitsmaßnahmen:
-
Responsible Disclosure beschreibt ein Verfahren, bei dem eine erkannte Schwachstelle dem Betreiber gemeldet wird, bevor sie der Allgemeinheit bekanntgegeben wird. So haben die Verantwortlichen ein wertvolles Zeitfenster, um das Sicherheitsproblem zu beheben.
Der Website-Scanner prüft, ob es eine security.txt auf der Website gibt. security.txt ist eine standardisierte Textdatei, die Kontaktdaten zur Meldung von Sicherheitslücken oder sicherheitsrelevanten Informationen enthält.
-
Transport Layer Security (TLS) ist ein Verschlüsselungsverfahren zur sicheren Datenübermittlung im Internet. Für eine sichere Übertragung bildet TLS 1.3 den aktuellen Standard, der eine leistungsfähige und sichere Verschlüsselung von Daten gewährleistet.
Der Website-Scanner prüft, ob TLS 1.3 unterstützt wird.
-
Transport Layer Security (TLS) und Secure Sockets Layer (SSL) sind Protokolle zur sicheren Datenübermittlung im Internet. TLS 1.3 gilt als Stand der Technik, wohingegen TLS 1.0 und 1.1 veraltet und angreifbar sind.
Der Website-Scanner ermittelt, ob eine Verwendung von TLS 1.0 und 1.1 auf der Webseite möglich ist.
-
HTTP Strict Transport Security (HSTS) ist eine wesentliche Sicherheitsmaßnahme, die sicherstellt, dass Browser Webseiten nur über sicheres HTTPS aufrufen. HTTPS (Hypertext Transfer Protocol Secure) ist die sichere Variante von HTTP, die Daten zwischen Browser und Server verschlüsselt. Es schützt vor Datendiebstahl und manipulierten Inhalten.
Der Website-Scanner prüft, ob HSTS implementiert ist.
-
Domain Name System Security Extensions (DNSSEC) sichert das DNS-Protokoll. Es verwendet digitale Signaturen für DNS-Einträge und gewährleistet auf diese Weise Authentizität und Integrität des Protokolls. Es schützt Domains davor, dass Angreifende DNS-Antworten manipulieren und Nutzer auf falsche Server umleiten.
Der Website-Scanner ermittelt, ob DNSSEC für die überprüfte Domäne aktiviert ist.
-
Das Internet besteht aus einer Vielzahl unabhängiger Anbieter, von denen jeder über eigene IP-Bereiche verfügt. Resource Public Key Infrastructure (RPKI) stellt die Zuordnung zwischen IP Adressen und Anbieter mittels kryptographischer Verfahren sicher. Dadurch wird verhindert, dass Datenverkehr auf fremde Netzwerke umgeleitet wird oder Webseiten durch falsche Routing-Informationen gestört werden.
Der Website-Scanner prüft, ob RPKI eingerichtet ist.
Bei der Prüfung dieser Sicherheitseinstellungen agiert der Website-Scanner nicht-invasiv und gefährdet den Betrieb der Website nicht. Dabei gilt es zu beachten: Die Prüfung durch den Website-Scanner ersetzt weder die Durchführung eines Pentest noch die Erstellung eines Sicherheitskonzepts.
Das neue Cybersicherheitsportal für Baden-Württemberg
Das neue Cybersicherheitsportal der CSBW ist die Werkzeugkiste für alle, die sich um Cybersicherheit kümmern. Es richtet sich an ein Fachpublikum und bietet Angebote für IT-Verantwortliche und Beratende des CyberSicherheitsChecks für KMU. Eine Login-Funktion ermöglicht es Nutzenden, ein Benutzerkonto anzulegen und die Inhalte individuell zu verwalten. Über dieses können sie persönlcihe Einstellungen vornehmen, wie zum Beispiel automatische Benachrichtigungen über neue Berichte des Warn- und Informationsdienstes.