Skip to content

Changes

Page history
Update Security Concept authored by Anna-Maria Tipotsch's avatar Anna-Maria Tipotsch
Show whitespace changes
Inline Side-by-side
Security-Concept.md
View page @ 030e6256
# Security Hardening Roadmap
**Basis: NIS-2 (EU), NIST Cybersecurity Framework (US), fefe-Blog**
---
......@@ -18,13 +19,13 @@ Ziel: Systematische Verbesserung der Sicherheitslage unter Berücksichtigung von
## Maßnahmen nach Zeitrahmen
| **Kurzfristig** (0–3 Monate) | **Mittelfristig** (3–12 Monate) | **Langfristig** (12+ Monate) |
|------------------------------------------------------|-----------------------------------------------------|------------------------------------------------------------|
| - HTTP auf HTTPS erzwingen (Redirects deaktivieren) | - Saubere Regelwerke für Admins (Support, Olat etc.)| - Regelmäßige Software- und Security-Komponenten-Updates |
| - Bestandsaufnahme aller sicherheitsrelevanten Hosts| - Loki-Monitoring einführen | - Regelmäßige Rechteüberprüfung |
| - Rate Limiting für APIs und Webdienste | - Web Application Firewall (WAF) | - Alte Videos löschen (Lifecycle Management) |
| - Firewall-Regeln prüfen und dokumentieren | - DSGVO-konformer Cookie-Banner | ⬜ *[Platzhalter für weitere Maßnahmen]* |
| - API-Audits (Dokumentation & Logging) | - Datei-Uploads nur via HTTPS erlauben | |
| - Alerting via Grafana | | |
|------------------------------|---------------------------------|------------------------------|
| \- HTTP auf HTTPS erzwingen (Redirects deaktivieren) | \- Saubere Regelwerke für Admins (Support, Olat etc.) | \- Regelmäßige Software- und Security-Komponenten-Updates |
| \- Bestandsaufnahme aller sicherheitsrelevanten Hosts | \- Loki-Monitoring einführen | \- Regelmäßige Rechteüberprüfung |
| \- Rate Limiting für APIs und Webdienste | \- Web Application Firewall (WAF) | \- Alte Videos löschen (Lifecycle Management) |
| \- Firewall-Regeln prüfen und dokumentieren | \- DSGVO-konformer Cookie-Banner | :white_large_square: _\[Platzhalter für weitere Maßnahmen\]_ |
| \- API-Audits (Dokumentation & Logging) | \- Datei-Uploads nur via HTTPS erlauben | |
| \- Alerting via Grafana | | |
---
......@@ -58,7 +59,7 @@ Ziel: Systematische Verbesserung der Sicherheitslage unter Berücksichtigung von
---
## 🛠️ Umsetzungshinweise (tbd)
## :tools: Umsetzungshinweise (tbd)
### HTTP auf HTTPS Enforcement
......@@ -77,7 +78,7 @@ Ziel: Systematische Verbesserung der Sicherheitslage unter Berücksichtigung von
- Zentralisiertes Logging
- Vorteil: Gute Integration mit Grafana
- *[Setup-Details noch ergänzen]*
- :white_large_square: _\[Setup-Details noch ergänzen\]_
### Web Application Firewall (WAF)
......@@ -86,7 +87,7 @@ Ziel: Systematische Verbesserung der Sicherheitslage unter Berücksichtigung von
- ModSecurity
- nginx-WAF
- Cloudflare
- *[Produktentscheidung ausstehend]*
- :white_large_square: _\[Produktentscheidung ausstehend\]_
### DSGVO-konformer Cookie-Banner
......@@ -94,7 +95,7 @@ Ziel: Systematische Verbesserung der Sicherheitslage unter Berücksichtigung von
- Funktion:
- Vorab-Blockade nicht-essentieller Cookies
- Einwilligung erforderlich
- *[UX-Konzept fehlt]*
- :white_large_square: _\[UX-Konzept fehlt\]_
---
......@@ -109,28 +110,26 @@ Ziel: Systematische Verbesserung der Sicherheitslage unter Berücksichtigung von
## Status-Checkliste der Sicherheitsmaßnahmen
| Maßnahme | Status | Verantwortlich | Geplant bis | Kommentar / Notizen |
|------------------------------------------|----------------|--------------------|-----------------|---------------------------------------------------------------|
| HTTP auf HTTPS umstellen | ⬜ offen | [Name eintragen] | [Datum] | Nur HTTPS akzeptieren, Redirect deaktivieren |
| Rate Limiting implementieren | ⬜ offen | [Name eintragen] | [Datum] | nginx-Konfiguration prüfen oder fail2ban einsetzen |
| Loki-Monitoring einführen | 🟡 in Planung | [Name eintragen] | [Datum] | Zentralisiertes Logging vorbereiten, Testumgebung erforderlich |
| API-Audits erstellen | ⬜ offen | [Name eintragen] | [Datum] | Zugriff prüfen, Logging verbessern |
| Firewall-Regeln prüfen | ⬜ offen | [Name eintragen] | [Datum] | Review bestehender Regeln und Portfreigaben |
| WAF einführen | ⬜ offen | [Name eintragen] | [Datum] | Entscheidung über Lösung (z. B. ModSecurity, Cloudflare) fehlt|
| Cookie-Banner umsetzen | ⬜ offen | [Name eintragen] | [Datum] | DSGVO-konforme Lösung evaluieren |
| Datei-Uploads via HTTPS erzwingen | ⬜ offen | [Name eintragen] | [Datum] | Server-Config & Web-Apps anpassen |
| Admin-Rollen sauber trennen | ⬜ offen | [Name eintragen] | [Datum] | Konkrete Rollenkonzepte für Support, Olat etc. |
| Bestandsaufnahme sicherheitsrelevanter Hosts | ⬜ offen | [Name eintragen] | [Datum] | Grundlage für Asset Management nach NIS-2 |
| Alerts via Grafana aktivieren | ⬜ offen | [Name eintragen] | [Datum] | Sicherheitsrelevante Trigger definieren |
| Regelmäßige Updates (Software + SC) | ⬜ offen | [Name eintragen] | [Datum] | Automatisierte und manuelle Prozesse kombinieren |
| User-Rechte regelmäßig prüfen | ⬜ offen | [Name eintragen] | [Datum] | Prozesse & Tools definieren |
| Alte Videos löschen (Lifecycle Mgmt.) | ⬜ offen | [Name eintragen] | [Datum] | Speichermanagement und rechtliche Vorgaben beachten |
|----------|--------|----------------|-------------|---------------------|
| HTTP auf HTTPS umstellen | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Nur HTTPS akzeptieren, Redirect deaktivieren |
| Rate Limiting implementieren | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | nginx-Konfiguration prüfen oder fail2ban einsetzen |
| Loki-Monitoring einführen | :yellow_circle: in Planung | \[Name eintragen\] | \[Datum\] | Zentralisiertes Logging vorbereiten, Testumgebung erforderlich |
| API-Audits erstellen | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Zugriff prüfen, Logging verbessern |
| Firewall-Regeln prüfen | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Review bestehender Regeln und Portfreigaben |
| WAF einführen | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Entscheidung über Lösung (z. B. ModSecurity, Cloudflare) fehlt |
| Cookie-Banner umsetzen | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | DSGVO-konforme Lösung evaluieren |
| Datei-Uploads via HTTPS erzwingen | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Server-Config & Web-Apps anpassen |
| Admin-Rollen sauber trennen | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Konkrete Rollenkonzepte für Support, Olat etc. |
| Bestandsaufnahme sicherheitsrelevanter Hosts | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Grundlage für Asset Management nach NIS-2 |
| Alerts via Grafana aktivieren | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Sicherheitsrelevante Trigger definieren |
| Regelmäßige Updates (Software + SC) | :yellow_circle: in Planung | Tipotsch | 31.05.2025 | Automatisierte und manuelle Prozesse kombinieren |
| User-Rechte regelmäßig prüfen | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Prozesse & Tools definieren |
| Alte Videos löschen (Lifecycle Mgmt.) | :white_large_square: offen | \[Name eintragen\] | \[Datum\] | Speichermanagement und rechtliche Vorgaben beachten |
Quick writedown:
| shortterm | midterm | longterm |
| ------ | ------ |------- |
|-----------|---------|----------|
| Stop http to redirect to https | proper Rulesets for admin users (eg. Support, Olat, ..) | regular updates (software and SC) |
| Inventory of all securtiy-concept hosts | Loki-monitoring | Check for current user rights (ongoing) |
| rate limiting | WAF | delete old videos (lifecycling) |
......@@ -138,3 +137,4 @@ Quick writedown:
| api-audit | uploading via https only | |
| alerts via grafana | | |
| | | |