|
|
|
# Security Hardening Roadmap
|
|
|
|
**Basis: NIS-2 (EU), NIST Cybersecurity Framework (US), fefe-Blog**
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
## Zielsetzung
|
|
|
|
|
|
|
|
Diese Seite dokumentiert unsere kurz-, mittel- und langfristigen Maßnahmen zur Verbesserung der IT-Sicherheit, basierend auf:
|
|
|
|
|
|
|
|
- **NIS-2-Richtlinie der EU**
|
|
|
|
- **NIST Cybersecurity Framework (USA)**
|
|
|
|
- **Pragmatischen Ansätzen aus dem fefe-Blog**
|
|
|
|
|
|
|
|
Ziel: Systematische Verbesserung der Sicherheitslage unter Berücksichtigung von regulatorischen Vorgaben und bewährten Methoden.
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
## Maßnahmen nach Zeitrahmen
|
|
|
|
|
|
|
|
| **Kurzfristig** (0–3 Monate) | **Mittelfristig** (3–12 Monate) | **Langfristig** (12+ Monate) |
|
|
|
|
|------------------------------------------------------|-----------------------------------------------------|------------------------------------------------------------|
|
|
|
|
| - HTTP auf HTTPS erzwingen (Redirects deaktivieren) | - Saubere Regelwerke für Admins (Support, Olat etc.)| - Regelmäßige Software- und Security-Komponenten-Updates |
|
|
|
|
| - Bestandsaufnahme aller sicherheitsrelevanten Hosts| - Loki-Monitoring einführen | - Regelmäßige Rechteüberprüfung |
|
|
|
|
| - Rate Limiting für APIs und Webdienste | - Web Application Firewall (WAF) | - Alte Videos löschen (Lifecycle Management) |
|
|
|
|
| - Firewall-Regeln prüfen und dokumentieren | - DSGVO-konformer Cookie-Banner | ⬜ *[Platzhalter für weitere Maßnahmen]* |
|
|
|
|
| - API-Audits (Dokumentation & Logging) | - Datei-Uploads nur via HTTPS erlauben | |
|
|
|
|
| - Alerting via Grafana | | |
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
## Frameworks
|
|
|
|
|
|
|
|
### NIS-2 (EU)
|
|
|
|
|
|
|
|
- Fokus: Kritische Infrastrukturen, Risikomanagement, Incident Response
|
|
|
|
- Relevante Punkte:
|
|
|
|
- Verpflichtende Risikobewertungen
|
|
|
|
- Reaktionsfähigkeit bei Sicherheitsvorfällen
|
|
|
|
- Business Continuity Management
|
|
|
|
|
|
|
|
### NIST Cybersecurity Framework
|
|
|
|
|
|
|
|
- 5 Kernfunktionen:
|
|
|
|
- **Identify**
|
|
|
|
- **Protect**
|
|
|
|
- **Detect**
|
|
|
|
- **Respond**
|
|
|
|
- **Recover**
|
|
|
|
- Unterstützt strukturierte Sicherheitsplanung
|
|
|
|
|
|
|
|
### fefe-Blog
|
|
|
|
|
|
|
|
- Pragmatismus vor Komplexität
|
|
|
|
- Empfehlungen:
|
|
|
|
- Reduktion der Angriffsfläche
|
|
|
|
- Logging & Kontrolle statt "KI"
|
|
|
|
- Unnötige Features deaktivieren
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
## 🛠️ Umsetzungshinweise (tbd)
|
|
|
|
|
|
|
|
### HTTP auf HTTPS Enforcement
|
|
|
|
|
|
|
|
- Ziel: Keine Weiterleitungen mehr – nur HTTPS
|
|
|
|
- Umsetzung:
|
|
|
|
- Webserver-Konfiguration (`nginx`, `Apache`)
|
|
|
|
- Redirects deaktivieren
|
|
|
|
- HTTP-Anfragen direkt ablehnen
|
|
|
|
|
|
|
|
### Rate Limiting
|
|
|
|
|
|
|
|
- Tools: `fail2ban`, `nginx`-Rate-Limiting, Cloudflare
|
|
|
|
- Ziel: Schutz vor Brute-Force und Missbrauch
|
|
|
|
|
|
|
|
### Loki-Monitoring
|
|
|
|
|
|
|
|
- Zentralisiertes Logging
|
|
|
|
- Vorteil: Gute Integration mit Grafana
|
|
|
|
- ⬜ *[Setup-Details noch ergänzen]*
|
|
|
|
|
|
|
|
### Web Application Firewall (WAF)
|
|
|
|
|
|
|
|
- Schutz vor gängigen Webangriffen (XSS, SQLi)
|
|
|
|
- Optionen:
|
|
|
|
- ModSecurity
|
|
|
|
- nginx-WAF
|
|
|
|
- Cloudflare
|
|
|
|
- ⬜ *[Produktentscheidung ausstehend]*
|
|
|
|
|
|
|
|
### DSGVO-konformer Cookie-Banner
|
|
|
|
|
|
|
|
- Tools: Klaro!, Cookiebot, Eigenlösung möglich
|
|
|
|
- Funktion:
|
|
|
|
- Vorab-Blockade nicht-essentieller Cookies
|
|
|
|
- Einwilligung erforderlich
|
|
|
|
- ⬜ *[UX-Konzept fehlt]*
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
## Noch zu klären
|
|
|
|
|
|
|
|
- Zuständigkeiten je Maßnahme definieren
|
|
|
|
- Regelmäßige Reviews (z. B. halbjährlich) etablieren
|
|
|
|
- Kritikalität der Assets erfassen (Mapping auf NIS-2)
|
|
|
|
|
|
|
|
---
|
|
|
|
|
|
|
|
## Status-Checkliste der Sicherheitsmaßnahmen
|
|
|
|
|
|
|
|
| Maßnahme | Status | Verantwortlich | Geplant bis | Kommentar / Notizen |
|
|
|
|
|------------------------------------------|----------------|--------------------|-----------------|---------------------------------------------------------------|
|
|
|
|
| HTTP auf HTTPS umstellen | ⬜ offen | [Name eintragen] | [Datum] | Nur HTTPS akzeptieren, Redirect deaktivieren |
|
|
|
|
| Rate Limiting implementieren | ⬜ offen | [Name eintragen] | [Datum] | nginx-Konfiguration prüfen oder fail2ban einsetzen |
|
|
|
|
| Loki-Monitoring einführen | 🟡 in Planung | [Name eintragen] | [Datum] | Zentralisiertes Logging vorbereiten, Testumgebung erforderlich |
|
|
|
|
| API-Audits erstellen | ⬜ offen | [Name eintragen] | [Datum] | Zugriff prüfen, Logging verbessern |
|
|
|
|
| Firewall-Regeln prüfen | ⬜ offen | [Name eintragen] | [Datum] | Review bestehender Regeln und Portfreigaben |
|
|
|
|
| WAF einführen | ⬜ offen | [Name eintragen] | [Datum] | Entscheidung über Lösung (z. B. ModSecurity, Cloudflare) fehlt|
|
|
|
|
| Cookie-Banner umsetzen | ⬜ offen | [Name eintragen] | [Datum] | DSGVO-konforme Lösung evaluieren |
|
|
|
|
| Datei-Uploads via HTTPS erzwingen | ⬜ offen | [Name eintragen] | [Datum] | Server-Config & Web-Apps anpassen |
|
|
|
|
| Admin-Rollen sauber trennen | ⬜ offen | [Name eintragen] | [Datum] | Konkrete Rollenkonzepte für Support, Olat etc. |
|
|
|
|
| Bestandsaufnahme sicherheitsrelevanter Hosts | ⬜ offen | [Name eintragen] | [Datum] | Grundlage für Asset Management nach NIS-2 |
|
|
|
|
| Alerts via Grafana aktivieren | ⬜ offen | [Name eintragen] | [Datum] | Sicherheitsrelevante Trigger definieren |
|
|
|
|
| Regelmäßige Updates (Software + SC) | ⬜ offen | [Name eintragen] | [Datum] | Automatisierte und manuelle Prozesse kombinieren |
|
|
|
|
| User-Rechte regelmäßig prüfen | ⬜ offen | [Name eintragen] | [Datum] | Prozesse & Tools definieren |
|
|
|
|
| Alte Videos löschen (Lifecycle Mgmt.) | ⬜ offen | [Name eintragen] | [Datum] | Speichermanagement und rechtliche Vorgaben beachten |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Quick writedown:
|
|
|
|
| shortterm | midterm | longterm |
|
|
|
|
| ------ | ------ |------- |
|
| ... | ... | |
| ... | ... | |
