Zum sicheren Management der Server betreibt nine.ch eine erprobte und ausgereifte Management-Infrastruktur. Diese beinhaltet unter anderem das Überwachungssystem, das Backup-System oder die Kommunikationssysteme. Die nine.ch Management-Infrastruktur stellt die Sicherheit der gesamten nine.ch-Infrastruktur auf Software-Ebene und das Risikomanagement aller Systeme sicher.
Um einen Überblick über die ausgehenden und konkreten Bedrohungen von Management-Zugriffen zu erhalten, hat nine.ch Anfang 2017 eine Sicherheitsüberprüfung durch die Compass Security Network Computing AG in Auftrag gegeben.
Das Vorgehen der Überprüfung beinhaltete folgende Punkte:
- Einschätzung des Bedrohungspotentials der implementierten Architektur aus Sicht eines Angreifers im internen Netzwerk (innerhalb und ausserhalb der Management Zone).
- Durchführung von Stichproben auf Managed und Root Servern, um Details zur Umsetzung zu erhalten und um Sachverhalte zu verifizieren.
- Identifikation von möglichen, sinnvollen Penetrationstest-Szenarien für spätere Prüfungen detaillierte Empfehlungen zur Verbesserung der Sicherheit
#Ein Auszug der wichtigsten Ergebnisse
Das Hardening der Linux-Hosts wurde vorbildlich durchgeführt. Auch ist die Security-Awareness der Mitarbeiter durchgehend hoch. Die Server werden grundsätzlich individuell mit einer Host-Firewall geschützt.
Die Web Applikationen besitzen eine Best-Practice Two Factor Authentication (2FA) und es wird durchgängig ein Single-Sign On (SSO) benutzt. Die Administration der Systeme wird nach “best practice” durchgeführt.
Um die Infrastruktur zu verwalten, benutzt nine.ch verschiedene Webapplikationen. Diese Webapplikationen sind ausnahmslos mittels SSO und 2FA geschützt und die Mitarbeiter von nine.ch haben zudem einen VPN Zugang.
Auch eine uns bereits bekannte, konzeptionelle Schwachstelle wurde in der Überprüfung erneut aufgegriffen. Hierbei handelt es sich um das Namenskonzept unter der nine.ch-Domain, welche sowohl interne als auch externe Server umfasst.
Compass Security empfiehlt nine.ch noch vermehrt Verbesserungen auf Mitarbeiter-Endgeräte-Ebene auszurichten. Es existieren bereits verschiedene zufriedenstellende Kontrollmechanismen, allerdings erfolgen diese in regelmässigen Abständen manuell. Zukünftig wird nine.ch deutlich mehr automatisierte und vorausschauende Trigger einbauen.
#Empfehlungen und Ausblick
Als einzige Empfehlung seitens Compass Security wird eine schärfere Unterscheidung zwischen internen und externen nine.ch-Systemen verlangt, sowie die Trennung von Webseiten auf Domain-Ebene.
Die Überprüfung bestätigt nine.ch, dass das Thema Sicherheit mittels eines bewährten und nachhaltigen Ansatzes sichergestellt ist, welches in der Praxis Bestand hat und sich zudem über viele Systeme skalieren lässt.
Einige der aufgeführten Empfehlungen, die sogenannten Quick-Wins, wurden bereits umgesetzt. Insbesondere bei konzeptionellen Schwächen liegt die Herausforderung bei der Änderung einer ganzen Systemlandschaft im laufenden Betrieb. Diese Änderungen erfordern ein langsames Phase-Out der laufenden Systeme während neu zu bauende Systeme direkt nach dem neuen Konzept deployed werden. Diese Changes sind terminiert und werden in zeitnahem Rahmen umgesetzt. Dank dem 2016 eingeführten und nach ISO 27001 zertifizierten Informationssicherheits-Managementsystems hat nine.ch die von Compass Security identifizierten Schwachstellen und Bedrohungen und damit verbundene Risiken analysiert, bewertet und in den aktuellen Risikobehandlungsplan aufgenommen. Damit ist die Behandlung aller aktuellen Risiken sichergestellt.
