Status
In der digitalen Welt ist Serversicherheit kein «Nice-to-have», sondern einer der Grundpfeiler für einen reibungslosen Betrieb. Als Kund*in eines Managed-Service-Providers vertrauen Sie darauf, dass Ihre Infrastruktur robust und geschützt ist. Doch was bedeutet «sicher» in der Praxis?
Vielleicht haben Sie selbst schon einmal einen Security-Scan über Ihre Anwendung laufen lassen und einen Bericht mit einer Liste potenzieller Schwachstellen erhalten. Diese Berichte sind wertvoll, können aber ohne den richtigen Kontext auch zu Verunsicherung führen.
Wir möchten Ihnen heute zeigen, welche grundlegenden Massnahmen wir ergreifen, um die Sicherheit Ihrer Server zu gewährleisten, und warum viele automatisierte Warnungen oft falsch positiv sind.
Das Herzstück der Sicherheit: Eine durchdachte Patching-Philosophie
Der vielleicht wichtigste Aspekt, warum Sie von einer generellen Sicherheit ausgehen können, ist unser Umgang mit Software-Updates. Wir setzen beim Betriebssystem Ihrer Server auf Ubuntu-LTS-Versionen, die im Abstand von 2 Jahren veröffentlicht werden. Der Zusatz LTS im Namen verrät: Es handelt sich dabei um Versionen mit Long-Term-Support. Anstatt bei jeder Sicherheitslücke sofort auf die nächsthöhere Version einer Software (wie z. B. OpenSSH) zu springen, portiert Canonical, der Hersteller von Ubuntu, die notwendigen Sicherheitspatches aktiv in die stabilen LTS-Versionen zurück («Backporting»). Das verhindert, dass Breaking Changes in die Software einfliessen, die den Produktivbetrieb beeinträchtigen. Leider sorgen einfach gestrickte Scans dann aber oft für unnötige Verunsicherung.
Was bedeutet das für Sie?
Ein Sicherheitsscanner sieht möglicherweise eine Software-Version, die auf den ersten Blick veraltet erscheint (z.B. OpenSSH 8.2p1) und meldet diese als verwundbar. In Wirklichkeit ist diese Version jedoch durch die von uns eingespielten Backports vollständig gegen die gemeldeten Lücken abgesichert. Die Versionsnummer allein ist hier nicht aussagekräftig; der tatsächliche Patch-Level ist entscheidend.
Sichere Konfiguration ist Standard
Neben dem Patching ist die Konfiguration der Dienste entscheidend. Wir achten darauf, von vornherein eine sichere und sinnvolle Konfiguration bereitzustellen.
- TLS/SSL-Verschlüsselung: Wir konfigurieren die Webserver so, dass sie eine breite Kompatibilität mit verschiedenen Clients (Browsern etc.) bieten, ohne dabei die Sicherheit zu vernachlässigen. Unsere Engineers orientieren sich hier an den Empfehlungen der Mozilla Foundation, die einen guten Kompromiss aus Sicherheit und Kompatibilität darstellen und zu guten Bewertungen in gängigen Tests wie dem Qualys SSL Check führen.
- Umgang mit SSH: Der Dienst OpenSSH ist ein häufiges Ziel von Angriffen. Die Software gilt als extrem sicher und wird von uns entsprechend strikt verwaltet. Viele in Reports gemeldete CVEs (Sicherheitslücken) sind in der Praxis oft falsch positiv, da sie bereits behoben wurden, von den Entwickler*innen als umstrittener Fehler eingestuft werden oder Funktionen betreffen, die bei uns gar nicht zum Einsatz kommen (z.B. der FIDO Authentifikationsmechanismus). Der reine Check der SSH-Versionsnummer greift zu kurz.
Zur Erinnerung:
Die im Verbindungsaufbau angezeigte Version lässt keinen Rückschluss auf das Patch-Level des Dienstes zu.
- Sinnvolle Voreinstellungen (Default Vhost): Wir konfigurieren «Default Vhosts» (Standard-Websites). Diese verhindern, dass Suchmaschinen versehentlich Kundeninhalte unter der reinen IP-Adresse des Servers indizieren. Auch der Einsatz von selbstsignierten Zertifikaten für diese Default-Vhosts ist eine bewusste technische Entscheidung, um Fehlermeldungen zu vermeiden, wenn noch kein Kundenzertifikat installiert ist – auch wenn Scanner dies manchmal als «Problem» melden.
Immer gilt: Wir können auf Ihre individuellen Wünsche eingehen und Konfigurationen in Bezug auf grössere Kompatibilität oder grössere Sicherheit berücksichtigen.
Beratung statt nur Verwaltung
Eine solide Beratung ist uns wichtig. Gerne unterstützen wir Sie bei Fragen zur Sicherheit unserer Infrastruktur. In unserer Dokumentation finden Sie ausserdem einen praktischen Leitfaden dazu, wie Sie mit Resultaten eines Security-Scans umgehen können: «Interpretation eines Sicherheitsreports für Ihren Server».
Mehrschichtigkeit für grundlegend sichere Server
Die Sicherheit Ihrer Server hier bei uns beruht auf einem mehrschichtigen Ansatz: einer robusten Patching-Strategie, die über reine Versionsnummern hinausgeht, einer sicheren Grundkonfiguration essenzieller Dienste und einer transparenten Beratung, die Sie dabei unterstützt, unsichere Protokolle zu meiden.
Wenn Sie also das nächste Mal einen Sicherheitsreport analysieren, können Sie beruhigt sein: Viele der gemeldeten Punkte sind mit hoher Wahrscheinlichkeit bereits durch unsere tiefgreifenden Management-Prozesse berücksichtigt oder als falsch positiv zu bewerten.
