Datenschutz im Browser: Online-Tool gibt ernüchternde Einblicke

CAFM-NEWS – Wie sicher ist es, Webseiten von Social-Media Plattformen, Fachmagazinen, Verbänden oder CAFM-Anbietern zu besuchen? Das Online-Tool Securityheaders gibt hierzu Aufschluss und liefert noch allerhand weitere interessante Ergebnisse, zum Beispiel dass sich die CAFM-News auf Augenhöhe mit Google bewegen.

Securtiyheaders funktioniert ganz einfach: Seite aufrufen, gewünschte Domain in das Suchfenster eintragen, auf Scan klicken und abwarten. Das Ergebnis folgt in wenigen Sekunden und liefert einen Buchstaben von A+ für sehr gut bis F für gewagt.

Was steht im Header?

Das Tool beschränkt sich bei seiner Sicherheitsbetrachtung explizit auf den Header der Website respektive die entsprechenden Vorgaben des Webservers. Warum?

Im Header finden sich diverse Angaben, die das Verhalten des Browsers steuern, so dass er bestimmte Dinge tut oder lässt. Das ist wichtig, zumal mit Blick auf die Sicherheit des Website-Besuchers.

In den Header-Angaben sucht das Tool unter anderem nach Vorgaben zu folgenden Punkten:

• Content-Security-Policy: Schützt mittels einer Whitelist vor Cross-Site-Scripting-Attacken
• X-Frame-Options: Verhindert, dass eine Website als Frame dargestellt wird und verhindert mögliches Click-Jacking, also dass ein Anwender zum Beispiel über eine scheinbar harmlose Website seine Kamera und das Mikrofon aktiviert
• X-XSS-Protection: Konfiguriert den Cross-Site Filter in Browsern
• X-Content-Type-Options: Zwingt den Browser, den vorgegebenen Content-Type zu akzeptieren
• Referrer-Policy: Steuert, ob und welche Informationen über die Quelle beim Klicken auf einen Link übertragen werden

Nach dem Scan liefert SecurityHeader.io eine umfangreiche Übersicht zur Website und Ihren Sicherheits-Lecks. Dazu gehören auch Erläuterungen der einzelnen Aspekte und Hinweise, wie diese behoben werden können – einschließlich Code-Snippets.

Solche in charmantes Tool reizt natürlich zu schauen, wie es um die jeweilige Konfiguration auf prominenten Webseiten innerhalb und außerhalb des Marktes bestellt ist. Also tippen wir mal los:

Globale Promis

Fangen wir mit den globalen Promis an, von denen ja anzunehmen ist, dass sie solche ein Thema besonders gut im Griff haben. Und was ist das Ergebnis?

[table “” not found /]

Die weltgrößte Suchmaschine, so scheint es, nimmt es mit dem Schutz der Suchenden nicht so ernst. Das ist ernüchternd.

Dafür macht Twitter eine recht gute Figur, ebenso wie Facebook. Auch Xing ist immerhin noch im Mittelfeld zu finden und einen Wert besser als die international ausgerichtete Konkurrenz. Brillant ist davon aber trotzdem nichts.

Lokale Promis

Nach diesen ersten durchwachsenen Ergebnissen richten wir den Blick auf die lokale Szene, und zwar auf Verbände und Publikationen rund um CAFM und FM. Das Ergebnis:

[table “” not found /]

Das ist im Durchschnitt ziemlich rot, auch wenn die CAFM-News auf Augenhöhe mit Google sind. Ein Trost ist das in diesem Fall jedoch nicht und eine Verbesserung – zumindest bei den CAFM-News – ist bereits in Arbeit.

Die CAFM-Hersteller

Bleiben die Hersteller für FM-Software. Theoretisch sollten sie eine besondere Sensibilität für das Thema Datensicherheit haben, legt doch ihre Kundschaft allerhand schützenswertes auf lokalen und wolkigen Servern ab. Und wie sieht es bei den CAFM-Webseiten aus?

[table “” not found /]

Das Ergebnis ist überraschend: Mit wenigen Ausnahmen lautet das Ergebnis F. Axxerion schneidet mit einem E etwas besser ab, Communal FM, IMS und Mohnke (m) scheinen noch einiges besser zu machen und werden mit A respektive A+ angegeben.

Und was hilft?

Um die Header sicherer zu machen, reicht es oft schon, im Webserver jeweils einen schlichten Befehl zu ergänzen. Das sind zum Beispiel:

• Content-Security-Policy: „Content-Security-Policy: script-src ’self'“ (diverse Werte möglich)
• X-Frame-Options: „x-frame-options: SAMEORIGIN“
• X-XSS-Protection: „X-XSS-Protection: 1; mode=block“
• X-Content-Type-Options: „X-Content-Type-Options: nosniff“
• Referrer-Policy: „no-referrer-when-downgrade“ (diverse Werte möglich)

Alternativ kann auch die .htaccess-Datei der Website selbst entsprechend angepasst werden. Hinweise hierzu finden sich bei StopMalvertizing und Asemps.com.

Wer sich auf Web-Baukästen wie WordPress, Joomla und Typo3 verlässt, findet zudem hilfreiche Plugins, die das Setup merklich vereinfachen. Sie lassen sich über eine entsprechende Suche in den Plugin-Verzeichnissen der jeweiligen Dienste finden. Ein mögliches Suchwort ist HTTP-Header.

Offene Frage

Offen bleibt bei dieser Betrachtung allerdings noch eine Frage: Wie hoch ist die tatsächliche Gefährdung von Website-Besuchern im deutschen CAFM-Markt durch Websites, die prinzipiell eine Option für Hacker bieten, sie zu manipulieren?

Die Signifikanz des Marktes im Gesamtgefüge der Wirtschaft und mit Blick auf den generierten Webtraffic dürfte vermutlich zu relativer Entwarnung Anlass geben.

Kritischer ist die Thematik dagegen bei Cloud-Angeboten von CAFM-Herstellern. Hier sollten möglichst alle nutzbaren Sicherheitslücken immer und schnell geschlossen werden, da Kundendaten äußerst sensibel sind.

Dennoch, auch die Sicherheit der eigenen Firmen-Website zu erhöhen ist wichtig und zeugt von Sensibilität für Webseurity. Das gilt natürlich auch für die CAFM-News mit ihrem Google-äquivalenten E.

UPDATE 29.07.2017:

Durch die Installation eines Plugins haben die CAFM-News seit heute auch ein A+.

UPDATE 31.07.2017:

Leider verursacht das Plugin mit bestimmten Einstellungen, dass in verschiedenen Browsern die CAFM-News nicht mehr korrekt dargestellt werden. Daher mussten wir zwei Werte verändern, die eine Neubewertung der Site zur Folge haben, so dass die CAFM-News nun ein A bekommen. Wir arbeiten an einer Lösung.

Abbildungen: Scott Helme/SecurityHeaders.io