IT-COMPLIANCE SCAN Dienstag, 06.04.2021 - Connecting Media
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-COMPLIANCE SCAN Dienstag, 06.04.2021
Inhaltsverzeichnis Inhaltsverzeichnis ................................................................................................................................................... 2 DSGVO und Compliance Analyse Webseite ............................................................................................................ 3 Ausgeführte Skripte ............................................................................................................................................ 4 Cookies ............................................................................................................................................................... 5 Datenverbindungen von Drittanbietern ............................................................................................................. 6 Serverstandort .................................................................................................................................................... 6 Consent Manager ............................................................................................................................................... 6 SSL-Zertifikat ....................................................................................................................................................... 7 Impressum .......................................................................................................................................................... 7 Datenschutzerklärung......................................................................................................................................... 7 Offene Ports ........................................................................................................................................................ 8 Sicherheitslücken ................................................................................................................................................ 8 Handlungsempfehlungen Webseite ....................................................................................................................... 9 Cookies ............................................................................................................................................................... 9 Scriptanzahl reduzieren ...................................................................................................................................... 9 SSL/TLS ................................................................................................................................................................ 9 Portscan .............................................................................................................................................................. 9 HTTP .................................................................................................................................................................... 9 Sicherheitslücken ................................................................................................................................................ 9 Infrastruktur Scan ................................................................................................................................................. 10 Inventarisierung ................................................................................................................................................ 11 Server Scanergebnis ......................................................................................................................................... 12 Portscan Firewall .............................................................................................................................................. 13 Übersicht Sicherheitslücken gesamt ................................................................................................................. 14 Gefahrenlage einzelner Devices ....................................................................................................................... 14 Gefundene Sicherheitslücken (CVE’s) Kategorie CRITICAL ............................................................................... 16 Gefundene Sicherheitslücken (CVE’s) Kategorie HIGH ..................................................................................... 16 Gefundene Sicherheitslücken (CVE’s) Kategorie MEDIUM ............................................................................... 17 Gefundene Sicherheitslücken (CVE’s) Kategorie LOW ...................................................................................... 18 Handlungsempfehlungen Infrastruktur ................................................................................................................ 19 Inventarisierung ................................................................................................................................................ 19 Server ................................................................................................................................................................ 19 Firewall ............................................................................................................................................................. 19 Sicherheitslücken .............................................................................................................................................. 19
DSGVO und Compliance Analyse Webseite Mit dem Inkrafttreten der DSGVO am 25. Mai 2018 sind alle Ressourcen Dritter, die in Ihrer Website eingebunden werden, in der Datenschutzerklärung anzugeben. Zur Feststellung genannter Ressourcen haben wir, Connecting Media, eine Überprüfung Ihrer Website vorgenommen. Dabei wurden folgende Merkmale begutachtet: 1. Clientseitige-Anfragen, die beim Aufrufen Ihrer Website getätigt werden und nicht zu Ihrer Hauptdomain, oder einer Ihrer Subdomains führen. 2. Gespeicherte Cookies beim bloßen Aufrufen Ihrer Website 3. Vorhandensein und Status Ihres SSL-Zertifikates 4. Standort Ihres Servers Das Ergebnis der Überprüfung teilen wir Ihnen hiermit mit.
Ausgeführte Skripte
Land Unternehmen Produkt
USA Cloudflare, Inc. CDNJS
USA Calendly, LLC Calendly
Deutschland Hendrik Paulo Gaffo & Comply API
Alexander Riegert GbR
Deutschland Hendrik Paulo Gaffo & Comply Consent Manager
Alexander Riegert GbR
USA Fonticons, Inc. Font Awesome CDN
USA Google Ireland Limited Google DoubleClick
USA Google Ireland Limited Google Fonts
USA Google Ireland Limited Google reCAPTCHA
USA HubSpot, Inc. HubSpot Forms
Deutschland Prospect One JSDelivr CDN
USA YouTube, LLC YouTube Video
Cookies
Domain Name Beschreibung Ablaufdatum
.connectingmedia.de emos_jcvid 11.11.2022
.doubleclick.net IDE Dieses Cookie enthält 11.11.2022
Informationen darüber, wie
der Endbenutzer die
Website nutzt, und jede
Werbung, die der
Endbenutzer vor dem
Besuch der Website
gesehen haben könnte.
.doubleclick.net test_cookie Dieses Cookie wird von 11.11.2020
DoubleClick (im Besitz von
Google) gesetzt, um
festzustellen, ob der
Browser des Website-
Besuchers Cookies
unterstützt.
.youtube.com VISITOR_INFO1_LIVE Dieses Cookie wird von 10.05.2021
Youtube gesetzt, um die
Nutzerpräferenzen für
Youtube-Videos zu
verfolgen, die in Websites
eingebettet sind; es kann
auch feststellen, ob der
Website-Besucher die neue
oder alte Version der
Youtube-Oberfläche
verwendet.
.youtube.com YSC Dieses Cookie wird von Session
YouTube gesetzt, um
Ansichten eingebetteter
Videos zu verfolgen.Datenverbindungen von Drittanbietern Serverstandort Ihr Server befindet sich in DE (Deutschland) Consent Manager Ein DSGVO konformer Consent Manager ist auf der Seite vorhanden
SSL-Zertifikat Impressum Firmenangabe + Kontaktdaten: Ja Verantwortlicher gemäß TMG §5: Ja Inhaltlicher Verantwortlicher gemäß §55 Abs. 2 RStV: Ja Haftungsausschluss: Ja Unverbindlichkeit der Informationen: Ja Bilderverzeichnis: Ja Datenschutzerklärung Als separate Inhaltsseite: Ja Verantwortlicher benannt: Ja Datenschutzbeauftragter: Ja Eingesetzte Cookies: Ja Belehrung der Rechte: Ja Auflistung aller Drittanbieter und was verarbeitet wird: Ja
Offene Ports Sicherheitslücken
Handlungsempfehlungen Webseite Basierend auf den oben genannten Kriterien wird empfohlen nachfolgende Maßnahmen zu ergreifen. Cookies Sie verwenden Cookies, die niemals ablaufen. Bitte überprüfen Sie, ob Sie diese bestenfalls durch Session-Cookies ersetzen können. Alternativ können Sie ein Ablaufdatum wählen, das Ihren Löschungsfristen gerecht wird. Scriptanzahl reduzieren Beim Aufruf Ihrer Website werden mehr als 10 Verbindungen zu externen Servern hergestellt. Versuchen Sie dies weitesgehend zu unterbinden, indem Sie Ressourcen wie CSS oder JavaScript Dateien, die für das fehlerfreie Benutzen Ihrer Website nötig sind, von Ihrem eigenen Server laden. SSL/TLS Die unsicheren Protokolle durch sichere ersetzen. Verschlüsselung BSI konform umsetzen. (sofern möglich) Portscan Port 3306 (mysql) Störung beheben, hierfür müssen Sie auf Ihrem Webserver über die mysql admin Tools die Option „'mysqladmin flush-hosts'“ verwenden. Diese Aufgabe sollte von einem IT-Administrator der Kenntnisse über das Serverbetriebssystem hat durchgeführt werden. HTTP Fehlender HTTP Header eintragen. Sicherheitslücken Sie verwenden eine veraltete openssh und nginx Version auf Ihrem Debian Server, dieser sollte umgehend von Ihrem IT-Administrator aktualisiert werden.
Infrastruktur Scan Für den Test wurde ein umfassendes Set von Features zur Analyse und Absicherung der Systemlandschaft. Dazu gehört die Sichtweise eines potenziellen Hackers auf Ihre Systeme genauso dazu wie die detaillierte Analyse von Server, Clients und IoT-Geräte. Dabei helfen KI gestützte Verfahren, Angriffe in Echtzeit zu erkennen und nach Art und Herkunft zu klassifizieren. Es wurde ein Schwachstellenscan durchgeführt basierend auf den bekannten CVE’s Stand 6. April 2021 Alle innerhalb des Netzsegmentes erreichbaren Assets wurden einer Sicherheitsüberprüfung, nachfolgend Pentest genannt, unterzogen. Im übersichtlichen Audit-Report sehen Sie, wie weit dieser innerhalb Ihrer Systeme vorgedrungen ist und welche weiteren Sicherheitslücken gefunden wurden. Im Detail: ▪ Automatisierter Pentest ▪ Automatisierte Schwachstellenanalyse ▪ Informationsbeschaffung aus Sicht eines Hackers ▪ Tiefgreifendes Brute Forcing ▪ Discovery auf Basis gefundener Logins ▪ Webbasierte Attacken ▪ Netzwerk-Sicherheitslücken-Scan (CVE) ▪ SSL/TLS Chiffren Scan ▪ Überprüfung sicherheitsrelevanter HTTP-Header ▪ Überprüfung auf sensitive data leak ▪ Überprüfung auf common source leaks
Inventarisierung Alle gefundenen Assets im gescannten Netzwerk Segment
Server Scanergebnis Alle gefundenen Dienste und Ports auf Servern SERVER EXAMPLE.HOSTNAME1 SERVER EXAMPLE.HOSTNAME2
Portscan Firewall
Offene Ports von extern > intern auf Ihrer Firewall und welches Protokoll erkannt wurde.
80 tcp http Microsoft IIS httpd 8.5
135 tcp msrpc Microsoft Windows RPC
139 tcp netbios-ssn Microsoft Windows netbios-ssn
443 tcp https
445 tcp microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds
808 tcp ccproxy-http
1433 tcp ms-sql-s Microsoft SQL Server 2014 12.00.4237
1998 tcp rmiregistry Java RMI
2179 tcp vmrdp
3389 tcp ms-wbt-server
5986 tcp wsmans
Apache Tomcat/Coyote JSP engine 1.1
8081 tcp http
Apache HTTP Server
16080 tcp http Apache Tomcat 8.5.32
18080 tcp http Apache Tomcat 8.5.32
49154 tcp msrpc Microsoft Windows RPC
49155 tcp msrpc Microsoft Windows RPCÜbersicht Sicherheitslücken gesamt Gefahrenlage einzelner Devices
Gefundene Sicherheitslücken (CVE’s) Kategorie CRITICAL Gefundene Sicherheitslücken (CVE’s) Kategorie HIGH Dies ist ein Beispielreport, daher nur ein Auszug
Gefundene Sicherheitslücken (CVE’s) Kategorie MEDIUM Dies ist ein Beispielreport, daher nur ein Auszug
Gefundene Sicherheitslücken (CVE’s) Kategorie LOW Dies ist ein Beispielreport, daher nur ein Auszug
Handlungsempfehlungen Infrastruktur Basierend auf den oben genannten Kriterien wird empfohlen nachfolgende Maßnahmen zu ergreifen. Inventarisierung Es gibt bei Ihnen nur einen IP-Bereich. Empfehlenswert ist eine Netzsegmentierung zumindest, dass die Server in einem eigenständigen IP Bereich stehen. Auch haben Sie eine Fritzbox im Einsatz, dies ist keine Firewall und gerade da Sie Server im Einsatz haben sollten Sie hier etwas hochwertigeres und funktionaleres in puncto IT-Sicherheit einsetzen. Server Port 8000 sollte überprüft werden, ob dieser im Netzwerk erreichbar sein muss, hinsichtlich Port 8080 ist zu prüfen, ob dies richtig konfiguriert ist, da normalerweise dieser Port für Proxydienste verwendet wird. Firewall Folgende Ports sollten überprüft werden, ob diese wirklich von außen erreichbar sein sollten 1433 tcp, 1998 tcp, 2179 tcp, 3389 tcp, 5986 tcp, 8081 tcp, 16080 tcp, 18080 tcp, 49154 tcp, 49155 tcp Sicherheitslücken Die Abarbeitung zur beseitigten CVE’s sollte in folgenden Schritten erfolgen: Beseitigung der CRITICAL CVE’s indem Sie ein gültiges Zertifikat in Ihrem Webserver einspielen und die DNS / Hostname des Servers entsprechend richtig konfigurieren. Beseitigung der HIGH CVE’s durch Update der SSL Version und Einstellung des Webservers, dass keine alten SSL Standards mehr unterstützt werden bei der Verbindungsaushandlung Beseitigung der MEDIUM CVE’s durch Update der bei Ihnen aktuell eingesetzten Apache Version 2.4.25 auf die neueste verfügbare Version
Sie können auch lesen
