Content Security Policy als Sicherheitskonzept: Entstehung und Weiterentwicklung
Die Entwicklung der Content Security Policy ist auf das World Wide Web Consortium zurückzuführen. Das kurz W3C genannte Konsortium ist für die Standardisierung der Internet-Technologie im WWW verantwortlich. Der Erstenwurf der Content Security erschien im November 2012 unter dem Namen Content Security Policy Level 1. Sowohl Gremien für Webstandards als auch Browser-Anbieter entwickeln fortwährend neue Maßnahmen zur Abwehr von Cyber-Angriffen. Dies betrifft insbesondere den Schutz vor der Einschleusung schadhafter Codes.
Mit Content Security Policy erhalten Administratoren und Entwickler von Webseiten ein Tool zur Minderung von Schwachstellen auf Internetseiten. SQL-Injection sowie das Einschleusen anderer Daten wird damit unterbunden. Bei der Content Security wird eine bestimmte Policy definiert. Diese gibt dem Browser genaue Anweisungen, welche Ressourcen geladen und ausgeführt werden dürfen. Zu diesen Ressourcen gehören CSS (Style Sheets), Bilder oder Skripte. In der Praxis werden bei der Ausführung der Webseite zusätzliche Meta-Daten übermittelt. In diesem Prozess kann der Browser bestimmte Vorgänge verhindern. Ein Beispiel ist das Blockieren von JavaScript, das wiederum feine Abstufungen je nach Herkunft der Dateien ermöglicht.
Content Security ist ein notwendiger Bestandteil einer übergeordneten Sicherheitsstrategie (Defense-in-Depth) und trägt zusammen mit anderen Sicherheitskonzepten zur wirksamen Gefahrenabwehr bei. Umfassende Konzepte für eine Strategie für IT Sicherheit setzten die Experten von Protea Networks.
Protea Networks ist als Spezialist für IT-Sicherheit seit über zehn Jahren erfolgreicher Partner des unternehmerischen Mittelstandes, deutscher Großunternehmen und der öffentlichen Hand.
Häufige Gefahren für Unternehmens-Webseiten: Cross-Site-Scripting
Eine gängige Gefahr, mit der jedes im Internet präsente Unternehmen rechnen sollte, ist das Cross-Site-Scripting. Es handelt sich um eine Art versteckten Angriff, der auch als XSS oder als webseitenübergreifendes Scripting bezeichnet wird. Wie der deutsche Name verrät, werden hier Webseiten manipuliert und für Scripting-Zwecke missbraucht. Auf diese Weise dienen sie als Vehikel für Datendiebstähle.
Idee hinter einer Cross-Site-Scripting-Attacke ist es, die Unternehmens-Webseiten möglichst bekannter, seriöser Firmen zu unterwandern und um fremden Schadcode zu erweitern. Der schadhafte Programm-Code wird unbemerkt in die Internetseite eingeschleust und hat das Potential, die Daten der Besucher auszuspionieren. Anders als etwa beim Phishing werden Besucher nicht auf eine neue oder gefälschte Seite geleitet. Sie befinden sich auf der Original-Webseite des Unternehmens und vertrauen dieser. Der unbemerkt eingeschleuste Programmcode wird vom nicht durch Content Security geschützten Browser so bewertet, als stamme er direkt vom eigentlichen Betreiber der Seite. Dabei wird schadhafter Code gleichermaßen ausgeführt wie die ursprünglichen Code-Zeilen. Auf diese Weise gelangen Angreifer an Besucherdaten.
Gefahrenabwehr durch Maßnahmen der Content Security Policy
Zur Abwehr der skizzierten XSS-Angriffe auf Unternehmens-Webseiten und Nutzerdaten, sind in erster Linie die möglichen Befehle an den Webserver exakt zu prüfen. Zum Schutz der eigenen Internet-Präsenz und der Besucher, sind diejenigen Daten durch Content Security zu kontrollieren, die Dritte über den Web-Browser und andere Zugriffe ausführen können. Notfalls sind die möglichen Befehle und Eingaben einzuschränken.
Die Content Security ermöglicht es zudem, dass die Browser der Webseiten-Besucher nicht mehr jeden vorgeblich von der Unternehmens-Webseite stammenden Code akzeptieren. Zu diesem Zwecke wird im Rahmen der Content Security zwischen eigenem und Fremd-Code unterschieden. Durch diese Information des Browsers werden Anwender geschützt.
Entwickler, Betreiber und Administratoren können im Sinne des Online Datenschutzes über eine Content Security genau definieren, welche Herkunft Webseiten-Daten und -Inhalte haben und ob diese als legitim einzustufen sind. In diesem Zusammenhang entsteht eine Form von White-List. Diese gibt dem Browser zu verstehen, dass nur die in ihr definierten Daten vom Webseiten-Betreiber stammen und alles andere geblockt wird.
Selbst in dem Fall, dass es Cyber-Angreifern bereits gelungen ist, Schadcode auf eine Unternehmens-Webseite einzuschleusen, hält die Content Security Policy den Browser von der Ausführung ab. Schadhafter Code wird als Fremdinhalt erkannt und blockiert. Sämtliche Inhalte wie Bilder, Style-Sheets oder JavaScript-Befehle werden auf ihren Ursprung geprüft und bei fremder Herkunft von der Ausführung abgehalten. Anwender werden somit durch Content Security vor eingeschleustem Programmcode bewahrt, sodass eine XSS-Attacke und mit ihr der Datendiebstahl unterbunden wird.
