Sicherheit für IIS-Webserver: Fünfzehn Tipps

Zuerst sollte der Administrator sicherstellen, dass er durch die Einrichtung einer Sicherheitsrichtlinie angemessen unterstützt wird. Jede Sicherheitsmaßnahme ist sinnlos, wenn sich in der Chefetage nicht die Erkenntnis durchsetzt, dass der Webserver ein zu schützender Vermögenswert ist. Die Absicherung eines Servers erfordert Zeit und Mühe, und das ständig. Wenn dieser Zeitaufwand keine Rückendeckung im Budget findet oder nicht in der langfristigen IT-Strategie enthalten ist, dann handelt ein Systemverwalter, der wertvolle Stunden mit der Absicherung des Servers verbringt, ohne die notwendige Unterstützung von oben.

In einem Szenario kann es beispielsweise passieren, dass ein besonders abenteuerlustiger Benutzer vom System ausgesperrt wird, nachdem der Systemverwalter die Sicherheitseinstellungen für verschiedene Ressourcen geändert hat. Daraufhin beschwert sich der Benutzer bei der Universitätsverwaltung, die wiederum beim Systemverwalter nachfragt, was denn eigentlich los sei. Und dann kann der Systemverwalter nicht auf offizielle Unterlagen zurückgreifen, die seine (sinnvollen) Sicherheitsmaßnahmen rechtfertigen könnten. So entstehen Konflikte.

Mit einer schriftlichen Sicherheitsrichtlinie steht ein gewisses notwendiges Maß an Sicherheit und Verfügbarkeit der Webserver fest, und der Systemverwalter kann die zahlreichen, mit den Betriebssystemen gebündelten Softwaretools einsetzen.