| Untersuchte Bereiche | Beschreibung |
|---|---|
| Ports | Offene Ports werden auf die dahinterliegende Anwendung untersucht und ob die verwendete Version preisgegeben wird. |
| HTTP-Header | HTTP-Header wie X-Mod-Pagespeed und Server werden darauf untersucht, ob sie Informationen zum System preisgegeben. |
| Untersuchte Bereiche | Beschreibung |
|---|---|
| Webanwendungen | Mittels statistischer Verfahren werden Webanwendungen auf die verwendeten Technologien untersucht (z.B. das genutzte CMS, Programmiersprachen und Libraries). |
| Betriebssystem (SNMP) | Über das Simple Network Management Protocol (SNMP) wird versucht, das verwendete Betriebssystem zu ermitteln. |
| Installierte Pakete (SNMP) | Über SNMP wird versucht, Zugriff auf installierte Pakete zu erhalten. |
| Remote Control Service | Es wird versucht, Informationen über verwendete Dienste zu erlangen, über die eine Fernwartung durchgeführt werden kann (z.B. SSH, VNC, RDP, Telnet). |
| mDNS | Es wird untersucht, ob Multicast-DNS (mDNS) Funktionalitäten aktiviert sind, über die ein Zugriff erfolgen kann. |
| Name desChecks | Beschreibung |
|---|---|
| Anfällig für Log4Shell (CVE-2021-44228) | Es wird eine verwundbare Version des Java-Frameworks Log4j, die sich für Log4Shell-Attacken ausnutzen lässt, verwendet (CVE-2021-44228). Bitte beachte: Damit dieser Check korrekte Ergebnisse liefert, muss eine Konnektivität vom Zielsystem zum Hacktor (Portbereich: 1 - 1000) sichergestellt sein (HTTP, SSH, FTP, SMTP, IMAP). |
| Name des Checks | Beschreibung |
|---|---|
| Fehlender DMARC Record | Der Domain-based Message Authentication, Reporting and Conformance (DMARC)-Eintrag fehlt, obwohl er vorhanden sein sollte. Er erlaubt der Absender-Domain festzulegen, wie E-Mail-Server mit Nachrichten umgehen sollen, die die Authentifizierung nicht bestehen. |
| Fehlender CAA Eintrag | Der Certification Authority Authorization (CAA)-Eintrag fehlt, obwohl er vorhanden sein sollte. Er dient dazu, bestimmte Zertifizierungsstellen (CAs) zu berechtigen, ein Zertifikat für die Domain auszustellen. So kann verhindert werden, dass Zertifikate für eine Domain missbräuchlich ausgestellt werden. |
| Fehlender SPF Record | Der Sender-Policy-Framework (SPF)-Eintrag fehlt, obwohl er vorhanden sein sollte. Er ermöglicht, IP-Adressen zum Versenden von E-Mails mit der Domain zu berechtigen. So kann Dritten untersagt werden, den Domain-Namen missbräuchlich zu verwenden. |
| Ungültiger Inhalt des DMARC Records | Der Inhalt des DMARC-Eintrags ist nicht gültig, da ein oder mehrere Tags nicht gesetzt sind. |
| Ungültiger Inhalt des SPF Records | Der SPF-Eintrag enthält unbekannte Einträge (bekannt sind: spf1, mx, ip4, ip6, exists, include, all, a, redirect, exp, ptr) und/oder unerlaubte Zeichen. |
| Name des Checks | Beschreibung |
|---|---|
| Anonyme FTP-Session | Anonymous FTP erlaubt allen Benutzern einen freien Zugriff auf FTP-Verzeichnisse. Es sollte immer überprüft werden, ob dies wirklich notwendig ist und ob Lese- und Schreibrechte richtig konfiguriert sind. |
| Anonymer Zugang zum root (/) Verzeichnis | Das root-Verzeichnis ist Teil des Backends und ein Zugriff via FTP sollte nur autorisierten Benutzern mit entsprechenden Zugangsdaten gewährt werden. |
| Change Working Directory (cwd) Zugang für anonyme Nutzer | Der Befehl cwd erlaubt das Wechseln des aktiven Verzeichnisses auf dem FTP-Server. Diese Möglichkeit sollte anonymen Nutzern nicht gestatt sein. |
| Löschrechte für anonyme Nutzer | Anonyme Nutzer sollten niemals in der Lage sein, Dateien zu löschen. Daher sollte darauf geachtet werden, Lese- und Schreibrechte richtig zu konfigurieren. |
| Schreibrechte für anonyme Nutzer | Anonyme Nutzer sollten niemals über Schreibrechte verfügen. Daher sollte darauf geachtet werden, Lese- und Schreibrechte richtig zu konfigurieren. |
| Name desChecks | Beschreibung |
|---|---|
| Anfällig für ShellShock | Die Schwachstelle in der Unix-Shell Bash ermöglicht es Angreifern, auf dem Zielsystem beliebige Befehle auszuführen und nicht autorisierten Zugriff zu erhalten. |
| Common Source Leak | Dateien, die versteckt sein sollten, sind öffentlich zugänglich. Sie geben möglicherweise wichtige Informationen preis, die das Ziel potenziell angreifbar machen. |
| Common Credential Store | Dateien, die sensible Dateien beinhalten (bspw. Passwörter) sind öffentlich über HTTP zugänglich. |
| Cross Site Scripting (XSS) | Es ist Angreifern möglich, bspw. HTML-, JavaScript- oder CSS-Code unvalidiert in eine Webseite einzubetten. |
| Default-Seite wird angezeigt | Die Standardseite einer Anwendung, also die erste Seite einer Webseite, die automatisch geladen wird, wenn ein Benutzer eine Domain aufruft, ist über unsicheres HTTP erreichbar. Dies deutet darauf hin, dass eine Fehlkonfiguration vorliegt und möglicherweise sensible Bereiche für Unbefugte zugänglich sind. |
| Directory Listing ist aktiviert | Directory Listing ist eine Webserver-Funktion, die den Inhalt eines Verzeichnisses offenbart, das keine Indexdatei hat. Ein Angreifer kann sich so leicht Zugang zu privaten Inhalten auf dem Webserver verschaffen. |
| E-Mail-Harvesting | Der Host ist anfällig für das Sammeln (Harvesting) von E-Mail-Adressen. Böswillige Bots können diese Kontakte ermitteln und für eine spätere Verwendung speichern, z.B. um Phishing-Betrug zu begehen. |
| Erlaubt offene Umleitung | Der Host ermöglicht die Integration von benutzerdefinierten Daten in Umleitungsziele. Ein Angreifer kann so Benutzer auf eine beliebige externe Domain umleiten, was Phishing-Angriffe gegen Benutzer ermöglicht. |
| Erlaubt Zugriff auf Datenbank-Dump | Teilweise oder ganze Auszüge von Datenbanken, die für die Datensicherung oder Portierung erstellt wurden (Datenbank-Dump), sollten nicht öffentlich erreichbar sein. |
| Ermöglicht ungültige Umleitung | Die Webanwendung akzeptiert nicht vertrauenswürdige Eingaben. Dies kann ein Angreifer nutzen, um Benutzer auf eine nicht vertrauenswürdige URL weiterzuleiten. |
| Ermöglicht Zugriff auf Login-Seite kritischer Systeme | Die Login-Seite eines kritischen Systems ist über unsicheres HTTP erreichbar. |
| Ermöglicht Zugriff auf detaillierte Fehlerinformationen | Zu Diagnosezwecken erstellte Fehlermeldungen (Stack Traces) werden über die HTML-Seite ausgegeben oder können bspw. durch nicht validierte Eingaben ausgelesen werden. Stack Traces können sensible Informationen beinhalten, aus denen sich Angriffsvektoren ergeben. |
| Fehlende HTTPS-Umleitung | Über unsicheres HTTP aufgerufene Webseiten werden nicht auf sicheres HTTPS umgeleitet. |
| Gemischter HTTP-Inhalt gefunden | Auf die Webseite wird sicher über HTTPS zugegriffen, aber der Inhalt besteht aus Links, die über unsicheres HTTP aufgerufen werden. |
| Öffentlich erreichbares Backend | Das Backend ist öffentlich erreichbar. Der Zugriff darauf sollte immer eingeschränkt sein, z.B. über die Verwendung eines VPNs (Virtual Private Network). |
| Setzt Cookies ohne Zustimmung | Obwohl der Nutzer kein Einverständnis gegeben hat, werden Cookies gespeichert. Dies ist nur für technisch notwendige Cookies erlaubt. |
| Setzt Tracking-Cookies ohne Zustimmung | Obwohl der Nutzer kein Einverständnis gegeben hat, werden Cookies gesetzt, die für Tracking-Aktivitäten genutzt werden. Dies widerspricht den geltenden Datenschutzrichtlinien. |
| SQL Injection | Es ist einem Angreifer möglich, eigene Datenbankbefehle in eine SQL-Datenbank einzuschleusen, um Daten auszuspähen oder die Kontrolle über das System zu erlangen. |
| Unterstützt Command Injection | Es ist einem Angreifer durch die Eingabe nicht validierter Parameter möglich, auf dem Host-Server einer Webseite beliebige Befehle auszuführen. |
| Unterstützt File Inclusion | Es ist einem Angreifer möglich, schädliche Dateien und Code in eine Webanwendung einzuschleusen. |
| Name des Checks | Beschreibung |
|---|---|
| Fehlender Content-Security-Policy Header | Der Header Content-Security-Policy fehlt, obwohl er vorhanden sein sollte. Er regelt, welche Ressourcen in einer bestimmten Art und Weise im Browser geladen bzw. ausgeführt werden können und welche Quellen vertrauenswürdig sind, wodurch das Ausführen von schädlichem, eingeschleustem Code verhindert wird. |
| Fehlender Feature-Policy Header | Der Header Feature-Policy fehlt, obwohl er vorhanden sein sollte. Er bestimmt, welche Funktionen oder APIs eines Browsers verwendet werden dürfen und welche nicht zulässig sind. Er erhöht die Sicherheit und den Datenschutz, indem die Angriffsfläche minimiert und ungenutzte Funktionen deaktiviert werden. |
| Fehlender Referrer-Policy Header | Der Header Referrer-Policy fehlt, obwohl er vorhanden sein sollte. Er stellt sicher, dass Informationen über die Herkunft eines Website-Besuchers nur unter bestimmten Bedingungen gesendet werden dürfen. Er verhindert so, dass bspw. Passwörter in URLs oder Sitzungs-IDs an Drittanbieter weitergegeben werden. |
| Fehlender Strict-Transport-Security Header | Der Header Strict-Transport-Security fehlt, obwohl er vorhanden sein sollte. Die HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung als auch vor Session-Hijacking schützt. |
| Fehlender X-Content-Type-Options Header | Der Header X-Content-Type-Options: nosniff fehlt, obwohl er vorhanden sein sollte. Er verhindert, dass ein Browser das MIME (Multipurpose Internet Mail Extensions)-Datenformat einer Datei errät und einen anderen Inhaltstyp verwendet als den, der vom Server vorgegeben ist. |
| Fehlender X-Frame-Options Header | Der Header X-Frame-Options fehlt, obwohl er vorhanden sein sollte. Er teilt dem Browser mit, ob dieser eine Webseite in einem <frame>, <iframe> oder <object> rendern, also einbetten, darf. Dadurch wird verhindert, dass Angreifer eine Seite in einem unsichtbaren Frame über einer gefälschten Website platzieren, um Besucher zu unbewussten Klicks zu verleiten. |
| Fehlender X-XSS-Protection Header | Der Header X-XSS-Protection fehlt, obwohl er vorhanden sein sollte. Er kann Browsern untersagen eine Webseite zu laden, wenn schädlicher Inline-Code erkannt wird, der auf eine Cross-Site-Scripting (XSS)-Attacke hindeutet. |
| Ungewöhnlicher HTTP Header | Es wurde ein unbekannter HTTP-Header erkannt, der potenziell Informationen preisgeben kann. Es sollte überprüft werden, ob der unbekannte HTTP-Header wirklich notwendig ist und ob er entfernt werden kann. |
| Unsicherer Set-Cookie | Der Header Set-Cookie lässt zu, dass Cookies vom Server zum Browser ohne Verschlüsselung übertragen werden. Dies ermöglicht XSS-Angriffe und die Übernahme von Benutzer-Sessions. |
| Vermeidbarer X-Mod-Pagespeed Header | Der Header X-Mod-Pagespeed ist aktiviert, obwohl er dies nicht sein sollte, um keine unnötigen Informationen wie die Version des Apache-Moduls oder angewandte Webseiten-Optimierungen preiszugeben. |
| Vermeidbarer X-Powered-By Header | Der Header X-Powered-By ist aktiviert, obwohl er dies nicht sein sollte, um keine unnötigen Informationen über die Standardkonfigurationen des Webservers preiszugeben. |
| Titel | Beschreibung |
|---|---|
| Erlaubt Unauthenticated Bind | Schlägt die Authentifizierung als Nutzer bei der Verbindung zu einem LDAP-Verzeichnisdienst fehl, weil das Passwort-Feld leer gelassen wurde, wird keine Warnung ausgegeben und es wird ein anonymer Zugang gewährt. Dies ermöglicht den Zugriff auf Verzeichnisdaten ohne Authentifizierung. |
| Erlaubt ungesichertes Simple Bind | Benutzername und Passwort werden im Klartext über eine unverschlüsselte Verbindung übertragen. Es wird dringend empfohlen, stattdessen verschlüsselte Verbindungen (LDAPS) oder starke Authentifizierung (SASL) zu verwenden. |
| Name des Checks | Beschreibung |
|---|---|
| Erlaubt das Löschen von Sammlungen | Nicht authentifizierte Benutzer können Dokument-Sammlungen löschen. Das Löschen von Sammlungen sollte nur entsprechend authentifizierten Nutzern erlaubt sein, um Datenverlust zu verhindern. |
| Erlaubt Hinzufügen von Sammlungen | Nicht authentifizierte Benutzer können Dokument-Sammlungen hinzufügen. Das Hinzufügen von Sammlungen sollte nur entsprechend authentifizierten Nutzern erlaubt sein, um das Einschleusen schädlicher Dokumente zu verhindern. |
| Erlaubt Zugriff auf Admin-DB | Benutzer, die keine Administratoren sind, haben Zugang zur Admin-Sammlung, deren Hauptzweck das Aufbewahren von System-Dokumenten sowie Authentifizierungs- und Autorisierungsdaten (wie Benutzernamen und Passwörter) ist. Auf diese sensiblen Informationen sollte nur der Administrator Zugriff haben. |
| Erlaubt Zugriff auf die Config-DB | Benutzer, die keine Administratoren sind, haben Zugang zur Config-Sammlung, wo Daten zur Verwaltung und zum Zugriffsmanagement der Datenbank liegen. Auf diese Daten sollte kein Zugriff möglich sein. |
| Erlaubt Zugriff auf Lokale DB | Benutzer, die keine Administratoren sind, haben Zugang zur Local-Sammlung, wo Daten zur Verwaltung und zum Zugriffsmanagement der Datenbank liegen. Auf diese Daten sollte kein Zugriff möglich sein. |
| Ermöglicht anonyme Anmeldung | Wenn eine MongoDB erstellt wird, sind keine Authentifizierungs-Mechanismen aktiv und der Nutzer hat alle Rechte. Um die Sicherheit der Datenbank zu erhöhen, sollte ein anonymer Zugang deaktiviert sein. |
| Ermöglicht den Zugriff auf verschiedene DBs | In Datenbank-Sammlungen, die nicht nicht zu den Standard-Sammlungen (Admin/Local/Config) gehören, liegen Daten zur Verwaltung und zum Zugriffsmanagement der Datenbank. Auf sie sollte kein Zugriff möglich sein. |
| Name des Checks | Beschreibung |
|---|---|
| Anonyme Verbindung vom Root-Benutzer | Eine nicht passwortgeschützte Verbindung als Administrator (mit Root-Rechten) ist möglich. |
| Anonymer Benutzer gefunden | Beim Einrichten der MySQL-Instanz wird ein anonymer Benutzer erstellt, der es jedem ermöglicht, sich bei der Datenbank anzumelden, ohne ein Benutzerkonto eingerichtet zu haben. Er ist nur für Testzwecke gedacht und sollte vor der Produktivsetzung entfernt werden. |
| Benutzer mit Fernzugriff von einem beliebigen Host gefunden | Standardmäßig ist ein öffentlicher Fernzugriff auf MySQL aus Sicherheitsgründen deaktiviert. Ist ein Fernzugriff aktiviert, sollte dieser auf nur bestimmte IP-Adressen eingeschränkt werden. |
| Benutzer ohne Passwort gefunden | Für jeden Benutzer der MySQL-Datenbank sollte ein sicheres Passwort festgelegt werden. |
| Möglichkeit Benutzer-Privilegien zu ändern | Die Rolle von Nutzern kann geändert werden, zum Beispiel zu einem Nutzer mit Administrator-Rechten. So kann eigentlich nicht berechtigten Benutzern ein Zugriff auf die MySQL-Datenbank ermöglicht werden. |
| Möglichkeit neuen Benutzer zu erstellen | Die MySQL-Datenbank sollte so konfiguriert sein, dass es Unbefugten nicht möglich ist, einen neuen Benutzer anzulegen. |
| Test-DB gefunden | Einige MySQL-Server erstellen bei der Installation eine Datenbank mit dem Namen test, die für alle Benutzer zugänglich ist. Diese Einstellung wird auf alle Datenbanken, deren Bezeichnung mit test_ beginnt, übertragen. Die Test-Datenbank sollte daher prinzipiell entfernt werden. |
| Zugriff performance_schema DB | Das MySQL-Performance-Schema ist eine Funktion zur Überwachung von MySQL-Ausführungen. Diese Informationen sollten nicht öffentlich zugänglich sein. |
| Name des Checks | Beschreibung |
|---|---|
| Fehlende RDP Network Level Authentication | Der Anmeldebildschirm ist erreichbar, ohne dass auf Netzwerkebene eine Authentifizierung notwendig ist. Dies ermöglicht unautorisierten Zugriff und Denial-of-Service-Angriffe. |
| Name des Checks | Beschreibung |
|---|---|
| Vorhandene SMB Network Shares | Es existiert eine Netzwerk-Freigabe, die nicht unter die Standard-Freigaben fällt. |
| Erlaubt Gastzugriff | Bei fehlerhaftem Login wird automatisch ein Gastzugriff erteilt, der möglicherweise Zugriffsrechte auf sensible Daten besitzt. |
| Erlaubt Lesezugriff | Ein Lesezugriff auf freigegebene Ordner ist via SMB möglich. |
| Erlaubt Schreibzugriff | Ein Schreibzugriff auf freigegebene Ordner, die nicht standardmäßig eingestellt sind, ist via SMB möglich. |
| Titel | Beschreibung |
|---|---|
| Ermöglicht Benutzerenumeration mittels EXPN | Der SMTP-Befehl EXPN (Expand) gibt eine Liste von Alias-Adressen mit dazugehörigen Zielen aus. Er kann missbraucht werden, um valide Benutzernamen auszuspähen oder E-Mail-Adressen für die Zusendung von Spam-Nachrichten zu sammeln. |
| Ermöglicht Benutzerenumeration mittels VRFY | Der SMTP-Befehl VRFY (Verify) ermöglicht es zu überprüfen, ob eine E-Mail-Adresse vorhanden ist. Er kann missbraucht werden, um valide Benutzernamen auszuspähen oder E-Mail-Adressen für die Zusendung von Spam-Nachrichten zu sammeln. |
| Ermöglicht Versenden von externen E-Mails ohne Authentifizierung | Nicht authentifizierten Benutzern wird erlaubt, über den Mail-Relay-Server von externen E-Mail-Adressen Nachrichten an externe E-Mail-Adressen zu versenden. Der Mailserver lässt sich daher für Phishing-Angriffe oder das Versenden von Spam-Nachrichten missbrauchen. |
| Ermöglicht Versenden von internen E-Mails ohne Authentifizierung | Nicht authentifizierten Benutzern wird erlaubt, über den Mail-Relay-Server von internen E-Mail-Adressen Nachrichten an interne E-Mail-Adressen zu versenden Der Mailserver lässt sich daher für Identitätsfälschung (Spoofing) missbrauchen. |
| Name des Checks | Beschreibung |
|---|---|
| Verwendet gewöhnlichen Community String | Für SNMP werden ein oder mehrere Community Strings zur Nutzerauthentifizierung verwendet, die häufig verwendet werden und daher besonders unsicher sind. |
| Erlaubt Lesezugriff | Ein Lesezugriff auf Object Identifier (OID) ist via SNMP möglich. |
| Erlaubt Schreibzugriff | Ein Schreibzugriff auf Object Identifier (OID) ist via SNMP möglich. |
| Name des Checks | Beschreibung |
|---|---|
| Keine Unterstützung für SSH-Authentifizierung mit öffentlichem Schlüssel | Der Client sollte sich gegenüber dem Server mittels eines öffentlichen Schlüssels (Public Key) authentifizieren müssen, da Passwörter unsicher sein können und somit für Brute-Force-Angriffe anfällig sind. |
| Unsichere Mac Algorithmen | Der Message Authentication Code (MAC) dient dazu, Gewissheit über den Ursprung von Daten zu erhalten und sie auf Integrität zu überprüfen. Mittels Keyed-Hash Message Authentication Code (HMAC) wird diese Überprüfung abgesichert. Dabei sollte ein sicheres Verfahren zum Einsatz kommen. |
| Unsichere Schlüsselaustausch-Algorithmen | Im Rahmen des SSH-Verbindungsaufbaus findet ein Schlüsselaustausch (Key Exchange) statt. Der gemeinsame Sitzungsschlüssel wird für die Authentifizierung und Verschlüsselung der Sitzung genutzt. Wird eine unsichere Schlüsseltausch-Methode verwendet, ist die Absicherung der Verbindung gefährdet. |
| Unsichere Server-Host-Schlüsselalgorithmen | Im Rahmen des SSH-Verbindungsaufbaus findet ein Schlüsselaustausch (Key Exchange) statt. Währenddessen einigen sich Client und Server auf einen gemeinsamen Verschlüsselungs-Schlüssel. Dabei sollte ein sicheres Verschlüsselungsverfahren gewählt werden. |
| Unsichere SSH-Version | Im Jahr 2006 wurde SSH-1 durch eine überarbeitete Version des Netzwerkprotokolls (SSH-2) abgelöst. SSH-1 gilt aufgrund kryptografischer Schwächen als nicht mehr sicher und sollte daher nicht verwendet werden. |
| Unsichere Verschlüsselungsalgorithmen | Im Rahmen des SSH-Verbindungsaufbaus findet ein Schlüsselaustausch (Key Exchange) statt. Währenddessen einigen sich Client und Server auf einen gemeinsamen Verschlüsselungs-Algorithmus. Dabei sollte ein sicheres Verschlüsselungsverfahren gewählt werden. |
| Unsicherer öffentlicher Schlüssel | Der Server authentifiziert sich gegenüber dem Client. Exchange-Nachrichten des Servers erhalten einen öffentlichen Schlüssel (Public Key), den der Client nutzen kann, um die Authentizität zu prüfen. Dabei sollte ein sicheres Verfahren zum Einsatz kommen. |
| Unterstützt SSH-Passwort-Authentifizierung | Eine auf asymmetrischen Schlüsseln basierende Authentifizierung ist sicherer als die Nutzung eines Passworts. Deshalb sollte die Option einer Authentifizierung via Passwort in der Regel deaktiviert sein. |
| Name des Checks | Beschreibung |
|---|---|
| Abgelaufenes Zertifikat | Das verwendete SSL/TLS-Zertifikat ist abgelaufen und damit ungültig. Es können keine sicheren Transaktionen mehr durchgeführt werden. |
| Ablauf der Gültigkeit der CRL (Certificate Revocation List) | Der Gültigkeitszeitraum der verwendeten Zertifikatsperrliste ist abgelaufen. Eine veraltete CRL kann bspw. nicht mehr anzeigen, ob ein Schlüssel kompromittiert wurde. |
| Abweichung zwischen Zertifizierungsstelle und Aussteller | Zertifizierungsstelle (Certificate Authority; CA) und Aussteller passen nicht zusammen. |
| Abweichung zwischen Zertifizierungsstelle und Seriennummer des Ausstellers | Zertifizierungsstelle und Seriennummer des Ausstellers passen nicht zusammen. |
| Anfällig für DROWN | Der Webserver verwendet das veraltete Protokoll SSLv2. Dadurch kann unter anderem aufgezeichneter TLS-Datenverkehr abgegriffen werden. |
| Anfällig für FREAK | Bei einer FREAK-Attacke werden die Kommunikationspartner dazu gebracht, sich auf eine unsichere Verschlüsselungsmethode zu einigen, obwohl sichere Verfahren zu Verfügung stehen. So können Daten leicht abgefangen und manipuliert werden. |
| Anfällig für Heartbleed | Aufgrund eines Programmfehlers in OpenSSL lässt sich der Server manipulieren, sodass er sensible Informationen preisgibt. |
| Anfällig für Logjam Attacken | Indem eine Schwachstelle im Diffie-Hellman-Schlüsselaustausch ausgenutzt wird, kommen Angreifer an die geheimen Schlüssel. |
| Anfällig für NULL Pointer Dereference | Durch das Versenden eines bösartigen Zertifikats kann ein Angreifer einen Denial-of-Service-Zustand verursachen. |
| Anfällig für SLOTH Attacke | Schwache Hash-Funktionen (MD5, SHA-1) erlauben eine SLOTH-Attacke. Dies kann zu Identitätsdiebstahl (Impersonation), dem Abfangen von Anmeldedaten und dem Schwächen der Verschlüsselung führen. |
| Anfällig für Sweet32 Attacken | Die Stream-Chiffre RC4 macht die Verbindung anfällig für Sweet32-Attacken. Durch das Abfangen großer Datenmengen in einer langen Sitzung kann ein Angreifer Kollisionen erzeugen, um verschlüsselte Daten, z.B. Sitzungs-Cookies, zu entschlüsseln und HTTPS-Verbindungen zu übernehmen. |
| Anfällig nach Maßgabe der Datenschutzgrundverordnung (DSGVO) | Die SSL/TLS-Verschlüsselung widerspricht dem aktuellen Stand der Technik und verstößt daher gegen Art. 32 DSVGO. |
| Anfällig nach Maßgabe des BSI (Bundesamt für Sicherheit in der Informationstechnik) | Die SSL/TLS-Verschlüsselung entspricht nicht den Maßgaben des BSI. |
| Chiffre unterstützt MD5 | Die Hash-Funktion MD5 (Message-Digest Algorithm 5) gilt nicht mehr als ausreichend sicher und sollte daher nicht verwendet werden. |
| CRL Signatur nicht entschlüsselbar | Eine nicht entschlüsselbare CRL-Signatur kann bedeuten, dass die Zertifikatsperrliste beschädigt, abgelaufen oder die Signaturkette zur Zertifizierungsstelle unterbrochen ist. Dies führt dazu, dass Zertifikate nicht als gültig verifiziert werden können. |
| Die Schlüsselverwendung berücksichtigt nicht das Signieren von Zertifikaten | Ein Zertifikat wird zum Signieren anderer Zertifikate verwendet, obwohl das Attribut der Schlüsselverwendung (Key Usage) dies nicht zulässt, wodurch das Zertifikat eigentlich ungültig ist. |
| Die Zertifikatskette konnte nicht verifiziert werden | Der Browser kann die Zertifikatskette nicht verifizieren. Dadurch kann er die Vertrauenswürdigkeit eines Servers nicht bestätigen. |
| Fehlender Common Name in Subject Alternative Names | Der Common Name ist nicht in den Subjekt Alternative Names enthalten, weshalb die Validierung des Zertifikats blockiert wird. |
| Formatfehler im Feld lastupdate von crl | Das lastupdate-Feld für die Anzeige der letzten Aktualisierung in der CRL enthält eine ungültige Zeit. |
| Formatfehler im Feld nextupdate von crl | Das nextupdate-Feld für die Anzeige der anstehenden Aktualisierung in der CRL enthält eine ungültige Zeit. |
| Formatfehler im notafter Feld des Zertifikats | Das notafter-Feld für die Anzeige des Endes der Gültigkeit der CRL enthält eine ungültige Zeit. |
| Formatfehler im notbefore Feld des Zertifikats | Das notbefore-Feld für die Anzeige des Beginns der Gültigkeit der CRL enthält eine ungültige Zeit. |
| Keine Unterstützung für Authenticated Encryption (AEAD) Chiffren | Der AEAD-Verschlüsselungsstandard wird empfohlen, da er die Vertraulichkeit (Unlesbarkeit) und Integrität (Unveränderbarkeit) einer Nachricht sicherstellt. |
| Keine Unterstützung für Perfect Forward Secrecy (PFS) | Die Unterstützung von PFS wird empfohlen. Es stellt sicher, dass der jeweils neu ausgehandelte Sitzungsschlüssel nicht aus dem Langzeitschlüssel rekonstruiert werden kann. |
| Keine Unterstützung für Secure Renegotiation | Der Server ist nicht in der Lage, eine sichere Neuaushandlung der SSL/TLS-Verbindung zu initiieren. Eine unsichere Neuaushandlung macht die Verbindung anfällig für Man-in-the-Middle-Angriffe, sodass z.B. bestehende verschlüsselte Sitzungen manipuliert werden können. |
| Kein Zertifikatsaussteller ermittelbar | SSL/TLS-Zertifikate werden von Certificate Authorities herausgegeben, die ermittelbar sein müssen. |
| Lokales Aussteller-Zertifikat nicht verfügbar | Eine SSL/TLS-Verbindung kann nicht hergestellt werden, da der Client das Zertifikat der ausstellenden Zertifizierungsstelle nicht im lokalen Speicher findet. |
| Nicht unterstützter Zertifikatszweck | Ein Zertifikat wird für eine Aufgabe verwendet, für die es nicht signiert wurde. |
| Öffentlicher Schlüssel nicht dekodierbar | Der öffentliche Schlüssel (Public Key) dient dazu, einen sicheren Schlüsselaustausch zu ermöglichen. Er sollte daher dekodierbar sein. |
| Pfadlängenbeschränkung überschritten | Die durch die Zertifizierungsstelle vorgegebene Pfadlängenbeschränkung wurde überschritten. es ist möglich, dass es sich um ein gefälschtes Zertifikat handelt. |
| Schwacher Diffie-Hellman Parameter | Ein schwacher Diffie-Hellman Parameter macht den Schlüsseltausch anfällig für Attacken. |
| Selbstsigniertes Zertifikat | Selbst signierte Zertifikate sind nicht von einer vertrauenswürdigen Zertifikatsstelle validiert und daher nicht zu empfehlen. |
| Selbstsigniertes Zertifikat in der Zertifikatskette | Selbst signierte Zertifikate sind nicht von einer vertrauenswürdigen Zertifikatsstelle validiert und daher nicht zu empfehlen. |
| Ungültige CRL (Certificate Revocation List) | Die verwendete Zertifikatsperrliste ist ungültig. |
| Ungültige CRL (Certificate Revocation List) Signature | Die digitale Signatur der Zertifikatsperrliste kann nicht verifiziert werden. |
| Ungültige Zertifikatssignatur | Die digitale Signatur des SSL/TLS-Zertifikats kann nicht verifiziert werden. |
| Ungültiger Hostname | Das Zertifikat enthält nicht den Hostnamen des Zielsystems. |
| Ungültiges Ablaufdatum des Zertifikats | Das Ablaufdatum des verwendeten Zertifikats ist nicht korrekt. |
| Ungültiges CA-Zertifikat | Das von der Zertifizierungsstelle ausgegebene Zertifikat ist ungültig. |
| Ungültiges Zertifikat | Das verwendete SSL/TLS-Zertifikat ist ungültig und sollte nicht mehr verwendet werden. |
| Unterstützt anonyme Chiffren | Anonyme Chiffren sind unsicher und sollten nicht verwendet werden. |
| Unterstützt client-initiierte SSL/TLS Renegotiation | Clients sollte es nicht erlaubt sein, eine Neuaushandlung der SSL/TLS-Verbindung zu initiieren. Diese Möglichkeit kann ausgenutzt werden, um den Server absichtlich zu überlasten und eine Denial of Service-Attacke (DoS) auszuführen. |
| Unterstützt für Poodle-Attacken anfällige Chiffren | Poodle-Attacken nutzen eine Sicherheitslücke in SSL 3.0, sodass verschlüsselte Informationen einer SSL3.0-Verbindung offen gelegt werden können. |
| Unterstützt gefährdete Chiffren | Chiffren, die unsichere kryptographischer Verfahren beinhalten, sollten nicht angeboten werden. |
| Unterstützt nicht das neueste Protokoll (TLSv1.3) | Das neueste und sicherste Protokoll TLS 1.3 wird nicht unterstützt. |
| Unterstützt Null-Chiffren-Verschlüsselung | Eine Null-Chiffre bedeutet, dass überhaupt keine Verschlüsselung verwendet wird. Dies ist außerhalb von Testzwecken niemals zu empfehlen. |
| Unterstützt RC4 Chiffren | RC4 gilt nicht mehr als ausreichend sicher und sollte daher nicht verwendet werden. |
| Unterstützt schwache SSL/TLS Chiffre (Algorithmus) | SSL/TLS-Chiffren legen fest, mit welchen Verschlüsselungsalgorithmen Schlüssel getauscht werden und wie die Kommunikation abgesichert wird. Werden unsichere SSL/TLS-Chiffren angeboten, ist die hergestellte Verbindung nicht mehr sicher. |
| Unterstützt schwache SSL/TLS Chiffre (Parameter) | SSL/TLS-Chiffren legen fest, mit welchen Verschlüsselungsalgorithmen Schlüssel getauscht werden und wie die Kommunikation abgesichert wird. Werden unsichere SSL/TLS-Chiffren angeboten, ist die hergestellte Verbindung nicht mehr sicher. |
| Unterstützt schwache SSL/TLS Handshake Parameter | Bei der Erstellung und Verifikation von Signaturen während des TLS-Handshakes wird ein unsicherer Signaturalgorithmus und/oder eine unsichere Hash-Funktion verwendet. |
| Unterstützt SSL/TLS Kompression | Von der Verwendung von SSL/TLS-Kompression, einer Funktion zur Reduzierung der Datenmenge vor der Verschlüsselung, wird abgeraten, da sie SSL/TLS angreifbar macht (insbesondere für CRIME, Compression Ratio Info-Leak Made Easy). |
| Verwendet bekannte Diffie-Hellman Primzahl | Die Verwendung einer unsicheren Diffie-Hellman-Primzahl gefährdet die Verschlüsselung. |
| Zertifikat abgelehnt | Das verwendete Zertifikat verursacht Probleme und wird daher abgelehnt. |
| Zertifikat CRL nicht erreichbar | Die Zertifikatsperrliste ist nicht erreichbar, was zu Verbindungsabbrüchen führt. |
| Zertifikat ist nicht vertrauenswürdig | Das verwendete Zertifikat wird als nicht vertrauenswürdig angesehen. |
| Zertifikat widerrufen | Das verwendete Zertifikat wurde widerrufen und sollte nicht mehr verwendet warden. |
| Zertifikatskette zu lang | Die Zertifikatskette ist zu lang und entspricht damit nicht den Vorgaben der Zertifizierungsstelle. |
| Zertifikatssignatur nicht entschlüsselbar | Die Signatur eines Zertifikats ermöglicht es einem Dritten, die Identität des Zertifikatsbesitzers zu bestätigen. Sie sollte daher lesbar sein. |
| Name des Checks | Beschreibung |
|---|---|
| Keine Authentifizierung erforderlich | Telnet ist aufgrund seiner fehlenden Verschlüsselung nicht mehr zeitgemäß und sollte möglichst nicht mehr verwendet werden. Solltest du Telnet dennoch einsetzen, muss in jedem Fall eine Authentifizierungs-Methode genutzt werden. |
| Standardbenutzer mit Adminrechten | Ein Standardbenutzer sollte aus Sicherheitsgründen über keine Administrator-Rechte verfügen. |