BSI stellt Apache und IIS auf den Kopf

Wie sicher sind die Webserver?

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) hat die Sicherheit der beiden Webserver Apache und Microsofts IIS unter die Lupe genommen. In zwei Studien werden der unterschiedliche Aufbau der konkurrierenden Systeme und deren Vor- und Nachteile untersucht. Die Analysten streben damit allerdings keinen Vergleich der Webserver an, sondern geben lediglich einige Sicherheitshinweise.

Apache ist eine Unix-Anwendung und ist Open Source. Der Web-Server gilt allgemein als stabil und ausgereift. Auch die Variante für Windows sei ab Version 2.0 stabil, heißt es. Allerdings gelte: Die Grundkonfiguration von Apache ist unter Unix sicherer als die auf einem Windows-Betriebssystem.

Durch das offene Betriebsystem sind nur die nötigsten Funktionen standardmäßig enthalten. Weitere Module kann der Anwender je nach Bedarf selbst nachrüsten. Durch dieses Prinzip können zusätzliche Risiken, die jedes einzelne nicht gebrauchte Modul verursachen könnte, leichter ausgeschaltet werden. Der Apache Server stelle die üblichen Sicherheitsfunktionalitäten wie Benutzerauthentifizierung zur Verfügung.

Microsofts Internet Information Server IIS ist dagegen Bestandteil des Windows NT Server 4.0 Option Packs. Als typische Microsoft-Anwendung ist der IIS eng mit den Ressourcen des Betriebssystems verbunden. Deshalb sei eine umfassende und aktuell gehaltene System-Dokumentation besonders wichtig, um im Fehlerfall angemessen reagieren zu können, mahnen die Spezialisten.

Da der IIS nur ein reiner Informationsserver auf http-Basis ist, sei die Gefahr einer Infizierung mit einem Virus relativ gering. Sie steige jedoch bei der Bereitstellung zusätzlicher Dienste und veränderbaren Datenbeständen. Fungiert der Webserver beispielsweise auch als ftp-Server oder ist ein http-Download möglich, müssen die angebotenen Dateien vertrauenswürdig und sicher sein.