Auch die Website eines Unternehmens gilt als Risikofaktor in der Cybersicherheit. Aus diesem Grund empfehlen wir Unternehmen, eine Content Security Policy (CSP) nach einer Live-Schaltung umzusetzen und diese stetig aktualisieren zu lassen.
1. Was ist Content Security?
Moderne Webseiten benötigten bzw. beinhalten verschiedene mediale Inhalte (Bilder, Videos, PDF, etc.) und funktionale Ressourcen (Skripte, Stylesheets etc.) Zusätzlich werden oft Dienste von Dritten eingebunden (Maps, Captchas, Videos, iFrames etc.). Damit öffnen sich sicherheitstechnisch allerdings auch potenzielle Einfallstore.
2. Warum braucht es eine Policy?
Um diese Gefahren zu minimieren, kann mithilfe einer Content Security Policy (CSP) genau definiert werden, welche Dateien eingebunden – und dann für Besuchende geladen – werden dürfen. Je nach Fall wird explizit nur eine Ressource freigegeben oder es können Regeln erstellt werden, von wo Inhalte eingebunden werden dürfen. Dies muss allerdings für jeden Webauftritt individuell erarbeitet werden, da je nach Website ganz unterschiedliche Inhalte eingebunden sind.
3. Wie erfolgt die Umsetzung in Hubspot?
Ab Hubspot Starter Lizenz lassen sich in den Domain-Sicherheitseinstellungen 2 Optionen aktivieren:
- Content-Security-Policy
- Content-Security-Policy-Report-Only
Diese benötigen zusätzliche Direktive und können mit zusätzlichen Einstellungen (nonce) erweitert werden. Ohne jetzt zu sehr ins Detail zu gehen, muss die jeweilige Website also geprüft werden auf alle eingebundenen Ressourcen und diese müssen als Direktive freigegeben werden. Neben den Hubspot-relevanten Ressourcen betrifft dies auch sämtliche zusätzliche externe Ressourcen von Google usw. Dieser Vorgang ist je nach Umfang der Website mehr oder weniger aufwendig.
4. Welchen Aufwand generieren die Umsetzungen?
Die CSP muss pro Projekt und Kunde einzeln geprüft und erstellt werden, da unterschiedliche Ressourcen eingebunden wurden. Je umfangreicher die Seite ist, desto (tendenziell) zeitaufwändiger wird es, die Content Security Policy zu definieren.
In einem ersten Schritt wird die «Report-Only» Funktion genutzt, dann wird nur jeweils ausgegeben, welche Inhalte nicht der CSP-Richtlinie entsprechen, aber ohne, dass die Inhalte tatsächlich blockiert werden. Dies kann dann ein paar Tage überwacht werden um festzustellen, welche Domains noch in der Direktive ergänzt werden müssen.
Danach wird die Direktive scharf gestellt und es muss periodisch überprüft werden, ob und welche Domains noch blockiert werden.
5. Gibt es Abhängigkeiten, Einschränkungen und Folgen?
Die grösste Abhängigkeit ist Hubspot, da sämtliche medialen Inhalte und Ressourcen von ihrem CDN gehostet werden. Diese CDN-Domains haben teilweise über die Zeit gewechselt. Wenn Inhalte von externen Diensten eingebunden werden (prominentes Beispiel: ein Video von YouTube) entstehen dadurch neue Abgängigkeiten.
Bei Hubspot ist es schon öfter vorgekommen, dass die CDN-Domains gewechselt haben, nicht nur neue Subdomains, sondern teilweise auch komplett neue Domains. Daher muss regelmässig geprüft werden, ob nicht eine dieser neuen Domains blockiert wird. Dies betrifft aber nicht nur Hubspot, auch bei anderen externen Diensten (iFrame, Videos, etc.) kann es Anpassungen geben, welche dann eine Anpassung / Ergänzung der CSP zur Folge haben.
All diese Abhängigkeiten und Folgen werden im Rahmen der periodischen Überprüfung behoben.
6. Wer muss die Umsetzung durchführen?
Die Umsetzung muss durch unsere Programmierenden erfolgen, da nur diese wirklich verstehen und abschätzen können welche Ressourcen als Direktive gesetzt werden müssen.
7. Wann ist der Optimale Zeitpunkt für die Umsetzung, bei einer neuen Website?
Da es sich um eine sicherheitsrelevante Massnahme für Besuchende handelt, ist der optimale Zeitpunkt quasi ASAP nach dem Livegang. Durch die eventuell sehr aufwendige Vorbereitung (je nach Umfang) und möglichen geplanten Änderungen/Erweiterungen der Website sollte der Zeitpunkt so gewählt werden, dass nicht kurz nach Umsetzung grössere Änderungen anstehen. Bei grösseren Änderungen muss diese CSP dann nämlich jedes Mal geprüft und korrigiert bzw. ergänzt werden.
8. Wo finde ich weiterführende Informationen zum Thema?
SSL und Domain-Sicherheit in HubSpot
Content-Security-Policy - HTTP | MDN (mozilla.org)
https://rapidsec.com/csp-packages/hubspot
https://infosec.mozilla.org/guidelines/web_security#content-security-policy