JOUO scannt deine Website und zeigt dir auf dem Dashboard an, welche Bereiche deiner Website-Infrastruktur in Bezug auf Sicherheit und Compliance gut sind und welche du prüfen solltest.
Doch nicht alles, was in JOUO als kritisch angezeigt wird, muss zwingend rechtswidrig oder eine Sicherheitslücke sein.
JOUO gibt beispielsweise vor, dass zu den Pflichtseiten (neben Impressum und einer Datenschutzerklärung) eine AGB-Seite gehört. Aber nicht jede Website benötigt AGBst. Das kann JOUO jedoch nicht differenzieren. Wenn JOUO also keine AGB-Seite finden konnte, wird es dir als Warnung anzeigt, dass du überprüfen solltest, ob du sicher keine benötigst.
Aber was, wenn ich nach der Prüfung die Warnung weg haben will?
Nehmen wir an, du hast geprüft, ob du eine AGB-Seite benötigst und kommst zum Entschluss, du bist rechtlich nicht dazu verpflichtet.
Daher kannst du jetzt bestimmte Daten in JOUO ausblenden und manche sogar kommentieren.
Du kannst jetzt neu in deinem JOUO erfassen, dass deine Website keine AGBs benötigt und dann wird es dir nicht mehr als Warnung angezeigt.
Aber das ist nicht alles, JOUO bietet dir neu auch diese Funktionen an:
URLs von Drittanbietern in deiner Datenschutzerklärung
JOUO zeigt dir, welche URLs von Drittanbietern auf der Startseite du in deiner Datenschutzerklärung aufführen solltest. Damit du den Überblick behältst, kannst du jetzt in JOUO abhaken, welche URLs du bereits in deiner Datenschutzerklärung aufgeführt hast.
Offene Ports
JOUO zeigt dir als mögliche Schwachstelle deine offenen Ports an und das ist auch richtig so. Denn offene Ports bringen immer Risiken mit sich – genauso wie nicht abgeschlossene Hintertüren oder Garagentoren. Vor allem wenn ein Port geschwätzig ist – wenn also jemand hinter der offenen Tür steht und Geheimnisse ausplaudert. Doch manche offenen Ports sind berechtigt offen – z.B. sind die Türen eines Büros gerechtfertigt geöffnet, verfügen aber über Sicherheitsmaßnahmen wie bspw. Schlüsselkarten. Aus diesem Grund kannst du jetzt in JOUO jeden offenen Port kommentieren und dabei Gegenmaßnahmen notieren. Diese Rechtfertigung wird dann in deiner Infrastruktur-Dokumentation mit aufgeführt.
False-positive CVEs
JOUO zeigt dir alle CVEs (Common Vulnerabilities and Exposures) an, die es zu deiner Website-Infrastruktur finden kann. Ein CVE ist eine Referenz, eine Art ID-Nummer für öffentlich bekannte Sicherheitslücken. Diese CVEs können auch prophylaktisch gemeldet worden sein: Es kann sein, dass für eine CVE mehrere Bedingungen für eine Sicherheitslücke erfüllt sein müssen.
Beispiel: Die CVE sagt: “Dieses Türschloss-Modell XY kann unter bestimmten Umständen geknackt werden!” Damit es aber tatsächlich geknackt werden kann, müssen ALLE folgenden Bedingungen erfüllt sein:
- Du musst genau dieses Schloss-Modell an deiner Tür haben.
- Deine Tür darf keinen zusätzlichen Riegel haben.
- Die Tür muss aus einem bestimmten Material sein (z.B. Holz, nicht Metall).
Die CVE wird also als Warnung angezeigt. Es kann aber sein, dass sie trotzdem nicht auf dich zutrifft, weil deine Tür nicht aus dem nötigen Material ist oder du zusätzliche Schutzmaßnahmen wie weitere Riegel hast. Dann wird dir diese CVE fälschlicherweise als positiv angezeigt: eine false-positive CVE.
Wenn du bei der Prüfung also feststellst, dass diese CVE aus deiner Sicht kein relevantes Risiko darstellt, weil sie false-positive ist oder du entsprechende Sicherheitsmaßnahmen ergriffen hast, kannst du diese jetzt in JOUO ausblenden und dabei eine Begründung sowie Gegenmaßnahmen dokumentieren.
Diese ausgeblendeten CVEs werden dann nicht mehr in die Anzahl deiner Sicherheitslücken mit eingerechnet, nicht mehr in deiner Infrastruktur-Dokumentation als Schwachstelle aufgelistet und auch keine Empfehlung mehr dafür geben. Sie werden dafür in der Infrastruktur-Dokumentation in einer neuen Sektion gesondert aufgelistet.
Da sich aufgrund von Updates oder Änderungen das Zutreffen der Bedingungen ändern kann, also dass z.B. eine CVE nach einem Update deiner Systeme doch nicht mehr fälschlicherweise positiv ist, sondern tatsächlich positiv ist, wird die CVE automatisch nach drei Monaten wieder als Warnung angezeigt. Du kannst jederzeit den Zeitraum um weitere drei Monate verlängern.
Und alles zum Herunterladen in der Infrastruktur-Dokumentation
Damit du deine Daten auch für Dokumentationszwecke abheften kannst, gibt es die Infrastrukur-Dokumentation: alle JOUO-Daten zu deiner Website aufbereitet als PDF zum Herunterladen. Und auch alle genannten Anpassungen (keine AGB-Seite, Ressourcen und URLs in Datenschutzerklärungen, ausgeblendete CVEs, deine Kommentierungen) werden nun in der Infrastruktur-Dokumentation aufgerührt.