IT-Sicherheit ist ein Thema, das derzeit überall diskutiert wird. Ransomware, Trojaner, Phishing, DDoS-Angriffe, Viren und Botnetzwerke sind nur einige Beispiele für Bedrohungen, die dabei eine Rolle spielen.
Websites sind gegen Attacken nicht immun – die Zahlen zeigen: Was im Internet zu finden ist, wird auch angegriffen. Die Deutsche Telekom hat im ersten Halbjahr 2019 eine Versuchsreihe mit 3000 sogenannten „Honeypots“ gemacht – Webservern, die speziell dafür eingerichtet wurden, um externe Angriffe zu messen. Die Honigtöpfe protokollierten an jedem Tag im Durchschnitt 31 Millionen Angriffe, an einem Tag kamen sogar 46 Mio. Attacken zusammen.
Interessant werden diese Zahlen dadurch, dass man sie mit Werten aus dem Jahr 2017 vergleichen kann – von durchschnittlich 4 Millionen Angriffen pro Tag haben die Attacken innerhalb von zwei Jahren um 675% zugenommen.
Website-Security ist deshalb heute wichtiger als jemals zuvor – geben Sie Sicherheitslücken keine Chance und schützen Sie Ihre Systeme durch geeignete Maßnahmen!
Angriffsvektoren
Die Arten und Weisen, wie Websites angegriffen werden können (sog. Angriffsvektoren), sind durchaus vielfältig. Die hohe Zahl an Attacken, die die Telekom-Studie beobachten konnte, kommt vor allem dadurch zustande, dass viele Angriffe heutzutage automatisiert durchgeführt werden. Dabei kommen nicht mehr nur einfache Skripte zum Einsatz, inzwischen gehören komplexe Algorithmen und KI-Anwendungen zum Repertoire der Hacker.
Automatisierte Angriffe auf populäre Plattformen
Automatisierung bringt aber natürlich die besten Erfolge, wenn sie im großen Stil angewandt werden kann. Deshalb sind populäre, weit verbreitete Content Management Systeme wie WordPress auch bevorzugte Ziele.
Hier versuchen Hacker nicht nur, mit „Brute Force“-Angriffen Passwörter zu erraten, auch bekannte Schwachstellen, die es z.B. in nicht aktualisierten Systemen gibt, werden gerne ausgenutzt. Dies betrifft sowohl die Systeme selbst wie auch Plugins und Extensions, die bekannte Einfallstore („Vulnerabilities“) aufweisen, etwa über Cross-Site Scripting (XSS) oder über SQL Injections. Mit geeigneten Tools ist es für Angreifer kein Problem, diese Sicherheitslücken automatisiert aufzuspüren und auszunutzen.
Phishing und Social Engineering
Ein wesentlich aufwändigerer, aber oft erfolgreicher Angriffsvektor ist der Faktor Mensch. „Phishing“ ist ja vor allem aus dem Bereich des Online-Banking als Bedrohung ein Begriff, betrifft aber natürlich auch viele andere Bereiche. Der Begriff beschreibt den Versuch, über (mehr oder minder) täuschend echt nachgemachte Login-Formulare oder durch Vortäuschen anderer Umstände Passwörter und Zugangsberechtigungen abzugreifen.
In komplexeren Konstellationen ist Phishing oft mit „Social Engineering“ verbunden. Hier werden (vorgetäuschte) Beziehungen zwischen Menschen genutzt, um Vertrauen zu gewinnen und so Informationen zu erschleichen. In seiner einfachsten Form kann das bedeuten, dass z.B. Malware-Anhänge (scheinbar) von vertrauten E-Mail-Adressen verschickt und mit einem realistisch und persönlich wirkenden Anschreiben versehen werden. Bei spezifischeren Angriffen kann Social Engineering aber auch so genutzt werden, dass eine bestimmte Zielperson ausgespäht wird, um ihre Interessen und Schwächen für einen Angriff auszunutzen.
Distributed Denial of Service (DDoS)
Eine Website kann Opfer eines „Distributed Denial of Service“-Angriffs (DDoS) werden oder – wenn sie bzw. der Server infiziert wurde – selbst als Teil eines Angriffs genutzt werden. Dabei wird die Website von vielen, zeitgleich erfolgenden Anfragen überschwemmt, die von ganz unterschiedlichen Stellen kommen (daher „distributed“). Hier werden oft Botnetzwerke genutzt. Das primäre Ziel ist es dabei, den Server durch zu viele Anfragen so zu überfordern, dass die Website nicht mehr erreichbar ist.
Folgen eines erfolgreichen Angriffs
Sollte die Attacke auf eine Website gelingen, so gibt es eine Reihe von Folgen, die für die Betreiber dabei entstehen können.
Kosten und Aufwand
Die Beseitigung der Schäden nach einem Angriff verursacht Kosten und Aufwand an Geld und Arbeitskraft. Unter Umständen muss das gesamte System neu aufgesetzt, müssen Server komplett neu eingerichtet werden. Die genaue Ursachenforschung ist dabei ebenso wichtig wie die Wiederherstellung des ursprünglichen Zustands – plus offenbar einiger Verbesserungen.
Die Faustregel ist dabei: Prävention ist immer günstiger als die Aufräumarbeiten im Nachhinein. Vorsicht ist besser als Nachsicht.
Produktivitätsausfall
Eine ausgefallene Website führt nicht nur dazu, dass Arbeitskräfte bei Ihnen und Ihren Dienstleistern gebunden sind. Falls Ihre Website in Ihrer Vertriebsstrategie eine große Rolle spielt – sei es indirekt als Informationsquelle für Ihre Kunden oder direkt bei einem Onlineshop –, kostet jede Downtime Sie natürlich Anfragen oder gar Aufträge und damit Geld.
Je nach Konstellation können mit Ihrer Website aber auch wichtige Firmensysteme, das Intranet oder andere Bereiche der digitalen Infrastruktur betroffen sein. Dass dies der Produktivität Ihres Unternehmens schaden kann, ist offensichtlich – und Vorsorge ist hier besonders wichtig.
Reputationsverlust
Eine womöglich über Tage ausgefallene Website, nicht erreichbare Systeme – das alles kann bei Ihren Kunden (oder potentiellen Kunden) den Eindruck erwecken, Sie seien nicht zuverlässig. Sollte Ihre Website gar genutzt werden, um Malware zu verbreiten (auch dies ist nach Hacks schon vorgekommen), kann sich die Rufschädigung auch ganz technisch als deutlich sinkende SEO-Reputation äußern. Unter Umständen sinken Ihre Rankings dann spürbar ab, ein Schaden, der nur mühsam und langwierig behoben werden kann.
Datenverlust
Zu den durchaus ernsten Problemen bei einem Website-Hack gehört auch ein möglicher Verlust von Daten – wenn also z.B. Informationen einer Datenbank verloren gehen – oder ein Datenleck. Wichtige Firmeninformationen und Kundendaten sollten deshalb auf keinen Fall direkt über die Website zugänglich sein.
Wenn es den Angreifern gelingt, personenbezogene Informationen von oder über Kunden zu entwenden, muss dies in der Regel nicht nur den betroffenen Personen und Unternehmen, sondern auch den Datenschutzbehörden gemeldet werden.
Sechs Tipps für die Sicherheit Ihrer Website
Natürlich sind bei weitem nicht alle Attacken erfolgreich – und Sie können eine Menge dafür tun, dass es den Hackern möglichst schwer gemacht wird. Wir beschreiben hier wesentliche Tipps dafür, wie Sie Ihre Website vor Angriffen schützen können.
Netzwerke sichern und segmentieren
Zunächst: Natürlich muss die IT-Sicherheit auch in Ihren restlichen Systemen ebenso gewährleistet sein; das fängt mit Virenschutz und Firewalls an, schließt Systemupdates für Arbeitsplatzrechner zwingend ein und hört mit Sichtschutzfolien für Firmenlaptops, die auch außerhalb des Büros genutzt werden, noch lange nicht auf.
Zentral ist vor allem: Segmentieren Sie, wo immer möglich, Ihre Netzwerke in unterschiedliche Bereiche, so dass Schadprogramme sich nicht lateral von einem System ins andere ausbreiten können. Kappen Sie alle Verbindungen, die nicht notwendig sind! So kann auch ein Hacker, der Zugriff auf Ihre Website hat, nicht gleich Daten aus ganz anderen Bereichen abgreifen.
Überprüfen Sie, ob wirklich alle Nutzer, die über Administrations-Rechte verfügen, diese auch wirklich benötigen: Beschränken Sie den Zugriff auf wichtige Systeme und Berechtigungen so weit wie möglich!
Updates, Updates, Updates
Auch für Ihr Content Management System (CMS) gilt: Sicherheitsupdates sind wichtig. Man kann das eigentlich nicht oft genug sagen. Jedes System hat Schwächen, jedes System bekommt Security-Updates – und inzwischen liegen oft nur noch wenige Stunden zwischen dem Bekanntwerden einer Verletzbarkeit und dem Erscheinungstermin eines Skripts, das diese Lücke wenigstens halbautomatisiert ausnutzt.
Alle Möglichkeiten, über die Ihre Systeme direkt übers Web angegriffen werden können, sollten Sie überprüfen. Für Content Management Systeme wie WordPress und TYPO3, die von vielen Unternehmen und Organisationen eingesetzt werden, gilt das in besonderem Maße.
Sie sollten deshalb systematisch dafür sorgen oder sorgen lassen, dass Ihr CMS, Ihr Shopsystem auf dem neuesten Stand ist, idealerweise immer die neueste Version eingespielt wurde. Sicherheitsupdates sollten mit hoher Priorität durchgeführt werden. Es gibt kaum etwas Leichteres als sich vor bekannten und bereits gestopften Sicherheitslücken zu schützen.
Backups, Backups, Backups
Auch das kann man nicht oft genug sagen: Sorgen Sie dafür, dass alle wichtigen Informationen regelmäßig und automatisiert gesichert und idealerweise physisch vom Live-System getrennt aufbewahrt werden – am besten ohne direkte Verbindung zum Internet oder ihrem restlichen Netzwerk.
Sicherheit bedeutet hier: Sie können sicher sein, Ihr System mit allen darin enthaltenen Daten bald wiederherstellen zu können – im Falle eines Hacks schützen Sie sich so vor Datenverlust und langen Ausfallzeiten.
Überprüfen Sie Ihre Backup-Policy und lassen Sie sich beraten, was für Ihre Zwecke eine sinnvolle „regelmäßige“ Sicherungsfrequenz ist und wie die Sicherheitskopien gelagert werden können.
Server absichern
Was für Ihr CMS gilt, sollte natürlich auch für Ihren Server gelten. Wenn Sie nicht selbst über die Expertise verfügen, eigene Server zu betreiben, sollten Sie auf einen professionellen Anbieter zurückgreifen, der Managed Server anbietet – inklusive der notwendigen Absicherungen, nötiger Updates und Backups.
Ein gut betriebener, auf Ihre Bedürfnisse angepasster Managed Server mit entsprechend steuerbaren und skalierbaren Kapazitäten ist zugleich auch ein recht zuverlässiger Schutz vor DDoS-Attacken.
Mitarbeiter schulen
Der Faktor Mensch kann zwar bei Phishing-Angriffen eine gefährliche Schwachstelle sein – aber genau dort sind geschulte Mitarbeiter auch die beste Verteidigungsstrategie. Bringen Sie ihnen bei, Phishing-Versuche zu erkennen und vor allem Sicherheitsstandards einzuhalten. So lassen sich schon viele dieser Angriffe abwehren.
Geschulte Mitarbeiter sind auch deshalb der beste Schutz, weil sie erfolgreiche Angriffe frühzeitig erkennen und so größere Schäden verhindern können.
Passwort-Hygiene
Eine wichtige Maßgabe für Ihre Mitarbeiter wird es sein, Ihre Passwörter in Ordnung zu halten. Das bedeutet nicht, dass Passwörter regelmäßig gewechselt werden müssten – von dieser früher oft beschworenen Maxime ist seit Oktober 2019 auch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) abgekommen.
Wichtig ist stattdessen, dass Ihre Mitarbeiter nur Passwörter nutzen, die mindestens zwei zentrale Kriterien erfüllen:
- Komplex. Das Passwort muss hinreichend komplex und lang sein, so dass es nicht ohne großen Aufwand durch Brute Force-Versuche erraten kann – und darf insbesondere in keiner Wortliste („Lexikon“) vorkommen. Idealerweise besteht ein Passwort aus mehr als zehn Zeichen und enthält sowohl Ziffern und Symbole als auch Klein- und Großbuchstaben.
- Einmalig. Jedes Passwort darf nur einmal genutzt werden, auf keinen Fall darf für mehrere unterschiedliche Dienste die gleiche Kombination von Zugangskennung und Passwort gewählt werden.
Als zusätzliche Maßnahme kann zum Beispiel die Zwei-Faktor-Authentifizierung (2FA) eingesetzt werden, bei der ein Login an einem System noch über ein unabhängiges Gerät (z.B. ein Smartphone) bestätigt werden muss. So schützen Sie Ihre Systeme selbst für den Fall, dass ein Passwort in falsche Hände gerät.
Auf jeden Fall gilt: Ein Passwort, bei dem der Verdacht besteht, dass es kompromittiert wurde, muss gewechselt werden.
Fazit
Auch wenn das Gebiet der IT-Sicherheit natürlich komplex und kaum überschaubar ist, gibt es doch einfache Maßnahmen, mit denen Sie das Risiko deutlich senken können, Ziel einer erfolgreichen Attacke zu werden. Schützen Sie Ihre Website! Sie tragen damit einen wesentlichen Baustein dazu bei, sie Sicherheit Ihrer IT-Systeme insgesamt zu verbessern.
Scheuen Sie sich nicht, die Hilfe von Experten in Anspruch zu nehmen. Entwickeln Sie gemeinsam mit Fachleuten einen klaren Plan, welche Maßnahmen sinnvoll und wichtig sind, priorisieren Sie – und binden Sie Ihre Mitarbeiter mit ein.
