Bedrohungen und Angriffe auf Websites werden unterschätzt
Die letzten Jahre haben sich Angriffe auf IT-Systeme verstärkt. Über E-Mails verbreitete Trojaner, Maleware und Viren werden mittels Firewalls, Antiviren-Software und der Sensibilisierung der Mitarbeiter größtenteils abgewehrt. Eine Studie des BSI von 2011 sieht rund zwei Drittel der Unternehmen gut gegen angriffe gerüstet.
Website genauso sicher, wie die IT?
Doch wie sieht es mit der Absicherung und des Schutzes der Unternehmens-Website aus? Wer ist hierfür verantwortlich? Sorgt die betreuende Agentur für Backups und Updates? Macht das der externe oder interne Administrator? Schulterzucken oder „das könnte der oder der machen“. So ist jedenfalls meine Erfahrung.
Bei KMU’s fehlt die Verantwortlichkeit für Website-Sicherheit
Meine Zielgruppe, die kleinen und Kleinstunternehmen haben den Prozess der Datensicherung ihrer Website im Prinzip nicht organisiert. Meist gibt es ein externes IT-Systemhaus, das sich um Hard- und Softwareschutz kümmert. Die Website wird meist außen vor gelassen, da das in der Regel nicht in ihren Verantwortungsbereich fällt.
Ich sehe mich als betreuender Redakteur und Online-Marketer schon verantwortlich für die Sicherheit der Website. Einfach aus dem Grund weil ich meine Arbeit nicht von weltweit operierenden Hackern zerstört bekommen möchte. Da hängt einfach zu viel an Arbeit und Herzblut dran. Ganz zu schweigen von dem Reputationsverlust bis hin zum Auftragsverlust, der mir droht..
Firmen-Websites werden ständig attackiert
Websites werden täglich von Millionen von Bots (automatisierte Programme) angegriffen. Ständig wird versucht Firmen-Websites zu kapern, um eigene Schadprogramme und/oder neue, dubiose Website-Inhalte einzuspielen.
Hacker nutzen die unterschiedlichsten Verfahren, um sich Zugriff zu verschaffen. Sei es eine Sicherheitslücke, die versucht wird auszunutzen, oder sei es ein Passwortknacker. Der größte Teil der Angriffe wird abgewehrt, da viele Amateure unter den Hackern sind. Doch wenn von 100 Hackern 99 Amateure sind und einer ist ein erfolgreicher Fortgeschrittener, ist der schon zu viel.
CMS ohne Absicherung
Content-Management-Systeme (CMS) sind von Haus aus nicht abgesichert. Zumindest nicht die einfachen Open-Source-Lösungen, wie WordPress, Contao, Joomla! oder ModX. Mal abgesehen davon, dass Redakteure und Administratoren entsprechend sichere Nutzernamen und Passwörter verwenden sollten, muss man als Firmenchef wissen, dass Agenturen in der Regel keine zusätzlichen Sicherheitsmaßnahmen bei dem installierten CMS durchführen.
Auch Hoster werden angefriffen
Ebenso ist es beim Hosting. Die einfache Tarife, die in der Regel für eine KMU-Website ausreichen, bieten keinen expliziten Schutz. Zwar sind die Hoster sicherheitstechnisch UpToDate, doch das nützt wenig, wenn das installierte CMS schon viele Monate oder gar Jahre nicht upgedatet wurde, und nun eine Sicherheitslücke ausgenutzt wird.
Der Hoster schaltet in dem Fall den Webspace ab und informiert den Administrator, dass er das Problem zu beseitigen hat. Erst wenn das Verzeichnis bereinigt ist und der Schadcode beseitigt, ist die Firmen-Website wieder online.
Allerdings sind auch die Hoster nicht davor gefeit, selbst zum Ziel von Angriffen zu werden. Das kommt zwar selten vor, ist jedoch ärgerlich, wenn über Stunden Websites nicht erreichbar sind (siehe Beispiel Mittwald, die mehrfach betroffen waren). Infos zu Ausfällen und Problemen stellt übrigens heise-online zur Verfügung.
CMS: Mehrmalige Updates pro Jahr
Content-Management-Systeme werden laufend weiter entwickelt. WordPress, Joomla! & Co bringen mehrmals im Jahr neue Versionen ihrer Systeme raus. Diese müssen in der Regel manuell installiert werden. Erfahrungsgemäß gehört das Updaten der Systeme nicht zum Standard vieler kleiner Werbe- und Design-Agenturen. Das stelle ich fest, wenn mich Kunden beauftragen, die Website-Pflege für ihr bestehendes Projekt zu übernehmen.
Wenn es WordPress-Websites sind, erledige ich das selbst. Bei aufwendigeren CMS, wie Typo3 oder Joomla! mache ich den Kunden darauf aufmerksam und gebe die Aufgabe an die Agentur weiter. Bei Typo3 sind Update nicht selten mit höheren Kosten verbunden, da die Entwickler innerhalb Ihrer Programmierung eine neue Strategie fahren.
Jedenfalls ist es wichtig, die Systeme mindestens zwei Mal im Jahr zu aktualisieren. Nur so ist eine gute Sicherheit gegeben.
PlugIns als Sicherheitsrisiko
Eines der häufigsten Probleme schaffen Erweiterungen in Content-Management-Systemen. Erweiterungen werden auch Extensions oder PlugIns genannt. Sie dienen dazu zusätzliche Funktionen in einem Webprojekt zur Verfügung zu stellen. Diese PlugIns können ebenso eine Sicherheitsrisiko darstellen, beispielsweise wenn Sie nicht mehr weiter entwickelt werden oder sie selbst für Sicherheitslücken verantwortlich sind. Das gleiche gilt für eingekaufte oder kostenfrei heruntergeladene Designs, auch Themes genannt.
Folgende Punkte unbedingt berücksichtigen
Was sind die wichtigsten Punkte, die für einen hohen Sicherheitsstandard für Ihre Firmen-Website sorgen?
- Starke Passwörter für den Zugang zur Bedienoberfläche verwenden. Eine Kombination aus 12 bis 14 Buchstaben, Zeichen und Zahlen ist schon okay. Nutzen Sie zur Verwaltung Ihrer Zugänge eine Passwortverwaltung, wie beispielsweise Roboform.
- Updates des CMS ein Mal im Quartal einspielen bzw. PlugIns aktualisieren.
- Verschlüsseln Sie Ihre Website mit dem HTTPS-Protokoll, falls noch nicht geschehen. Daten zwischen Webserver und Client des Nutzers können somit nicht mehr abgefangen werden.
- Sichern Sie Ihre Website ein Mal im Quartal, sofern Sie keine Zusatzservices bei Ihrem Hoster gebucht haben.
- Nutzen Sie Security-Tools für Ihr CMS. Bei WordPress gibt es beispielsweise das PlugIn „Wordfence Security„. Für andere CMS sind ebenfalls Sicherheits-PlugIns erhältlich.
Ich empfehle einen Servicevertrag oder eine Vereinbarung zum Update Ihrer Firmen-Website mit Ihrer Agentur zu vereinbaren. Das sollte Ihnen Ihre Online-Präsenz wert sein..
