Hacker werden Sie hassen: 13 Tipps für eine sichere Website

Verzweifelter Hacker - Sichere Website
Verzweifelter Hacker - Sichere Website

In Zeiten von steigender Webkriminalität und gezielten Hackangriffen auf allen Ebenen der Netzwelt wird das Bewusstsein für stabile und abgesicherte Weblösungen stärker. Meist reagieren Unternehmen und Institutionen erst nach dem ersten Anlassfall. Vielfach erfolgt dann das böse Erwachen: sensible Daten werden entwendet, ganze Webseiten gekappt, mit Schadcode gefüttert und für organisierte Kriminalität zweckentfremdet.

Oft fehlt das Wissen und das rechtliche sowie technische Know-How wie man sich schützen- und Webpräsenzen sicherer gestalten kann.
Hannes Gallistl, CEO der W4 Premium Web GmbH (www.wvier.at) zeigt in diesem Beitrag auf, warum die Absicherung der eigenen Webseite wichtig ist und welche Maßnahmen man mit einfachen Mitteln setzen kann.

Viele Website-Redaktionssysteme (CMS) sind als Open Source Lösung kostenlos verfügbar, millionenfach im Einsatz und daher beliebtes Angriffsziel für Hacker. Unsaubere Programmierung in Core-Systemen und Erweiterungen erzeugen eine Unsicherheit, da ordnungsgemäße Qualitäts- und Prüfungsverfahren fehlen.

Hacker nutzen gezielt Sicherheitslücken um Phishing-Seiten einzuschleusen, Datenbank-Zugriff zu erlangen, Viren oder Trojaner zu verbreiten oder den Webserver zum Versand von Spam-Mails und weiteren Hack-Attacken zu missbrauchen.

 

13 Tipps für sichere Websites

  • Prüfen Sie regelmäßig ob für Ihre Software Updates verfügbar sind und spielen Sie diese zeitnah ein. Dadurch können Sicherheitslücken und Systemfehler rasch behoben werden.
  • Für alle gängigen CMS Systeme (zB. TYPO3, Joomla, Wordpress, …) gibt es regelmäßig Updates, welche meist angekündigt werden. Diese finden Sie auf den jeweiligen Produkt-Webseiten. Manche CMS Systeme bieten auch automatisierte Updates an.
  • Achten Sie auch auf Plugin Updates. Module und Funktionen sind oft von Drittanbietern programmiert und haben eigene Update-Zyklen.
  • Setzen Sie nur getestete und sauber programmierte Erweiterungen ein.
  • Wichtig: Erstellen Sie vor den Updates Backups aller Daten, damit im Problemfall die Website rückgespielt werden kann.
  • Optimalerweise updaten Sie Ihr System parallel auf einem Testserver, um den Livebetrieb nicht zu gefährden. Dies sollte bei größeren Webseiten Standard sein. Dazu können Versionierungs-Systeme wie GIT oder SVN nützlich sein.
  • Lesen Sie regelmäßig Foren und Fachmagazine – dort werden in der Regel Sicherheitslücken in Modulen und CMS Systemen bekannt gemacht.
  • Setzen Sie auf etablierte Enterprise CMS Systeme und lassen Sie sich von einer professionellen Agentur zur Auswahl der geeigneten Systeme sowie zur laufenden Wartung Ihrer Webseite beraten.
Wenn Sie ein CMS System zur Bearbeitung Ihrer Webseite im Einsatz haben, ist dieses mit einer Administrator - oder Redakteuroberfläche ausgestattet. Diese ist meist mit einem eigenen Link - auch Backend genannt - erreichbar. zB. www.meinewebsite.at/typo3. CMS Systeme sind weltweit zigtausendfach im Einsatz und verwenden zu 99% den gleichen Backend-Link. Hacker brauchen nicht lange zu überlegen und gelangen ohne allzu große Anstrengung zumindest bis zu dieser Eingangstür. Bereits an dieser Stelle können viele Login-Hacks vermieden werden:
  • Erstellen Sie einen Zugriffsschutz für den Administrationsbereich via .htaccess (Verzeichnisschutz)
  • Begrenzen Sie die Zugriffsversuche auf Ihre Wartungsoberfläche
  • Ändern Sie den Link zum Backend (zB. /redaktion anstatt /typo3). Damit schicken Sie schon viele Angreifer ins Niemandsland. Eine andere Möglichkeit wäre die Login Seite mit einem Passwort-Schutz zu versehen.
  • Wenn Sie mutig sind, leiten Sie die bisherigen Admin-Aufrufe direkt zur offiziellen FBI Website um. Sie werden sehen, dass sich diese Angreifer so schnell nicht mehr blicken lassen 😉
Passwort-Security ist ein vielbeschriebenes Thema. Mittlerweile ist die Aufklärung zu sicheren, komplexen Passwörtern eine Selbstverständlichkeit. Leider sieht es in der Praxis anders aus: Um sich Passwörter einfach merken zu können werden noch immer zu simple und leicht zu knackende Passwörter verwendet. Hier nochmals zur Auffrischung:
  • Passwörter sollten mindestens 8-12 Zeichen oder mehr haben.
  • Speichern Sie Passwörter nie in offenen Dateien auf Ihrem PC. Verwahren Sie Passwörter in Ihrem Safe oder noch besser: Merken Sie es sich auswändig.
  • Ändern Sie Ihre Passwörter regelmäßig
  • Verwenden Sie unterschiedliche Passwörter für Ihre zahlreichen Zugänge
  • Kleben Sie Ihr Passwort nicht klassisch auf den Bildschirm oder in einem offen zugänglichen Ordner in Ihrem Büro
  • Verschlüsseln Sie Ihr Passwort, sofern Sie es auf Ihrem Rechner speichern möchten.
  • Verwenden Sie Zahlen, Sonderzeichen, Klein- und Großbuchstaben
  • Vermeiden Sie persönliche Ausdrücke wie die Namen Ihrer Kinder oder Wörter die auch im Duden zu finden sind.
  • Verwenden Sie gerne einen Passwortgenerator zur Generierung eines sicheren Passworts
  • Vermeiden Sie Benutzernamen wie "admin". Diese sind bei den meisten Systemen standardmäßig angelegt und so ein Angriffspunkt für Hacker.
  • Nutzen Sie empfohlene Passwort-Verwaltungstools
  • Geben Sie persönliche Passwörter nicht an Dritte weiter
  • Versenden Sie Passwörter niemals per Email oder WhatsApp. Noch schlechter: gemeinsam mit dem Benutzernamen
"Herkömmliche" Webseiten verwenden in der Adresszeile vor der Domain die Bezeichnung "http://". Das ist Ihnen natürlich bekannt. Manche Webseiten verwenden jedoch "https". Das zusätzliche "s" steht für "secure" und deutet auf eine geschützte Webseite hin. Das Zauberwort heißt SSL (Secure Socket Layer) und ist ein Netzwerkprotokoll zur sicheren Übertragung von Daten vom Webserver zu Ihrem PC. Webseiten sollten mit SSL verschlüsselt sein, und mit einem höheren Sicherheitsstandard ausgestattet werden.
  • Es gibt verschiedene Produkte (SSL Zertifikate) - diese variieren je nach Hoster und unterscheiden sich in vielen Details und Sicherheits-Stufen. Unbefugten wird somit das mitschnüffeln von ausgetauschten Daten erschwert oder verweigert.
  • Besonders bei der Übertragung von sensiblen Informationen wie Passwörtern, Persönliche Daten in Formularen oder Bankdaten können Sie so die Privatsphäre Ihrer Besucher schützen.
  • Positiv daran ist auch, dass mit SSL ausgestattete Seiten mit einem Hinweis auf eine "sichere Webseite", mit einem Logo des SSL Anbieters oder mit vertrauenswürdiger, grüner Farbe im Adressbereich ausgestattet sind.
  • Darüber hinaus hat SSL auch einen Suchmaschinen-technischen Aspekt: Seiten die mit SSL ausgestattet sind erfreuen sich über eine positive Auswirkung in den Google Suchrankings.
  • Die Aktivierung von SSL muss bei Ihrem Hosting-Provider beauftragt werden und verursacht jährliche Kosten.
  • Darüber hinaus muss auch Ihre Website-Technologie SSL-fähig sein
  • Eine mit SSL abgesicherte Webseite erweckt Vertrauen bei Besuchern.
  • Das Risiko von Datendiebstahl und -missbrauch wird vermindert
Formulare stellen einen begehrten Angriffspunkt auf Ihre Webseite dar, daher ist auf die Absicherung von Web-Formularen ein besonderes Augenmerk zu legen. Kontaktformulare, Anfrageformulare, Buchungsformulare und Gästebücher (wer hat sowas noch?) können ein Sicherheitsrisiko darstellen.
  • Spam-Anfragen: Oft versuchen Spam-Roboter, Formulare mit automatisierten Werbebotschaften zu belegen und abzusenden. So kann es passieren, dass Sie zahlreiche Spam-Mails von Ihren Anfrageformularen im Posteingang haben.
  • Eine einfache Möglichkeit zur Verhinderung dieser Spamanfragen ist der Einsatz von sogenannten Captchas. Dies sind nur von Menschen lesbare Aufgaben, welche vor dem senden beantwortet werden müssen. Diese Tests stellen für Menschen kein Problem dar, sind für Roboter jedoch schwer zu bewältigen.
  • Eine weitere Möglichkeit ist der Einsatz von sogenannten Timestamps. Diese verzögern die Aktivierung des Sende-Buttons um mehrere Sekunden. Spam-Roboter brauchen für Formular-Befüllung und Absendung in der Regel weniger als 1 Sekunde und sind so nicht in der Lage, das Formular abzusenden.

SQL Injection - Datenbank-Hack über Web-Formulare

Datenbanken enthalten meist wertvolle Informationen und zählen damit zu den beliebtesten Angriffszielen. Bei einer so genannten SQL-Injection überlistet der Hacker Sicherheitslücken in Formular-Feldern, welche durch die Nicht-Prüfung und ungefilterte Einspielung von Formular-Werten entstehen kann.

Verzichtet man auf entsprechende Vorsichtsmaßnahmen, öffnet man Angreifern umfangreiche Möglichkeiten zur Manipulation der Datenbank bis hin zur Erstellung von Zugangsdaten zum kompletten Wartungssystem. Damit hat der Hacker Hoheit über Ihre Webseite.

Jede Webseite braucht einen Server durch den sie weltweit erreichbar ist. Die Sicherheit Ihres Server-Platzes ist eine der wichtigsten Aspekte um Hackangriffe zu vermeiden, aber auch um einen Ausfall der Webseite durch unerwartete Ereignisse zu vermeiden. Das passende Hosting-Paket richtet sich nach Größe und Einsatzbereich Ihres Webauftritts. Generell sollten Sie aber auf einen verlässlichen und guten Hosting-Partner setzen.
  • Achten Sie bei der Wahl Ihres Hosting-Anbieters auf Sicherheitsstandards wie etwa geografisch getrennte Daten-Zentren, Videoüberwachung, Sicherheitsschleusen, Stromversorgung (USV), Kühlsystem, Brandfrüherkennungssystem, redundante Rechenzentrums-Anbindung, Guter Support-Level für Notfälle und Anlässe, moderne Hardware, Einsatz von hochwertigen Firewalls, automatischer DDoS-Schutz, RAID-x Festplattenabsicherung, usw.

Webserver-Sicherheitsmaßnahmen

  • Optimieren Sie die Rechtevergabe für Ihre Dateien und Verzeichnisse: Die Datei- und Verzeichnisrechte Ihrer Website-Daten müssen mit möglichst restriktiven Datei-Rechten ausgestattet sein um einen Fremdzugriff zu verhindern. Dies kann meist über die Verwaltungs-Oberfläche des Providers, über ein FTP Programm oder über einen sogenannten SSH Zugang erfolgen.
  • Unterbinden Sie die Ausführung von Scripts in bestimmten Verzeichnissen
  • Sie sollten das Rootverzeichnis und Unterverzeichnisse so absichern, dass diese nicht durchsucht werden können.
  • Nicht benutze Apache-Module deaktivieren
  • Laufende Server-Softwareupdates durchführen (lassen) und kontrollieren
  • Verwendung von SFTP als Filezugriffs-Tool.
  • Verwendung von sicheren Passwörtern und laufende Änderung dieser
  • 24/7 Monitoring der Systeme mit automatischen Benachrichtigungen bei Auffälligkeiten
  • usw.
Die Erstellung einer Website ist oft aufwändig und mit viel Arbeit verbunden - es wäre schade wenn plötzlich alles weg wäre. Daher lohnt es sich über eine geeignete Backup-Strategie nachzudenken und von Zeit zu Zeit zu überprüfen, ob die Sicherungen im Notfall auch rückspielbar sind. Wie oft im Leben kümmert man sich erst im negativen Anlassfall um das Thema Backups und Datensicherung. Besser wäre, schon zum Onlinegang ein vernünftiges und regelmäßiges Backupsystem zu wählen und einzuführen.
  • Grundsätzlich sollten Hoster tägliche Datensicherungen anlegen und diese zumindest eine gewisse Zeitspanne lang archivieren.
  • Von Zeit zu Zeit empfiehlt es sich, Datensicherungen auch lokal zu sichern und entsprechend zu archivieren.
  • Eine Webseite besteht meist aus 2 Teilen: Daten (Systemfiles, Bilder, usw.) und Datenbank (in dieser sind Informationen über die Website gespeichert). Diese beiden Bestandteile müssen gesichert werden um die komplette Website reproduzieren zu können.
  • Meist stellt der Hoster Tools zur Sicherung der Daten zur Verfügung. Zur Sicherung von MySQL Datenbanken gibt es zudem gute Software als Freeware.
  • Einige CMS Systeme stellen auch Plugins für die Datensicherung zur Verfügung
  • Auf jeden Fall sollte man von Zeit zu Zeit ausprobieren, ob sich die Backups etwa auf einem Testserver wiederherstellen lassen. Im schlimmsten Fall haben Sie zwar Backups, diese könnten aber fehlerhaft und unreparabel sein.
 
Es gibt viele Möglichkeiten, Websites zu schützen. Aber selbst die ausgeklügeltsten Maßnahmen können keine 100%ige Sicherheit vor einem Hackangriff bieten.

Oft merken Websitebetreiber gar nicht oder erst zu spät, dass Ihre Webseite gehackt wurde. Aus diesem Grund sollte man regelmäßig Security- und Sicherheits-Checks durchführen. Im Web gibt es eine ganze Reihe an Tools mit denen Sie Ihren Webauftritt - teils kostenlos - prüfen können.

Wenn Sie auf Nummer Sicher gehen möchten, empfiehlt es sich, einen Profi heranzuziehen. Im Netzwerk des Vereins für Datenschutz und IT Security finden Sie Experten für Pennetrationstests, Server-Sicherheit und Website-Security.
Unter Cross-Site-Scripting versteht man das Nutzen von Sicherheits-Lücken in Webapplikationen. Schädliche Programme (Skripte) werden dabei ins System eingeschleust um anschließend die Systemumgebung der Nutzer anzugreifen. Das können harmlose Werbepopups sein, jedoch können solche Scripte auch vertrauliche Informationen erlangen oder Zugriff auf den Computer des Geschädigten.

Die Folgen sind nicht zu unterschätzen: Sie riskieren den Verlust Ihrer Daten oder werden quasi als Mittäter missbraucht. Sie sind für Ihre Daten und deren Sicherheit selbst verantwortlich. Daher sollten Website-Betreiber unbedingt Maßnahmen einleiten, um Cross-Site-Scripting zu verhindern.

Die Problemstellungen und Möglichkeiten zur Absicherung sind vielfältig.

Cross-Site-Scripting betrifft vor allem aber auch die lokalen Web-Browser: Etwa das Ausschalten der Javascript Unterstützung im Browser, Abschaltung von Active Scripting oder Browser-Plugins zur Unterbindung von Cross-Site-Scripting sind effektive Lösungsansätze auf dieser Ebene.

Fremden Links sollten Sie deshalb generell nicht blind vertrauen und vor dem Folgen gründlich prüfen. Meist ist Cross-Site-Scripting nur der Einstiegs-Schritt für breit angelegte Angriffe.
Das einbetten von fremden Inhalten, etwa via JavaScript oder iFrame, ist oft gefordert oder notwendig. Diese Einbindungen können jedoch auch mit Risiko verbunden sein.

Einerseits verlieren Sie dadurch die Kontrolle über Ihre Inhalte, andererseits können dadurch auch ungewünschte Codes eingespielt werden und so Ihre Webseite missbrauchen.

Binden Sie somit Fremd-Inhalte nur ein, wenn Sie den Anbieter kennen und vollstes Vertrauen haben. Dies betrifft auch Einbindung von Analyse-Tools wie Google Analytics.
Auch Datenschutz und entsprechende Datenschutzerklärungen tragen zur Sicherheit Ihrer Website bei. Rechtliche Sicherheit, Informationen legal zu verarbeiten sind ebenso wichtig wie technische Sicherheit, Datenklau zu vermeiden.

Wenn Sie auf Ihrer Webseite ein Gewinnspiel betreiben, ein Anfrageformular bereitstellen, eine Newsletteranmeldung zur Verfügung stellen oder einen Registrierungsprozess anbieten, dann verarbeiten Sie Nutzerdaten. Aber nicht nur dann - ein großer Teil aller Webseiten verwendet sogenannte Cookies um Besucherverhalten zu analysieren. Auch IP Adresse und Verweildauer usw. werden in der Regel gespeichert.

Jede Website welche personenbezogene Daten verarbeitet benötigt eine wasserdichte Datenschutz-Erklärung um einer Abmahnung zu entgehen.

Ziehen Sie im Zweifelsfall Experten zu Rate. Im Verein für Datenschutz und IT Sicherheit finden Sie spezialisierte Rechtsanwälte zum Thema Datenschutz im Web.
Wenn Ihre Seite plötzlich offline ist, fremde Inhalte (meist mit einer Botschaft versehen) ausgibt oder Ihr Provider Sie auf einen Hackangriff aufmerksam macht, dann sollten Sie schnell handeln. Ansonsten riskieren Sie dass Ihre Webseite gesperrt wird und mittelfristig auch aus dem Suchindex fällt.
  • Der erste Schritt ist Schadensbegrenzung. Wenn Sie Opfer eines Hackerangriffs wurden nehmen Sie am besten die Seite kurzfristig aus dem Netz.
  • Ändern Sie alle CMS, FTP und Systemzugriffs-Passwörter, damit der Angreifer keinen direkten Zugang zu Ihren Daten mehr hat (sofern er sich diesen nicht anderweitig gesichert hat).
  • Versuchen Sie, die Sicherheitslücke durch die der Hacker eingedrungen ist, auszumachen und zu schließen.
  • Sollte kein Backup vorhanden sein, prüfen Sie alle Dateien und entfernen Sie schadhaften Code.
  • Prüfen Sie alle Datei- und Verzeichnisrechte auf Ihrem Server.
  • Halten Sie Rücksprache mit Ihrem Hosting-Provider und legen Sie weitere Maßnahmen fest.
Um eine Website sicher betreiben zu können und den immer häufiger werdenden Hackangriffen Stand zu halten, bedarf es viel an Know-How und Ressourcen-Einsatz. Die Aspekte einer sicheren Website sind vielseitig und werden immer umfangreicher. In den oben genannten Tipps finden Sie einen Einblick in die Grundlagen der Website-Absicherung. Einzelne Webmaster stoßen hier oft an Ihre Grenzen - für Spezialthemen und sensible Websites macht es daher Sinn, kompetente Spezialisten heranzuziehen. Im Verein für Datenschutz und IT-Sicherheit finden Sie alle Spezialisten gebündelt in einem gemeinsamen Netzwerk. Fragen Sie uns einfach - wir unterstützen Sie gerne.

 

Die beschriebenen Tipps und Maßnahmen sind einzelne, grundlegende Aspekte und keine vollständige Anleitung für Website-Security. Die Anforderungen sind je nach Projekt/Website unterschiedlich und müssen im Einzelfall evaluiert werden.

Sind Sie der Überzeugung Ihre Website ist genügend geschützt? Wenn nicht sollten Sie den einen oder anderen Tipp konkret umsetzen oder Ihre Webagentur beauftragen. Erkundigen Sie sich welche Sicherheitsvorkehrungen schon getroffen wurden und welche Maßnahmen zusätzlich sinnvoll sind.

Ihre Website ist Ihr Aushängeschild – lassen Sie sie nicht im Stich!

 

Autor:
Hannes Gallistl | W4 Premium Web GmbH (Die Webviertler)
Leonfeldner Straße 328 | 4040 Linz
gallistl@wvier.at | www.wvier.at