Cybersecurity Hands On
Eine Webseite, ein Webserver, ist immer exponiert und Angriffen ausgesetzt. Gerade Webseiten mit wenig Verkehr sind ein beliebtes Ziel für Angriffe. Diese Webseiten gehören meistens kleinen Unternehmen, die weniger in Sicherheitsmaßnahmen investieren (können). Die Bedrohung gegenüber kleinen Unternehmen ist bei weitem größer, als bei großen Unternehmen. Die Bedrohung ist real und sollte nicht ignoriert werden.
Reale Gefahren für ein ungeschütztes System
Ein Cyberkrimineller kann mit einem unzureichend geschütztem System folgendes anstellen. Die Liste ist sicher nicht vollständig und bezieht sich auf generelle Risiken, die bei allen zutreffen.
- Die Seite kann in „Geiselhaft“ genommen werden – Webseite ist nicht mehr verfügbar – und gegen ein Lösegeld wieder aktiv geschalten werden.
- Aus der Datenbank können Kontakte von Kunden und möglichen Kunden absaugt werden.
- Die Seite kann verunstaltet und auf ihr können unpassende Bilder, Links und/ oder Text platziert werden.
- Besucher der Seite können mit Schadcode infiziert werden, wenn er durch den Angreifer hinterlegt wird.
- Den Email Server kann verwendet werden, um über diesen unaufgeforderte Mails, Spam, zu versenden.
- Verbotene, meist auch illegale, Inhalte können über den Webserver der Allgemeinheit angeboten werden.
Als Eigentümer, oder Verantwortlicher, ist es wichtig diese Gefahren zu erkennen und zu wissen, wie man diesen Risiken begegnen kann. Nicht nur die eigentliche Gefahr aus einer Kompromittierung richtet Schaden an, sondern auch der Reputationsverlust gegenüber Kunden und Besuchern. Besucher der Webseite bringen den Auftritt nur mit dem offiziellen Verantwortlichen in Verbindung.
Die meisten Angriffe erfolgen automatisiert. Der Angreifer und das Opfer, Webseitenbetreiber, stehen in der Regel in keiner persönlichen Beziehung. Die Angriffe erfolgen über Skripts, oder Bots, die das Internet nach möglichen Opfern absuchen und sich gegebenenfalls einnisten, verteilen und Schaden anrichten.
Grundmaßnahmen zum Schutz der eigenen Webseite
- Halten sie die Betriebsplattform und die Webseite so aktuell wie möglich.
Nicht nur das Betriebssystem alleine, sondern vor allem Skripte, wie sie öfter Verwendung finden sind ein beliebtes Angriffsziel. Content Management Systeme (vgl.: CMS), wie Typo3, WordPress, etc. verwenden diese. - Setzen sie auf verschlüsselte Kommunikation (SSL)
Um sicherzustellen, dass die Information, die sie anbieten auch unverfälscht beim Empfänger ankommt bietet sich der Einsatz von SSL Zertifikaten an. Der Einsatz von Zertifikaten für verschlüsselte Kommunikation bringt gegenüber Suchmaschinen und vor allem bei Kunden Vorteile. Nicht nur, dass die Seriosität des eigenen Internetangebots durch die Verwendung von Zertifikaten unterstrichen wird, sondern vor allem, dass der Browser der Kunden den Zugriff weder blockiert, noch vor einem Zugriff warnt, weil die Verbindung unverschlüsselt ist. (Anm.: Kommt bei unverschlüsselter Kommunikation durchaus vor) Wie auch die Bewertung, Ranking, durch Suchmaschinenbetreiber besser ist, als für eine unverschlüsselte Seite. - Sichern Sie Formulare und Upload Möglichkeiten ab
Wenn Sie die Interaktion mit der Seite fördern wollen durch Formulare, Uploads etc. dann muss auch die Information hier auf möglichen Schadcode gefiltert werden. - Verwenden Sie eine Web Application Firewall (OSI Layer 7 Firewall)
Diese Art von Firewall soll die Integrität der Anwendung, wie das CMS, vor unberechtigtem Zugriff schützen. Hierzu werden zum Beispiel Ausdrücke gefiltert, wie auch Abfragen an die dahinterliegende Datenbank auf Zulässigkeit geprüft. - Verwenden Sie starke Passwörter
Vor allem verwenden sie eine mehrschichtige Authentifizierung, wie sie heute möglich und üblich ist. Diese Methoden sind unter MFA, oder auch 2FA, bekannt. FIDO2 stellt hier eine neue benutzerfreundliche Möglichkeit dar. - Schränken Sie die Berechtigungen ein
Setzen Sie die Berechtigung für Zugriff und Ausführung für das Dateisystem und die Datenbank möglichst rigid ein. - Ersetzen Sie individuelle Fehlermeldungen durch eine Standardmeldung
Vor allem soll damit vorgebeugt werden, dass damit Informationen erraten, oder durchprobiert, werden. Es ist nicht notwendig darauf hinzuweisen, ob es den Benutzernamen gibt, oder ob das Passwort falsch ist – eine zusammenfassende Meldung reicht. Bei einem Zurücksetzen des Passworts reicht der Hinweis, dass der Zugangscode an die hinterlegte Adresse verschickt wird und nicht wie auch diese konkret lautet.
Allgemein gilt unabhängig davon, dass es sich empfiehlt in regelmäßigen Abständen eine Sicherung der Webseite anfertigen. Nutzen Sie das Wissen von professionellen Webseitenentwicklern auch bei der Auswahl eines Webseitenbetreibers, Hosters. Testen sie Ihre Seite auf Schwachstellen, oder lassen sie diese auf Schwachstellen regelmäßig testen.