Cyber­schutz - Tipps für eine sichere Web­site

Leicht­sin­nig­keit bei Cyber-Hygiene und Web­site-Sicher­heit hat weit­rei­chende Fol­gen. Mit über 60% Mar­k­an­teil ist z.B. Word­Press, eine kos­ten­lose Open-Source-Soft­ware, das belieb­teste CMS, ein Bau­kas­ten-Sys­tem, für Home­pages und Shops. Genau wie mit der gro­ßen Beliebt­heit ver­hält es sich mit der extre­men Attrak­ti­vi­tät für Cyber­an­griffe. Wie schlimm sind die Aus­wir­kun­gen mani­pu­lier­ter Web­sites wirk­lich und wie kann man sich davor schüt­zen?

SCHLECHT BERA­TEN: WEB­SITE-BETREI­BER WIE­GEN SICH IN FAL­SCHER SICHER­HEIT

Vie­len Wochen hat es gedau­ert: Kunde und Agen­tur sind nach einem lan­gen Weg von der Kon­zep­tion, Design bis zur tech­ni­scher Ent­wick­lung end­lich dem Ziel greif­bar nahe. Es fol­gen letzte Tests, dann end­lich eine Abnahme und damit der Live-Gang der Web­sites. Alle sind happy, bedan­ken sich für die pro­duk­tive Zusam­men­ar­beit und stür­zen sich in neue Pro­jekte… So oder ähn­lich scheint es bei vie­len Web­pro­jek­ten zuzu­ge­hen.

„Sichere Web-Ser­ver sind kein Cyber­schutz.“

Da viele Auf­trag­ge­ber tech­nisch nicht in der Lage sind, die Sicher­heits­aspekte Ihrer Web­site rich­tig zu beur­tei­len, gehen sie oft blau­äu­gig davon aus, dass die Web­site zum Zeit­punkt der Abgabe und mit dem gebuch­ten Hos­ting-Paket schon sicher sein wird. Lei­der bleibt häu­fig eine trans­pa­rente Bera­tung der Ent­wick­ler­agen­tur zum Thema Cyber­si­cher­heit aus und so bewegt sich der neue Online-Auf­tritt in die greif­bare Nähe eines Desas­ters.

DIE URSA­CHEN FÜR ERFOLG­REI­CHE ANGRIFFE AUF WEB­SITES

Wir ken­nen Updates zu Genüge aus unse­rem Smart­phone-, App- und Abo-All­tag. Immer wie­der aktua­li­sie­ren sich bei uns Betriebs­sys­teme, Cloud-Soft­ware oder Brow­ser. WARUM ABER SIND DIE URSA­CHEN IN ÜBER 50% ALLER GEHACK­TEN WEB­SITES VER­AL­TETE SYS­TEME, THE­MES ODER PLUG-INS? Ein Grund liegt am man­geln­den Sicher­heits­be­wusst­sein der Betrei­ber, das von Hos­ter und Ent­wick­ler mehr schlecht als recht auf­ge­baut wird und zum ande­ren am Prin­zip der Selbst­ver­ant­wort­lich­keit, die von sol­cher Art der Sys­teme kul­ti­viert wird. Denn jeder Web­site-Betrei­ber kann und soll nach eige­nem Ermes­sen selbst dar­über bestim­men, wann und wie er CMS-Sys­teme auf dem Lau­fen­den hält. Auch wenn diese Frei­heit für Ent­wick­ler und Betrei­ber von Web­sei­ten Vor­teile hat, so ist sie in Bezug auf Cyber­si­cher­heit eine echte Lücke.

„Die Kette ist so stark wie ihr schwächs­tes Glied.“

DIE ZWEITE GROSSE SICHER­HEITS­LÜ­CKE SIND SCHLECHT GESI­CHERTE BENUT­ZER­KON­TEN UND ZUGÄNGE. Jede Web­site ver­wal­tet unter­schied­li­che Nut­zer und Pass­wör­ter. Das kön­nen die Ver­wal­tungs­ober­flä­che (Backend), die Daten­bank, Lizen­zen oder Kon­fi­gu­ra­ti­ons­da­teien der Web­site sein. Simple Pass­wör­ter erhö­hen den Erfolg von BRUTE FORCE Atta­cken, deren Ziel es ist, das Pass­wort sprich­wört­lich mit der Brech­stange zu kna­cken. Mit Auto­ma­ti­sie­rungs­tools wer­den zig­tau­sende Kom­bi­na­tio­nen und Rei­hen aus­pro­biert und erra­ten, um an die rich­ti­gen Pass­wör­ter zu kom­men. Dass die Ver­suchs­er­folge bei Pass­wör­tern wie „ADMIN123“ sich schnell ein­stel­len, leuch­tet jedem ein. Ein zusätz­li­cher Schutz, selbst wenn ein Pass­wort gelea­ked oder geknackt wurde, ist eine Akti­vie­rung einer 2FA (ZWEI-FAK­TOR-AUTHEN­TI­FI­ZIE­RUNG), die nach Pass­wort­ein­gabe eine zweite Authen­ti­fi­zie­rung via Num­mern­schlüs­sel auf dem z.B. legi­ti­mier­tem Nut­zer-Smart­phone abfragt.
96 %

Anteil gehak­ter Web­sites mit Word­Press ¹

50,58 %

Ver­al­te­tes CMS ¹

36 %

Unsi­chere Plug-Ins ¹

8 %

Geknackte Pass­wör­ter ²

96 %

Anteil gehak­ter Web­sites mit Word­Press ¹

50,58 %

CMS ¹

36 %

Plug-Ins ¹

8 %

Pass­wör­ter ²

Die Beliebt­heit von Word­Press ver­hält sich pro­por­tio­nal zu den Cyber­at­ta­cken, die am erfolg­reichs­ten durch ver­al­tete Instal­la­tio­nen sind - gefolgt von unsi­che­ren Plug-Ins und geknack­ten Pass­wör­tern.

¹ Sucuri Report 2022 ² WP Clip­board Stats 2023

DIE DRITTE GROSSE SICHER­HEITS­LÜ­CKE SIND FEH­LENDE FIRE­WALLS. Hos­ting­dienste und Pro­vi­der schüt­zen ihre Web­ser­ver, aber nur in den sel­tens­ten Fäl­len die dar­auf instal­lier­ten Kun­den-Web­sites. Fire­wall-Dienste wie WORD­FENCE erken­nen Sicher­heits­lü­cken, scan­nen die Web­site auf Mal­ware und mani­pu­la­tive Dateien, geben Aus­kunft über nicht legi­time Akti­vi­tä­ten und ver­hin­dern Injek­tio­nen von Schad­code. Fire­walls wer­den als Word­Press-Erwei­te­rung von der betreu­en­den Agen­tur instal­liert, ein­ge­rich­tet und über­wacht.

WIE WER­DEN WEB­SITES GEHACKT?

HACKEN ist irgend­wie Neun­zi­ger. Kor­rek­ter wäre der Aus­druck „MANI­PU­LIERT“. Denn in den meis­ten Fäl­len ist der unge­wünschte Ein­bruch in das eigene Web­site-Ver­zeich­nis erst­mal optisch nicht sicht­bar. Und das ist auch die Absicht dahin­ter. Um Schwach­stel­len und unsi­chere Bau­steine einer Web­site zu ent­de­cken, bedient man sich auto­ma­ti­sier­ten SCAN­NERN, die neben kom­plet­ten Sys­tem­check, Log-Files oder Kon­fi­gu­ra­ti­ons­da­teien auch in der Lage sind, ange­legte Benut­zer­kon­ten aus­zu­hor­chen. Auf dem Markt frei ver­füg­bare Soft­ware wie WPSCAN, WPIN­TEL oder NUCLEI, die eigent­lich dafür gedacht waren, eigene Sicher­heits­lü­cken zu tes­ten, wer­den oft dafür miss­braucht, leicht zu kapernde Web­site aus­fin­dig zu machen oder zu beob­ach­ten. Sollte ein sol­cher Scan eine Sicher­heits­lü­cke auf einer Word­Press-Web­site ent­de­cken, ist sie in weni­gen Minu­ten von fach­män­ni­scher Hand „pene­triert“ und vom Hacker schnell mit einem eige­nem Zugang belegt.

„Pass­wort-Sicher­heit beginnt bei zwan­zig Zei­chen.“

Scanner, wie WPscan werden oft dafür missbraucht, leicht zu kapernde Website ausfindig zu machen oder zu beobachten

Scan­ner, wie z.B. WPScan kön­nen sowohl Word­Press-Kon­fi­gu­ra­tio­nen und vor­han­dene Benut­zer­kon­ten aus­le­sen als auch Sicher­heits­schwach­stel­len von Plug-Ins, The­mes oder Word­Press-Ver­sio­nen fin­den.

Um mit BRUTE FORCE Atta­cken an Benut­zer­na­men oder Pass­wör­ter zu kom­men, wer­den unter­schied­lichste Metho­den benutzt. Vom simp­len „Erra­ten“, der „Dic­tion­ary“ Stra­te­gie, der „Hybri­den“ Tak­tik aus per­sön­li­chen Infor­ma­tio­nen wie Geburts­jahr und einem freien Wör­ter­buch­be­griff bis hin zur „Cre­den­tial“ Methode, mit der die Nut­zer­na­men und Pass­wör­ter ande­rer Web­sei­ten zum Ein­satz kom­men. Auch für Brute Force sind auto­ma­ti­sie­rende Tools vor­han­den, die in kür­zes­ter Zeit alle Metho­den durch­ar­bei­ten.

SPAM-AMA­GE­DON, IMAGE-DESAS­TER ODER SEO-BREAK­DOWN

Viele Web­site-Betrei­ber haben kei­ner­lei Vor­stel­lung über die Trag­wei­ten einer mani­pu­lier­ten Web­site und die imma­te­ri­el­len Fol­gen. Denn in den wenigs­ten Fäl­len wer­den Web­sites phy­si­ka­lisch oder optisch zer­stört, son­dern auf Kos­ten und im Namen des Betrei­bers für die Inter­es­sen der Cyber­kri­mi­nel­len ein­ge­setzt. Die resul­tie­ren­den Maß­nah­men eines Hacks sind das sofor­tige ABSCHAL­TEN DER EIGE­NEN WEB­SITE, die Beauf­tra­gung eines Sicher­heits­un­ter­neh­mens, um SCHAD­CODE AUS­FIN­DIG ZU MACHEN und Sicher­heits­lü­cken zu schlie­ßen und DAS AUS­TAU­SCHEN ALLER PASS­WÖR­TER UND ZUGÄNGE. Viel grö­ßer jedoch sind die IMMA­TE­RI­EL­LEN SCHÄ­DEN, die mit der Mani­pu­la­tion einer Web­site ein­her­ge­hen:

REDI­RECTS
Durch tech­ni­sche Schwach­stel­len der Web­site wer­den Besu­cher durch ein­ge­rich­tete Wei­ter­lei­tun­gen zu gefälsch­ten Sup­port-Sei­ten, Lot­te­rie-Web­sites umge­lei­tet oder bekom­men gefakte Push-Benach­rich­ti­gung, die dar­auf abzie­len, die loka­len Rech­ner der Nut­zer mit Ran­som-Ware, Tro­ja­nern oder Snif­fern zu infi­zie­ren.

SKIM­MER
Online-Shops sind attrak­tive Angriffs­ziele, um an sen­si­ble Daten wäh­rend einer Online-Bestel­lung zu kom­men. Häu­fig wer­den dazu mani­pu­lierte Check­out-For­mu­lare auf­ge­setzt, die dar­auf abzie­len, neben den per­sön­li­chen Infor­ma­tio­nen vor allem die Kre­dit­kar­ten-Daten der eige­nen Shop-Besu­chern abzu­grei­fen.

SEO-SPAM
Bei die­sen Angrif­fen wird ver­sucht, das Such­ma­schi­nen-Ran­king einer Web­site zu miss­brau­chen. Infek­tio­nen erfol­gen am häu­figs­ten über .htac­cess-Wei­ter­lei­tun­gen oder mani­pu­lierte Daten­bank-Ein­träge, indem SEO-Inhalte und Ver­lin­kun­gen der Web­site umge­schrie­ben wer­den. SEO-Spam kann das eigene Web­site-Ran­king und den orga­ni­schen Traf­fic erheb­lich beein­träch­ti­gen, zu Brow­ser­war­nun­gen und Sperr­lis­ten füh­ren.

Bei SEO-Spam-Angriffen wird versucht, das Suchmaschinen-Ranking einer Website zu missbrauchen

Das Ziel von SEO-Spam-Angrif­fen ist das Aus­tau­schen von Such­ma­schi­nen-Inhal­ten und das Plat­zie­ren bzw. Aus­tau­schen von SEO-Links der Opfer-Web­sites: Ein Ruin der eige­nen Ran­kings und ein enor­mer Image-Scha­den. © Image by SUCURI

PHIS­HING
Phis­hing-Angriffe nut­zen die Serio­si­tät von bekannte Marken- und Unter­neh­men-Web­sites aus, um sen­si­ble Infor­ma­tio­nen zu erhal­ten. In vie­len Fäl­len wer­den die geka­per­ten Web­ser­ver-Ver­zeich­nisse genutzt, um Phis­hing-Landing­pa­ges zu hos­ten, auf denen Angrei­fer ver­su­chen, sen­si­ble Daten, Pass­wör­ter oder ver­trau­li­che Benut­zer­in­for­ma­tio­nen abzu­grei­fen.

MAILER
Mailer miss­brau­chen Ser­ver­res­sour­cen und ermög­li­chen es Angrei­fern durch ein­ge­schleuste Skripte, uner­wünschte Mas­sen-Mails von der geka­per­ten Domain zu ver­sen­den. In den meis­ten Fäl­len lan­den Spam- oder Phis­hing-Mails in den Post­ein­gän­gen ahnungs­lo­ser Opfer. Um durch den Mas­sen­ver­sand die ent­ste­hende hohe Ser­ver­be­las­tung zu stop­pen, schlie­ßen Pro­vi­der den Web­space.

BACK­DOORS
Back­doors sind so kon­zi­piert, dass sie die regu­läre Log­ins der Web­site umge­hen und sich unbe­merk­ten Zugriff auf das Backend der Web­site ein­rich­ten. Sinn und Zweck ist dabei der Upload von schad­haf­ten Dateien sowie die Mani­pu­la­tion von Daten­ban­ken und Inhal­ten. Das Auf­spü­ren von Back Doors ist kom­plex, da sich der Schad­code häu­fig repro­du­ziert und auf 100te Ver­zeich­nisse und Dateien ver­teilt.

FAZIT

Genau wie im ech­ten Leben sind Ein­brü­che nicht nur ärger­lich, son­dern oft auch mit einem per­sön­li­chen Trauma ver­bun­den. Die Fol­gen eines erfolg­rei­chen Web­site-Ein­bru­ches sind weit­rei­chen­der, weil neben Dieb­stahl von sen­si­blen Daten und der phy­sisch geka­per­ten Web­site häu­fig auch noch ein immenser öffent­li­cher Image-Scha­den ent­steht, der mit Bud­get und Res­sour­cen nicht aus­zu­glei­chen ist. Dage­gen ist der prä­ven­tive Auf­wand den eige­nen Online-Auf­tritt sicher zu hal­ten, über­schau­bar. Wer für UPDATES, sichere PASS­WÖR­TER, eine FIRE­WALL und BACK­UPS auf sei­ner Web­site sorgt, hat die Pflicht zum Thema CYBER­SCHUTZ erfüllt.

Face­book
XING
Lin­ke­dIn
War die­ser Bei­trag hilf­reich?
Wir unter­stüt­zen Sie gerne bei Ihrem nächs­ten Projekt. Von der Kon­zep­tion bis zum Design oder der voll­stän­di­gen Ent­wick­lung einer Web­site.
PROJEKTANFRAGE
Super, Sie haben bei Ihrem Projekt an uns gedacht. Vielen Dank! Beschreiben Sie kurz, worum es geht, damit wir ein gutes Feedback geben können. Wir melden uns in Kürze zurück. Bis bald!
Von Ihnen im Formular eingegebene Daten speichern und verwenden wir ausschließlich zur Bearbeitung Ihrer Anfrage. Ihre Daten werden verschlüsselt übermittelt. Wir verarbeiten Ihre personenbezogenen Daten im Einklang mit unserer Datenschutzerklärung.

DANKE.

Wir haben ihre Anfrage erhalten und melden uns umgehend.