Webseiten sind heute weit mehr als nur die digitale Visitenkarte eines Unternehmens. Inzwischen bieten sie den Besuchern das Einkaufen im Webshop, die Kommunikation über bereitgestellte Plattformen oder das Erbringen von Dienstleistungen. Dies alles funktioniert aber nur, wenn die IT-Sicherheit im Hintergrund gewährleistet ist. Wir zeigen, wie.
Täglich liest und sieht man in den Medien Berichte zu Cyberangriffen auf Internetseiten. Die einen wurden von Hackern komplett übernommen und bieten obskure Botschaften statt des gewünschten Inhalts an. Die anderen wurden mit sogenannten „Distributed Denial of Service“-Angriffen (DDoS) in die Knie gezwungen und konnten nicht mehr erreicht werden. Hackerattacken kann jeden Webseitenbetreiber betreffen und machen auch vor großen Namen nicht halt. So mussten beispielsweise Anfang Mai 2022 mehrere Internetauftritte von deutschen Behörden sicherheitshalber vom Netz genommen werden. Die Tagesschau berichtete von Angriffen auf das Verteidigungsministerium, den Bundestag, die Bundespolizei sowie mehrere Landespolizeibehörden. Sogar die SPD-Webseite von Bundeskanzler Olaf Scholz soll demnach betroffen gewesen sein.
Eines steht fest: Unzureichend gesicherte Webseiten stellen für Unternehmen eine unterschätzte Gefahr dar. Sobald ein Fauxpas öffentlich wird, treten Reputation und Kundenvertrauen den Sinkflug an. Ganz zu schweigen von den drohenden finanziellen Einbußen, wenn der eigene Webshop nicht mehr funktioniert oder sogar Kundendaten die Firmen verlassen. Dann stehen auch hohe Geldbußen durch die Datenschutzgrundverordnung zur Disposition.
In einem kürzlich erschienenen Artikel haben wir sechs Wege aufgezeigt, wie Hacker Webseiten zumeist angreifen. Heute wollen wir beleuchten, wie Sie sich auf diesen Fall vorbereiten können. Dazu haben wir Martin Cambal, ESET Global Web Development Manager, befragt. Er gibt wertvolle Tipps, die sowohl für CEOs als auch für IT-Administratoren in Unternehmen nützlich sein könnten.
Protokollieren Sie den Datenverlauf und speichern Sie ihn
App-Protokolle helfen Ihnen, den Angriff zu erkennen, am besten gleich zu Beginn, bevor ein Schaden entsteht. „Der gesamte Datenverkehr auf der Website und im Netzwerk sollte protokolliert werden, damit der Entwickler der Website den Angriff zurückverfolgen kann. Die Protokolle sollten immer mindestens die letzten 30 Tage abdecken. Manche Angriffe geschehen von einer Stunde auf die andere, und manche dauern Tage. Hacking ist ein Prozess, den man schon in seinen Anfängen aufdecken kann", erklärt Martin Cambal. Vergessen Sie nicht, ein Backup der Protokolle zu erstellen. Vorzugsweise sollten sie an einem zentralen Speicherort abgelegt werden, damit ein Angreifer sie nicht löschen kann, nachdem er den Server gehackt hat.
Führen Sie regelmäßige Website-Backups durch und entwickeln Sie einen RPO/RTO-Plan
Recovery Point Objective (RPO) und Recovery Time Objective (RTO) sind zwei wichtige Kennzahlen, die Sie für den Fall der Fälle griffbereit haben sollten. Anhand derer können Sie definieren, wie lange Ihre Software ausfallen kann, ohne dass ein erheblicher Schaden entsteht (RTO). Von großer Bedeutung ist auch die Frage, wie viele Daten verloren gehen können, ohne dass der Geschäftsbetrieb dramatisch beeinträchtigt wird (RPO).
„Unternehmen sollten über einen regelmäßig aktualisierten Sicherungs- und Wiederherstellungsplan sowie einen Katastrophenplan verfügen. Dieser zeigt Ihnen exakt, was bei einem Cyberangriff zu tun ist. Wenn ein Hacker zum Beispiel eine wichtige Datenbank angreift und möglicherweise auch die Daten löscht, werden Sie die vordefinierte Krisenreaktion zu schätzen wissen", fügt der ESET Global Web Development Manager hinzu und weist auf einen weiteren wichtigen Sicherheitsaspekt hin: „Wenn ein Hacker erst einmal in Ihre Website eingedrungen ist, können Sie ihr nicht mehr trauen. Nachdem Sie mit dem Angreifer gemäß Ihrem Krisenreaktionsplan fertig geworden sind, lohnt sich die vollständige Wiederherstellung der Webseite meistens.“
Mehr zum Thema RPO/RTO/Backup finden Sie hier.
Uptime-Überwachung
Eine Überwachungssoftware sollte die Verfügbarkeit der Website kontinuierlich kontrollieren, zumindest im Minutentakt. „Es ist wichtig, dass das Unternehmen als Erstes von einem Angriff erfährt und verhindert, dass die Kunden die Fehler melden müssen", sagt der Webseiten-Profi und spricht damit die Bedeutung der Prävention an. „Bei Internetauftritten mit hohem Datenaufkommen, die eine hohe Verfügbarkeit erfordern, ist es eine gute Praxis, die Anzahl der Seiten zu begrenzen, die von einer IP-Adresse aus aufgerufen werden können. Das bedeutet, dass der Angreifer langsam vorgehen und die „Besuche“ vorsichtig dosieren muss. Dies gibt den Website-Administratoren Zeit, entsprechend zu reagieren und die Gefahr rechtzeitig zu erkennen". Überwachungstools sind leicht zu finden und mit wenigen Klicks zu aktivieren - suchen Sie einfach bei Google nach „Uptime Monitoring". Das führt Sie zu den richtigen Diensten.
Website nach Maß? Nutzen Sie Leitfäden zur Website-Härtung
Tech-Giganten wie Google bieten kostenlose, sogenannte Härtungsleitfäden an, die Ihnen beim Aufbau eines sicheren Webservers helfen. Außerdem gibt es im Internet eine Fülle an Sicherheitschecklisten. „Jeder seriöse Anbieter von Webserver und -anwendungen sollte Ihnen wirksame Tipps zur Cybersicherheit geben können. Diese helfen Ihnen, eine zuverlässige und geschützte Website zu erstellen", sagt Cambal. „Wenn Sie sich auf Webhosting verlassen, sollten Sie nach einem Anbieter mit ISO 27001-Zertifizierung Ausschau halten. Die Norm garantiert, dass Ihre Daten bei ihm sicher sind.“
Achten Sie auf die Grenzen von Open-Source-CMS
Open-Source-Plattformen wie WordPress haben viele Vorteile, z. B. das schnelle Erstellen Ihrer Website. Allerdings bringen sie auch neue Herausforderungen mit sich. „Schwachstellen dieser Plattformen sind in der Regel weithin bekannt. Ein erfahrener Angreifer kann die Informationen über die Sicherheitslücken der Website nutzen, um sie anzugreifen", sagt Cambal. „Der Code ist offen. Jeder kann ihn einsehen und seine Schwachstellen ausnutzen."
Außerdem läuft der Admin-Teil der Open-Source-Plattformen in der Regel über eine leicht zu erratende URL mit der Endung /admin oder ähnlichem. „Wenn der Angreifer das Passwort und die Anmeldedaten stiehlt, weiß er genau, wo er sie eingeben muss", so der erfahrene Experte weiter. „Diese spezielle URL sollte daher nur von bestimmten IP-Adressen oder über VPN zugänglich sein. Zudem lohnt es sich, eine zusätzliche Schutzschicht zu implementieren, die beispielsweise eine Multi-Faktor-Authentifizierung für die Anmeldung vorschreibt.“
Bleiben Sie informiert
Um Cyberkriminellen einen Schritt voraus zu sein, sind nützliche Informationen aus der richtigen Quelle unabdingbar. „Experten wissen wertvolle Details über die neuesten Entwicklungen in der digitalen Technologie zu schätzen, die zum Beispiel auf HackerNoon.com präsentiert werden. Aktuelle Strategien und Taktiken von Hackern finden sich auch auf WeLiveSecurity.de, einem der Content-Hubs von ESET", sagt der Web Development Manager.
„Zudem lohnt es sich, die OWASP-Top-10-Liste zu verfolgen, die Ihnen aktuelle Informationen über Online-Bedrohungen und aktuelle Cyberangriffe liefert", betont Cambal. „Wenn Sie wissen, dass bestimmte Arten von Angriffen im Trend liegen, können Sie Ihre digitale Sicherheitsstrategie entsprechend anpassen. Oder sogar die Website mit Blick auf diese Arten von Angriffen programmieren - so haben Hacker keine Chance."
Die Sicherung Ihrer Website zahlt sich aus - mehr über Backup- und Wiederherstellungsstrategien erfahren Sie hier