Zwischen all den Informationen, lustigen Videos und tollen Angeboten die das Internet bietet lauern auch Gefahren die Ihre Daten und im Zweifelsfall auch Ihr Geld bedrohen. Als Website-Betreiber haben Sie eine zusätzliche Verantwortung gegenüber Ihren Nutzern. Gehackte Webseiten können dazu genutzt werden Passwörter oder andere sensible Daten von Ihren Besuchern zu stehlen. In diesem Artikel zeigen wir Ihnen wie Sie Ihre Seite bestmöglich gegen Eindringlinge absichern.
Welche Sicherheitsrisiken gibt es?
Im Internet spricht man üblicherweise von drei großen Bereichen die für einen potentiellen Angreifer interessant sein können: der Server, der Client (also meist ein privater Computer) oder der Übertragungsweg. Logischerweise stellen die drei Bereiche auch die essenziellen Bestandteile einer Verbindung dar. Jeder einzelne Bereich ist in gewisser Weise unsicher und birgt das Risiko ausgenutzt zu werden.
Übertragung: HTTPS-Verschlüsselung ist Standard
Um den Informationsaustausch zwischen Ihrem Server und Ihren Besuchern sicher zu gestalten sollten Sie, vor allem dann wenn Sie transaktionale Seiten betreiben, ein SSL-Zertifikat beziehen und HTTPS einrichten. Wie Sie das kostenlos mithilfe von Let’s Encrypt bewerkstelligen können zeigen wir Ihnen hier.
Der Server im Fokus
Der Server und die Datenbank einer Webseite sind wohl das lukrativste Ziel von Angreifern. Hier bieten sich direkt eine Reihe von Möglichkeiten um von einem erfolgreichen Angriff zu profitieren. Der Zugang zu den Servern ermöglicht die Installation von Schadsoftware oder Werbung. Eine geklaute Datenbank enthält eventuell E-Mail Adressen von Nutzern oder gar unverschlüsselte Passwörter die nicht gehasht worden sind.
Sichere und einzigartige Passwörter
Egal wie viele Sicherheitsmaßnahmen Sie treffen, jede noch so hohe Mauer ist nutzlos wenn das Tor offen steht. In diesem Fall ist das Passwort zum Backend, zur technischen Verwaltung Ihres Hosters oder zum FTP-Server Ihrer Webseite das Tor. Verwenden Sie nie ähnliche oder gleiche Passwörter für unterschiedliche Bereiche. Sonst reicht ein geknacktes Passwort um Ihre gesamte Infrastruktur zu übernehmen. Nutzen Sie bei der Passwort-Erstellung am besten Generatoren. Sichere Passwörter bestehen aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Viel wichtiger als die Komplexität Ihres Passworts ist aber die Länge. Wählen Sie anstatt acht sehr komplexen Zeichen lieber 16 einfachere. Verzichten Sie idealerweise auf Wörter, Wortkombinationen oder Sätze sollten Sie nie verwenden. Am einfachsten funktioniert das alles mit einem Passwort-Manager wie LastPass. Hier können Sie direkt komplexe Passwörter erstellen lassen die dann automatisch eingefügt werden. LastPass ist als Browser-Plugin und als App für alle gängigen Betriebssysteme verfügbar. Wenn Sie Ihr bestehendes Passwort testen möchten, finden Sie hier ein passendes Online-Tool.
Zwei-Faktor-Authentifizierung
Gerade wenn Sie ein CMS wie WordPress oder Joomla verwenden bietet sich die Zwei-Faktor-Authentifizierung an um Ihr Backend noch sicherer zu machen. Hierfür gibt es zahlreiche Plugins die meist auf den Google Authenticator zurückgreifen. Nach der Installation benötigen Sie zum Login neben Ihrer E-Mail und dem Passwort den Code aus dem Google Authenticator. Da dieser Code zeitlich limitiert ist und ständig geändert wird wird es deutlich schwieriger für Angreifer durch eine sogenannte Brute-Force-Methode Zugang zu erlangen.
Zugriffsberechtigung auf Ihrem FTP-Server (CHMOD)
Mithilfe von CHMOD können mit Ihrem FTP-Programm Zugriffs-Berechtigungen für Systemnutzer festgelegt werden. Dabei unterscheidet das System zwischen drei Gruppen (Besitzer, Gruppe und Öffentliche) sowie drei Status (Lesen, Schreiben und Ausführen). In FileZilla lassen sich diese Einstellungen per Rechtsklick -> Dateiberechtigungen… anpassen. Bei Ordnern können hier auch alle Unterverzeichnisse angepasst werden. Diese Einstellung lassen sich auch numerisch darstellen, der Wert 777 beschreibt hierbei den Vollzugriff. Grundsätzlich gilt, dass Sie soviele Rechte wie nötig und so wenig wie möglich vergeben sollten. Obwohl die Dateiberechtigungen nur innerhalb des Systems gelten und Außenstehende ohne FTP-Zugang keinen Zugriff haben, muss darauf geachtet werden, dass nicht eine Lücke im System zum kompletten Kontrollverlust führt. Vergeben Sie daher im Zweifel zuerst weniger Rechte. Sollte es dann zu Problemen kommen kann immer noch erhöht werden.
Regelmäßige Updates durchführen
Updates fügen neue Funktionen hinzu oder beheben Fehler. Oftmals schließen sie auch Sicherheitslücken die sich Angreifer zur Nutze machen können. Vor allem wenn Sie ein großes und weitverbreitetes Content Management System nutzen sollten Sie regelmäßig dafür sorgen, dass Sie die aktuellste Version verwenden. Je mehr potentielle Opfer es gibt, desto wahrscheinlicher ist es, dass Kriminelle zu automatisierten Lösungen greifen. Updaten Sie daher regelmäßig und schnell auf die neusten Versionen Ihrer Systeme.
Beschränkte Plugin-Nutzung
Ein weiterer Punkt der für Eigenentwicklungen nicht gilt: beschränken Sie sich in der Anzahl der verwendeten Plugins. Nicht nur, dass zu viele Plugins zu Funktionsfehlern führen können weil sich deren Systeme überschneiden, jedes einzelne Tool birgt eigene Sicherheitsrisiken denen Sie sich aussetzen. Die meisten Entwickler achten natürlich darauf, dass Ihre Tools sicher sind. Fehler sind aber menschlich und häufig wurde von versteckten Sicherheitslücken berichtet. Nutzen Sie also so wenig Plugins wie nötig.
Der eigene Computer
Letztlich sollten Sie darauf achten, dass Ihr Rechner virenfrei bleibt. Vor Jahren hätte man jetzt zu den bekannten Anti-Viren-Programmen wie Norton, Bitdefender oder Kaspersky geraten. Doch Microsofts eigener Virenschutz, der Windows Defender, wird immer besser und bietet bereits jetzt eine ordentliche Grundsicherung. In Anbetracht dessen, dass gängige Programme tiefe Schnitte ins Betriebssystem tätigen raten manche Experten bereits jetzt dazu es beim Defender zu belassen. Gerade wenn Sie sich nicht gut mit dem Internet auskennen oder regelmäßige Dateien mit zweifelhafter Herkunft herunterladen ist ein besseres Virenprogramm aber sinnvoll. Sollte Ihr Computer doch einmal befallen werden ist eine komplette Neuinstallation sinnvoll. Hartnäckige Schadsoftware kann auch im Hintergrund agieren ohne, dass Sie es bemerken würden.