Website Security – ein unterschätztes Thema

Die Sicherheit von Websites kann über den geschäftlichen Erfolg entscheiden

13. November 2019 Marketing
Ein grünes Schlosssymbol in der Browserzeile HTTPS
Dass die bekannte SSL-Verschlüsselung - angezeigt durch das Kürzel "https" im Browser - ein Ranking-Faktor bei Google ist, hat sich inzwischen weit herumgesprochen. Abbildung: RobertAx/bigstockphoto.com
Inhalt

Computer-Viren legen ganze Unternehmen lahm, mit Phishing-Attacken räumen Cyber-Kriminelle fremde Konten leer … das Cyber-Security ein relevantes Thema ist, hat sich bei privaten Internet-Usern und in Unternehmen längst herumgesprochen. Allerdings wird in Firmen die Verantwortung dafür oft der Chefetage zugeschrieben. Richtig ist, Website Security geht alle Mitarbeiter an. Programmierer und Marketing-Experten spielen dabei eine besonders große Rolle.

Security im Internet kann über den geschäftlichen Erfolg entscheiden

Auf Online Marketing setzen heute die meisten Firmen. Für kleine und mittlere Unternehmen (KMUs) sind die eigene Webseite, der Onlineshop, ein Firmenblog und Social Media oft die wichtigsten Kanäle, um ihre Kunden zu erreichen. Viele von ihnen investieren viel Zeit und Geld, um ihre Kunden online zu erreichen. Für Cyber-Risiken sind sie sensibilisiert, berücksichtigen aber nicht, auf welchem Wege Hacker ihre Internetpräsenzen tatsächlich attackieren. Dass jede Webseite abgesichert werden muss, steht zwar – zumindest theoretisch – außer Frage. Offen bleibt jedoch oft, wer die Zuständigkeit dafür übernehmen muss. Die Systemadministratoren der IT-Abteilung oder gleich de Chefetage? Viele Unternehmen sind zwar bereits für Cyber-Risiken sensibilisiert, sind jedoch der Meinung, dass die Programmierer ihrer Seiten schon wissen werden, was sie tun. Und ihre Marketeers haben auf die Sicherheit der Website doch ganz sicher keinen Einfluss?

Studie: Wie steht es um KMUs und Mittelständler?

KMUs und Mittelständler sind besonders oft der Ansicht, dass sie keine Sicherheitsprobleme haben. In der Praxis werden ihre Seiten besonders oft gehackt. Die Ergebnisse einer Forsa-Studie aus dem Jahr 2018 liefern hierzu Daten (Quelle: gdv.de ):

  • 30 Prozent der befragten Unternehmen haben durch Cyber-Attacken wirtschaftliche Schäden erlitten.
  • 43 Prozent der Firmen mussten ihren Geschäftsbetrieb wegen Sicherheitsproblemen zeitweise unterbrechen.
  • 59 Prozent der Cyber-Angriffe wurden via E-Mail unternommen.

Im Gegensatz zu diesen Zahlen steht die Selbsteinschätzung der KMUs in Bezug auf ihre Cyber-Sicherheit:

67 Prozent von ihnen bewerten das eigene Risiko für einen Hacker-Angriff als sehr gering, 73 Prozent sind der Ansicht, dass sie ausreichende Sicherheitsvorkehrungen getroffen haben. Erfolg hatten die Hacker vor allem bei kleinen Unternehmen.

Häufige Angriffe und Typen der Malware-Infektion

Durch illegale Zugriffe gelangt in der Regel Malware auf den Rechner, die in der Lage ist, den/die betroffenen Computer für eigene Zwecke zu manipulieren, vertrauliche Daten auszuspähen oder ganze IT-Systeme lahmzulegen. Die Forsa-Studie belegt, dass Schadsoftware (Malware) besonders oft über E-Mails auf die Firmenrechner eingeschleust wird. Der Fachbegriff dafür ist “Social Engineering” oder “Social Hacking” – der Angreifer stellt eine virtuelle Beziehung zu seinem Opfer her, um in dessen IT-Systeme einzudringen. Das bekannteste Beispiel dafür ist das sogenannte Phishing: Hacker versuchen, über gefälschte E-Mails, Websites oder Kurznachrichten an vertrauliche Informationen von Internet-Usern zu gelangen und nutzen dabei die Gutgläubigkeit ihrer Opfer aus. Abgefragt werden durch Phishing Passwörter, persönliche Daten und Konteninformationen, so dass der Angreifer in der Lage ist, betroffene Seiten umfassend zu manipulieren und Aktivitäten – beispielsweise finanzielle Transaktionen – im Namen der Betroffenen vorzunehmen. Be der Manipulation von Firmenrechnern zielen Hacker darauf ab, durch verschiedene Methoden in den Besitz von Kundendaten zu gelangen und/oder Kunden auf gefälschte Seiten umzuleiten.

Die Malware-Infektion eines Rechners oder eines IT-Netzwerks lässt sich in verschiedene Typen unterteilen:

Häufige Angriffe

Durch illegale Zugriffe gelangt in der Regel Schadsoftware (Malware) auf den Rechner, die in der Lage ist, den/die betroffenen Computer für eigene Zwecke zu manipulieren, vertrauliche Daten auszuspähen oder ganze IT-Systeme lahmzulegen. Die Forsa-Studie belegt, dass Malware besonders oft über E-Mails auf Firmenrechner gelangt.

Die Malware-Infektion eines Rechners oder eines IT-Netzwerks lässt sich in verschiedene Typen unterteilen. Häufige Angriffe auf Webseiten sind insbesondere die folgenden Hacks:

Social Engineering

“Social Engineering” oder “Social Hacking” bedeutet, dass Cyber-Kriminelle eine virtuelle Beziehung zu ihren potentiellen Opfern herstellen, um diese zu bestimmten Handlungen zu motivieren. In diese Angriffskategorie fällt insbesondere das sogenannte Phishing: Hacker versuchen, über gefälschte E-Mails, Webseiten oder Kurznachrichten an personenbezogene Daten – Passwörter, Kontaktinformationen, Konten- und Kreditkartendaten – zu gelangen. In anderen Fällen wird Internet-Nutzern angezeigt, dass sie eine Software auf ihrem Rechner aktualisieren sollen. Stattdessen wird auf ihrem Computer Malware installiert. Durch das Erscheinungsbild des Hacker-Auftritts wird vorgetäuscht, dass die Kontaktaufnahme durch eine vertrauenswürdige Instanz erfolgt, bei der es sich beispielsweise um eine Bank, eine Behörde oder einen etablierten Anbieter von Software und digitalen Diensten handeln kann.

Veränderung der Serverkonfiguration

Die Serverkonfiguration einer nicht infizierten Seite dient dazu, URL-Umleitungen auf bestimmte Dateien und Verzeichnisse einer Webseite festzulegen. Durch entsprechende Veränderungen der Serverkonfiguration ist es möglich, Besucher einer sauberen Webseite auf eine Seite umzuleiten, die für Malware-Angriffe entwickelt wurde.

Fehlervorlage

Der Infektionstyp Fehlervorlage bedeutet, dass die Browser-Vorlage für Fehlermeldungen – beispielsweise 404, Datei nicht gefunden – durch Malware infiziert ist, die ihre Konfiguration verändert hat. Ein solcher Hack ermöglicht Angriffe auf weitere URLs, die auf der infizierten Website noch nicht einmal zwangsläufig erscheinen müssen.

SQL-Einschleusung

Die Programmiersprache SQL (Structured Query Language) wird verwendet, um die Datenbankstrukturen einer Webseite zu definieren. Bei einer SQL-Einschleusung hinterlegen Hacker in sämtlichen Datenbankeinträgen Malware. Wenn bei einem späteren Seitenaufruf Datenbankinformationen abgerufen werden, wird die Schadsoftware in den Inhalt der Webseite eingebettet und ist dann in der Lage, den Besuchern dieser Seite Schaden zuzufügen.

Code-Einschleusung

Bei einer Code-Einschleusung wird der Programmcode einer infizierten Seite durch Malware manipuliert, um sensible Daten abzufragen, Besucher auf eine Malware-Angriffsseite umzuleiten oder die Schadsoftware weiterzuverbreiten. Ein weiteres Ziel der Einschleusung von Codes (aber auch von URLs oder SQL-Dateien) besteht darin, einen Denial-of-Service-Angriff gegen andere Seiten zu unternehmen und in diese Attacke möglichst viele andere Rechner einzubinden.

URL-Einschleusung

Bei einer URL-Einschleusung programmieren Hacker für eine bestehende Webseite weitere Unterseiten. Diese Seiten enthalten häufig Spam oder Links zu einer Malware-Angriffsseite. Ebenso ist es möglich, auf einer eingeschleusten URL Schadsoftware zu installieren, die unerwünschte Aktionen (Umleitung von Besuchern auf andere Seiten, Teilnahme an Denial-of-Service-Angriffen) auslöst.

Einschleusung von Inhalten

Eingeschleuste Inhalte auf einer Webseite können beispielsweise Textpassagen oder Spam-Links sein.

Website-übergreifende Malware-Warnungen

Grundsätzlich gilt: Google und andere Browser überprüfen jede Seite während des Ladevorgangs auf potenziell gefährliche Komponenten. Eine Website-übergreifende Malware-Warnung wird ausgegeben, wenn eine Seite Inhalte von einer anderen Website lädt, von der bekannt ist, dass sie schädliche Inhalte enthält.

Was sagt Google zur Website Security?

Dass die bekannte SSL-Verschlüsselung – angezeigt durch das Kürzel “https” im Browser – ein Ranking-Faktor bei Google ist, hat sich inzwischen weit herumgesprochen. Weniger bekannt ist, dass auch die Security von Websites Einfluss auf ihr Google-Ranking hat. Google-Standard ist, dass jede Webseite abgesichert werden muss – anderenfalls stuft Google sie in ihrem Ranking weit zurück oder schließt sie sogar komplett aus dem Google-Index aus.

Malware-Infektionen der eigenen Seite sowie seitenübergreifende Bedrohungen werden in der Google-Konsole zusammen mit Informationen zum jeweiligen Hack-Typ angezeigt. Webmaster sollten auf solche Warnungen umgehend reagieren, wenn sie nicht riskieren wollen, dass Google ihre Seite abstraft. Diverse Google-Tools ermöglichen detaillierte Diagnosen eines Angriffs. Anschließend muss eine Seitenbereinigung erfolgen. Die Bereinigung wird durch einen Programmierer oder Webdesigner vorgenommen. Auch hierfür stellt Google ausführliche Anleitungen zur Verfügung.

Fallbeispiel: Wie Unternehmen bei ihrer Website Security am falschen Ende sparen

Die Unternehmenswebseite war erst wenige Tage online, als sie zum Ziel eines Hacker-Angriffs wurde. Außerdem wurde die Seite von Google in rigoroser Weise abgestraft: Der Suchmaschinen-Gigant nahm sie aus dem Index und informierte den Websitebetreiber via Email. Um Sicherheitslösungen vor der Freischaltung der Seite hatte sich der Betreiber nicht gekümmert.

Als Folge des Hacker-Angriffs musste der Seitenbetreiber die Angriffsstellen finden, die Seite bereinigen und die Integration von Sicherheitsstandards in Auftrag geben. Ein weiteres Problem bestand darin, dass keine Backups für die Seite gab. Die Problembehebung war deshalb nur in Form einer kompletten Neuprogrammierung möglich. Für die Entwicklung der neuen Seite musste das Unternehmen beträchtliche finanzielle Mittel zur Verfügung stellen. Diese Kosten hätte es sich durch eine durchdachte und sicherheitsorientierte Erstprogrammierung sowie durch Backups sparen können.

Übrigens reichen eine Seitenbereinigung oder die sichere Neuprogrammierung einer Webseite nicht aus, um die Google-Strafe aufzuheben. Der Betreiber der gehackten Seite musste hierfür einen sogenannten Reconsideration Request – eine Bitte um Wiederaufnahme in den Index – an Google stellen. Für den Index wieder freigegeben wurde die Webseite erst nach einer erfolgreich bestandenen Google-Überprüfung.

Die Bereinigung, die teilweise oder komplette Neuprogrammierung einer Seite sowie die Google-Überprüfung ihrer Website Security kann mehrere Wochen in Anspruch nehmen. Unternehmen verlieren auch hierdurch bares Geld.

Wichtig zu wissen:

  • Oft ist es nur sehr schwer oder überhaupt nicht möglich, herauszufinden, wo Hacker Malware-Dateien platziert haben. Wenn die Schadsoftware nicht gefunden wird, muss eine komplette Neuprogrammierung der Webseite erfolgen.
  • Problematisch ist auch, dass Schadsoftware oft nicht sofort zum Einsatz kommt. Oft vergehen einige Wochen, bevor ein Schadprogramm aktiv wird. Der Zeitpunkt seiner Einschleusung lässt sich dann kaum noch nachvollziehen.
  • Backups vermindern den Aufwand für die Wiederherstellung einer infizierten Seite. Selbst wenn sie bereits mehrere Monate alt sind, helfen sie dabei, eine komplette Neuprogrammierung zu vermeiden. Optimal ist allerdings, wenn die Backups aller Seiteninhalte und Programmstrukturen täglich vorgenommen werden. Falls es zu einer Infektion mit Malware kommt, tragen Backups dazu bei, den Angriffszeitpunkt und möglicherweise auch die Angriffsstelle zu identifizieren.

Websites nachhaltig und wirksam schützen

Security muss für jeden kommerziellen Seitenbetreiber von Anfang an Bestandteil der Webseiten- und Shop-Entwicklung sein. Der Satz “Vorsicht ist besser als Nachsicht” gilt hier in besonders hohem Maße. Die folgenden Tipps helfen dabei, Webseiten nachhaltig und wirkungsvoll zu schützen:

  • Der Entwicklungsauftrag an den Programmierer sollte Security enthalten.
  • Aus dem Angebot sollte hervorgehen, wie der Programmierer die Seite sichern will.
  • Programmierer und Entwickler sollten Referenzen bieten können, aus denen hervorgeht, dass es sich um seriöse Anbieter handelt.
  • Die Vergabe von differenzierten Rechten für den Seitenzugriff bietet zusätzlichen Schutz. Beispielsweise sollte ein Praktikant nicht das Recht besitzen, an einer Webseite Veränderungen vorzunehmen, sondern nur eine Berechtigung zur Content-Erstellung erhalten.
  • Zu einem nachhaltigen Seitenschutz gehören auch regelmäßige Prüfungen der Security. Am besten ist es, wenn Unternehmen hier einen festen Standard definieren.
  • Kontrolliert werden muss im Rahmen der Sicherheitschecks auch, ob die Schutzmechanismen noch auf dem aktuellsten Stand sind. Schließlich entwickeln auch die Hacker ihre Instrumente ständig weiter.
  • Für Sicherheitsbedrohungen aus dem Internet sollten alle Mitarbeiter des Unternehmens sensibilisiert sein.

Sinnvoll ist, für die Checks professionelle Sicherheitssoftware zu verwenden. Beispielsweise bietet die Online Solutions Group (OSG) ihren Kunden ein leistungsstarkes Paket für Sicherheitsüberprüfungen ihrer Seiten. Die OSG hat dafür ein kostenloses Tool sowie die Performance Suite für maximale Website Security im Programm. Mit ihrer Ausstattung sind beide Varianten in der Lage, ein sehr breites Spektrum an Sicherheitslücken aufzufinden.

Fazit

Viele Unternehmen sparen bei der Entwicklung ihrer Webseite an der falschen Stelle. Zwar geben sie viel Geld für die Seitenentwicklung und die Erstellung attraktiven Contents aus, investieren jedoch nicht in die Sicherheit ihrer Internetpräsenz.

Zu gutem Online-Marketing gehört jedoch auch, die Website Security im Blick zu haben – zum Schutz des eigenen Unternehmens und seiner Reputation sowie zum Schutz der Seitenbesucher respektive Kunden. Als Online-Marketing-Agentur hat sich die OSG auch das Thema Security auf dem Schirm. Laufend und automatisiert werden Seiten auf Schwachstellen geprüft und ein alert verschickt, bevor es zu schwerwiegenden Problemen kommt.

Ähnliche Artikel

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.