28. August 2018

#Sicherheitscheck

#Webseite

Backups, Updates, Viren und Malwaretests für Webseiten

Bei den genannten Themen herrscht im Gespräch mit unseren Kunden häufig ein betretenes Schweigen. Bei den meisten Webseiten ist es tatsächlich ohne Fachkenntnisse fast nicht möglich, ein vollständiges, aktuelles Backup zu erstellen.
Dabei gilt für Webseiten eigentlich das gleiche wie für den Computer, mit dem man arbeitet: tages- oder zumindest wochenaktuelle Backups sollte es für den Fall der Fälle geben.

Aber von vorne angefangen: Warum haben so wenige Personen oder Unternehmen Backups von der ersten Visitenkarte, die ein neuer Kontakt als erstes zu sehen bekommt? Warum werden Webseiten für teils mehrere 10.000 Euro erstellt, diese dann jahrelang liebevoll mit Content gepflegt, die Seiten teilweise nochmal aufwändig erweitert und es existieren nur sporadische Backups?

Unsere Einschätzung ist, dass einfach das Angebot und das Bewusstsein fehlt. Mit beidem will ich hier aufräumen.

Das Internet ist ein gefährlicher Ort

Es werden nicht nur Drogen und Waffen über das Internet gehandelt, jeden Tag denken sich Hacker, Phracker, Cracker, Script Kiddies und andere Personengruppen neue Wege aus, Deine Webseite zu hacken. Dabei geht es schon lange nicht mehr rein um das destruktive Zerstören der gesamten Seite. Vielmehr geht es darum, Traffic (also Besucher oder Datenverkehr) umzuleiten, Daten von der Webseite oder dessen Nutzern zu stehlen (Datendiebstahl) oder über die Webseite Schadsoftware zu verteilen oder den vorhandenen Inhalt zu verändern. Die Wege dieser Personen werden dabei immer perfider und sind zumeist nicht auf den ersten Blick zu erkennen.

Leider – und mit steigender Anzahl – sind diese Versuche oft erfolgreich.

Was kann ich machen, damit meine Webseite nicht gehackt wird?

Glücklicherweise veröffentlichen die Hersteller und Entwickler der meisten CMS und den Erweiterungen regelmäßig Updates, um die Sicherheitslücken zu schließen, sobald diese erkannt werden. Die beste Verteidigung gegen diese Angriffe ist somit, die regelmäßige Aktualisierung des Systems. Abhängig von Deiner Webseite sind ggf. zusätzliche Sicherheitsmaßnahmen vom Hersteller empfohlen. Einer der wichtigsten Faktoren ist jedoch immer die regelmäßige Aktualisierung der Webseite!

Optimalerweise funktionieren die Updates des Systems vollautomatisch. Dies geht leider nicht bei den meisten CMS. Im Idealfall wird die Webseite geklont, das Update in der geklonten Umgebung durchgeführt. Darauf wird ein Test durchgeführt, der Änderungen optisch/inhaltlich erkennt. Wenn alles korrekt funktioniert, wird das Backup angefertigt und das Update im Live-System durchgeführt.

Aber wie erkennt man überhaupt, dass seine Webseite gehackt ist?

Im schlechtesten anzunehmenden Fall siehst Du oder gar einer Deiner Kunden in den Google Suchergebnissen den Hinweis „Diese Website wurde möglicherweise gehackt“ oder wenn Du darauf klickst siehst Du eine rote Bildschirm-Benachrichtigung „Diese Website kann Ihren Computer beschädigen“. Dann hat sogar schon Google mitbekommen, dass Deine Webseite offenbar ein Problem hat.

Nicht ganz so gravierend (aber immernoch peinlich genug): Du siehst auf einmal Inhalte auf der Seite, die nicht von Dir oder Deinem Team stammen. Hier können zwei Dinge passiert sein: 1. Deine Passwörter und Benutzerdaten sind irgendjemandem in die Hände gefallen oder 2. Das CMS Deiner Webseite hat eine Sicherheitslücke, die ausgenutzt wurde. Im besten Fall sind in beiden Fällen nur Inhalte ausgetauscht worden. Vielfach werden in einem solchen Fall aber auch noch eine oder gleich mehrere Hintertüren zu der Homepage geöffnet.

Diese Webkonsolen, Malware, Viren oder sonstige Schadsoftware bekommt man mit einem Viren-, Malwarescanner oder auch Diff-Tool (zeigt Unterschiede zu einem Backup oder dem originalen Code des CMS) zumeist identifiziert, sodass man sie entfernen kann. Das kann jedoch einige Zeit dauern, weshalb auch in einem solchen Fall meist ein aktuelles Backup einfacher erledigt wäre.

Was ist noch wichtig für die Sicherheit meiner Webseite?

Security Audits zum Beispiel. Hier werden Antworten auf die folgenden Fragen gegeben:

  • Ist eine Sicherheitslösung im CMS integriert?
  • Ist eine Web Application Firewall (kurz WAF) vor dem CMS? Diese filtert DDoS-Angriffe und ist in der Lage verdächtigen Datenverkehr zu filtern.
  • Von wann ist das letzte Backup?
  • Ist das Backup integer? Zur Erläuterung: Ein Backup ist erst dann ein Backup, wenn man getestet hat, dass sich daraus das System wiederherstellen lässt.
  • Sind das CMS und dessen Erweiterungen/Plugins aktuell?
  • Wie sieht die Serverumgebung (Webserver, Datenbank, …) aus?
  • Ist das System gehärtet? Unter Hardening versteht man in der Regel die Absicherung gegen Angriffe von außen. Ein Hack ist zumeist ein Umstand mehrerer unglücklicher Zufälle, daher sollte man sich nicht immer auf die erste Instanz verlassen, sondern im Vorfeld das System auch bestmöglich sichern, sodass ggf. auftretende Sicherheitslücken nicht ausgenutzt werden können.

Gibt es regelmäßige Status-Berichte und was kostet diese sinnvolle Ergänzung zur Webseite?

Am Ende des Tages oder besser am Monatsende will ich wissen, wie der Status meines Systems ist. Wir können über diesen – zu großen Teilen vollautomatisierten Prozess – einen Report erstellen, sodass man auch immer weiß, wann was passiert ist. Wir kümmern uns um etliche Websites. Sodass wir diese natürlich auch alle im Auge behalten wollen.

Erledigt man alles händisch (Backups, Updates) einmal je Woche, was durchaus möglich ist, so ist man – je nach Internetverbindung – einige Stunden zugange.

Wir bieten all das ab 35 Euro netto je Monat je Webseite an. Wir erledigen Backups, Updates und machen Deine Webseite sicherer und schneller. Für unsere Hostingkunden bieten wir sogar alles in einem nochmal attraktiverem Paket an.

Kontaktieren Sie uns gerne – kostenfrei und unkompliziert versteht sich!