PPW bloggt über Internet-Projekte, Trends, Tipps, Technik, Design, UX mit vielen Insights.

Website-Sicherheit: Die Grundlagen für den Betrieb einer sicheren Website

Website-Sicherheit: Die Grundlagen für den Betrieb einer sicheren Website
· geschrieben von Florian Schmetz

Welche Gefahren und Angriffsmethoden gibt es im Netz?

Die Website-Sicherheit ist ein großes Feld. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) listet in seinem IT-Grundschutz- Kompendium 47 Gefährdungstypen auf, wobei hierzu auch Risiken aus der Rubrik Elementarschaden zählen. Abseits davon gibt es eine Reihe menschengemachter Bedrohungen, die die Betreiber von Websites und jeden Internetnutzer gefährden.  

Hierzu zählen Schadprogramme (auch als Malware bezeichnet), Botnetze, Spam, Hacks, Clickjacking, Social Engineering und andere Methoden. Hier einige typische Szenarien mit kurzer Beschreibung: 

  • Unverschlüsselte Websites, auf denen Nutzerdaten von Dritten ausgelesen werden 
  • Phishing (Wortschöpfung aus Password + Fishing): Maßnahme um sensible Nutzerdaten wie Logindaten oder Zahlungsinformationen abzugreifen. Typisches Szenario: Vermeintliche-E-Mail des Kundenservices mit Link zu einer nachgebauten Login-Page einer Bank 
  • DDos-Angriff (Denial-of-Service-Angriff): Über Schadprogramme infizierte Rechner werden Teil von Bot-Angriffen, die Spam versenden oder gezielt Strukturen lahmlegen 
  • Clickjacking: Überlagerung eine Website oder App-Oberfläche mit einer unsichtbaren Maske, die dann Nutzerdaten abgreift und die eigentlich aufgerufene Website nur simuliert (ähnliches Prinzip also wie Phishing) 
  • Social Engineering: Über soziale Handlungen werden gezielt Menschen manipuliert, um so an Wissen zu gelangen, das wiederum Zugriff auf IT-Systeme ermöglicht.  

Konkrete Beispiele für einige zurückliegende Cyber-Angriffe führt dieser Blogartikel des Sicherheitsspezialisten Logpoint auf.

In diesem Artikel soll der Fokus auf Seiten des Website-Betreibers liegen. Mit welchen Maßnahmen sicherst du deine Internetseite und auch deine Besucher?

Wie Website-Betreiber für Sicherheit sorgen

Zum Standard gehört seit bald drei Jahren eine Verschlüsselung der Website via SSL-Zertifikat. Was früher typischerweise für Websites von Online-Banken galt, hat sich nun als Konvention entwickelt. Browser wie Chrome deklarieren Websites ohne das s hinter http als nicht sicher. Spätestens seit Einführung der DSGVO im Jahr 2018 ist innerhalb der EU eine Verschlüsselung geboten, sieht doch die Verordnung vor, dass „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ gewährleistet sein muss. 

Auch die Qualität und Laufzeit der Zertifikate spielt hierbei eine Rolle. So werden bspw. zweijährig laufende Zertifikate bald ihre Gültigkeit bzw. Browser-Akzeptanz verlieren. Apple’s Safari-Browser wird nur noch Zertifikate mit 1 Jahr Gültigkeit als sicher einstufen. Je nach Webprojekt setzen wir bei PPW auf das lizenzfreie Let’s Encrypt Zertifikat, das insbesondere angesichts der kürzeren Aktualisierungszyklen sehr wirtschaftlich ist. 

Die regelmäßige und frühzeitige Aktualisierung eines Content-Management-Systems ist ein weiterer elementarer Bestandteil. Analog zum PC-User, der seine Windows Updates am besten automatisiert installieren sollte, sollte ein CMS wie z.B. TYPO3 oder WordPress stets aktuell gehalten werden. Diese Leistungen laufen bei PPW als Software-Pflegeverträge. 

Zum Schutz des CMS zählt ebenso die Aktualisierung der jeweils verwendeten Extensions bzw. Plugins. Im Bereich der TYPO3 Community erfolgen Sicherheits-, Bug- oder Feature-Updates, die auf diesem Weg automatisch Einzug halten. Im Bereich von WordPress gibt es grundsätzlich keine zentrale Qualitätssicherung, so dass bei den hier verwendeten Plugins bereits bei der Auswahl eine genaue Prüfung erfolgen muss. 

Auch die Wahl der Serversysteme, auf denen die Webprojekte gehostet werden, spielt eine Rolle bei der Sicherheit. Veraltete Serversysteme oder schlecht gepflegte machen auch eine Website anfälliger. 

Sichere Formulare

Ein weiterer wichtiger Aspekt ist die Sicherung von Formularen und anderen Eingabefeldern, in denen Nutzer (oder Bots) die Möglichkeit haben, Daten zu übermitteln. 

Diese werden geschützt durch den Einsatz von Google CAPTCHA (Abkürzung für: Completely Automated Public Turing test to tell Computers and Humans Apart). Einzige Aufgabe ist die Erkennung und der Ausschluss von automatisierten Bot-Eingaben. Und ja; jeder war schon genervt vom Anklicken der Ampelbilder. Die sind glücklicherweise seit der dritten Version von Google reCaptcha Geschichte. 

Sogenannte Honeypot-Felder stellen eine Alternative oder einen Zusatz zur ersten Methode dar. Hierbei werden für menschliche Nutzer unsichtbare Felder in ein Formular addiert. Bots erkennen deren Unsichtbarkeit nicht und füllen die Felder aus, was in deren Ausschluss mündet. 

Auch Zeitstempelprüfungen können für Formulare ebenso wie für Masken in Login-Bereichen eingesetzt werden, um hochfrequente Bot-Anfragen auszusieben.  

Ebenso können Geo-IP-Prüfungen Abhilfe verschaffen. Erhält ein Betreiber einer rein deutschsprachigen Seite ungewöhnliche Anfragen aus bspw. USA oder Fernost, so lassen sich diese vollständig blocken – dann jedoch mit der Gefahr, dass auch echte User von dieser Sperre betroffen sein könnten. 

Zunahme von Bot-Traffic

Kein unmittelbarer Aspekt der Website-Sicherheit aber für die Performance einer Website durchaus abträglich ist der große Anteil an nicht-menschlichem Traffic im Web insgesamt.  

Schätzungen zufolge gehen zwischen 40-60% des Traffics im Netz auf Bots zurück, die wiederum in Good Bots / Bad Bots unterteilt werden. So dient beispielsweise der gute Google Bot dazu, immer einen aktuellen Überblick über die Untiefen des Webs und somit auch zu jeder tief verzweigten Unterseite deines Webauftritts zu halten. Bad Bots spähen zum Beispiel gezielt Sicherheitslücken einer Website aus. 

In beiden Fällen verursachen diese Abfragen eine Menge Serverlast und somit Kosten. Als rudimentärer Schutz lassen sich Bots über die robots.txt gezielt aussperren (disallow). Rigoroser ist das Blocken von IP-Adressen. Wichtig sind hierbei ein kontinuierliches Monitoring und ein frühzeitiges Reagieren. 

Wie jeder Internet-Nutzer möglichst sicher durch das World Wide Web kommt

Auf der anderen Seite ist natürlich jeder Internetnutzer selbst in hohem Maße für seine Sicherheit im World Wide Web verantwortlich. Für jeden Webuser gelten die Grundregeln: 

  • Updates: Lade dir die aktuellsten Betriebssystems- und Sicherheitsupdates zeitnah nach Erscheinen herunter oder erlaube automatische Updates.  
  • Virenschutz: Oberste Hygieneregel für den PC ist ein gutes Antivirenprogramm, das alle Dateien regelmäßig scannt und infizierte Inhalte in Quarantäne stellt. 
  • Passwörter: Nutze sichere Passwörter. Quizfrage: Du kannst dir dein Passwort merken? Dann ist es nicht lang genug und nicht chiffriert genug. Nutze Passwort-Tools zur Verwaltung.
  • Firewall: Eine Firewall überwacht ausgehenden und eingehenden Traffic und sperrt unbekannte Datenströme.
  • Vorsicht bei Browser-Add-ons: Informiere dich vorab über dessen Vertrauenswürdigkeit, bevor du ein Add-on installierst
  • Zwei-Faktor-Authentifizierung: Die zweite Sicherheitsstufe bei einem Login macht zwar etwas mehr Mühe, stellt jedoch einen erheblichen Zugewinn an Sicherheit dar. Immer mehr Anbieter ermöglichen aus diesem Grund vor allem durch das immer bereit liegende Smartphone die „Two-Step-Verfication“, in dem man sich z.B. via TAN, Fingerabdruck, oder Gesichts-Scan als echter Nutzer erkennbar macht.

Datenschutz ebenfalls relevant für Website-Sicherheit

Spätestens seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat dieses Thema enorm an Bedeutung gewonnen. In erster Linie bedeutet die DSGVO mehr Verbraucherrechte im Internet.  Mehr dazu in unserem Blogartikel zur DSGVO.

Das Thema ist seitdem im ständigen Fluss. So gab es im Nachgang zur Verordnung Urteile des EuGH zum Einsatz von Cookies und zum Datentransfer zwischen Europa und den USA („Privacy Shield“). Folgen soll die ePrivacy Verordnung, über die bereits seit 2016 diskutiert wird und die eigentlich zusammen mit der DSGVO an den Start hätte gehen sollen.  

Für Website-Betreiber bieten die Grundsätze der DSGVO eine wichtige Orientierung. Hier zählen unter anderem: Personenbezogene Daten müssen zweckgebunden sein, dürfen also nur für legitime Zwecke erhoben werden. Daten müssen sparsam erhoben werden – also nur die wirklich notwendigen Informationen sollen erhoben und gespeichert werden. Die Speicherdauer ist ebenfalls so zu begrenzen, wie es für die Verarbeitung dieser Daten notwendig erscheint. 

Ein Beispiel: Die datenschutzkonforme Erhebung von personenbezogenen Daten mit dem Website-Tracking Dienstes Google Analytics: Ein Cookie-Hinweis sollte hierüber aufklären und die Einwilligung, bzw. die Option zur Deaktivierung des Trackings (“Opt-out”) bieten. Ein entsprechender Vertrag zur Auftragsdatenverarbeitung muss mit Google abgeschlossen werden (geht digital). Der Einsatz des Website-Trackings muss mit anonymisierter IP-Adress-Speicherung erfolgen. Zudem ist die Speicherdauer der Daten zu limitieren. Die Datenschutzerklärung muss über den Einsatz von Google Analytics aufklären. 

Mit diesen Grundlagen-Tipps solltest du den Basisschutz deiner Website gewährleisten. Wie bei allen Risiken gilt: Ein 100%-Schutz ist nicht möglich. Halte dich auf dem Laufenden, welche neuen Szenarien es gibt und setze ein Monitoring ein, das dich frühzeitig informiert, wenn eine Gefährdung entsteht.

Nützliche Links rund um das Thema Websicherheit 

Gute und böse Bots:
https://www.imperva.com/blog/bad-bot-report-2020-bad-bots-strike-back/ 

Prüftools bzw. Seitencheck:
https://observatory.mozilla.org/
https://sitecheck.sucuri.net/
https://siwecos.de/ 

Neuigkeiten sowohl für Website-Betreiber und für Internetnutzer:
https://www.heise.de/security/
https://www.bsi-fuer-buerger.de/ 

Das könnte dich ebenfalls interessieren:

Leistungen

Agentur-Blogger