Website-Sicherheit: Die Grundlagen f├╝r den Betrieb einer sicheren Website

Website-Sicherheit: Die Grundlagen f├╝r den Betrieb einer sicheren Website

Welche Gefahren und Angriffsmethoden gibt es im Netz?

Die Website-Sicherheit ist ein gro├čes Feld. Das BSI (Bundesamt f├╝r Sicherheit in der Informationstechnik) listet in seinem IT-Grundschutz- Kompendium 47 Gef├Ąhrdungstypen auf, wobei hierzu auch Risiken aus der Rubrik Elementarschaden z├Ąhlen. Abseits davon gibt es eine Reihe menschengemachter Bedrohungen, die die Betreiber von Websites und jeden Internetnutzer gef├Ąhrden.  

Hierzu z├Ąhlen Schadprogramme (auch als Malware bezeichnet), Botnetze, Spam, Hacks, Clickjacking, Social Engineering und andere Methoden. Hier einige typische Szenarien mit kurzer Beschreibung: 

  • Unverschl├╝sselte Websites, auf denen Nutzerdaten von Dritten ausgelesen werden 
  • Phishing (Wortsch├Âpfung aus Password + Fishing): Ma├čnahme um sensible Nutzerdaten wie Logindaten oder Zahlungsinformationen abzugreifen. Typisches Szenario: Vermeintliche-E-Mail des Kundenservices mit Link zu einer nachgebauten Login-Page einer Bank 
  • DDos-Angriff (Denial-of-Service-Angriff): ├ťber Schadprogramme infizierte Rechner werden Teil von Bot-Angriffen, die Spam versenden oder gezielt Strukturen lahmlegen 
  • Clickjacking: ├ťberlagerung eine Website oder App-Oberfl├Ąche mit einer unsichtbaren Maske, die dann Nutzerdaten abgreift und die eigentlich aufgerufene Website nur simuliert (├Ąhnliches Prinzip also wie Phishing) 
  • Social Engineering: ├ťber soziale Handlungen werden gezielt Menschen manipuliert, um so an Wissen zu gelangen, das wiederum Zugriff auf IT-Systeme erm├Âglicht.  

In diesem Artikel soll der Fokus auf Seiten des Website-Betreibers liegen. Mit welchen Ma├čnahmen sicherst du deine Internetseite und auch deine Besucher?

Wie Website-Betreiber f├╝r Sicherheit sorgen

Zum Standard geh├Ârt seit bald drei Jahren eine Verschl├╝sselung der Website via SSL-Zertifikat (unser SSL-Blogbeitrag). Was fr├╝her typischerweise f├╝r Websites von Online-Banken galt, hat sich nun als Konvention entwickelt. Browser wie Chrome deklarieren Websites ohne das s hinter http als nicht sicher. Sp├Ątestens seit Einf├╝hrung der DSGVO im Jahr 2018 ist innerhalb der EU eine Verschl├╝sselung geboten, sieht doch die Verordnung vor, dass ÔÇ×Datenschutz durch Technikgestaltung und durch datenschutzfreundliche VoreinstellungenÔÇť gew├Ąhrleistet sein muss. 

Auch die Qualit├Ąt und Laufzeit der Zertifikate spielt hierbei eine Rolle. So werden bspw. zweij├Ąhrig laufende Zertifikate bald ihre G├╝ltigkeit bzw. Browser-Akzeptanz verlieren. Apple’s Safari-Browser wird nur noch Zertifikate mit 1 Jahr G├╝ltigkeit als sicher einstufen. Je nach Webprojekt setzen wir bei PPW auf das lizenzfreie LetÔÇÖs Encrypt Zertifikat, das insbesondere angesichts der k├╝rzeren Aktualisierungszyklen sehr wirtschaftlich ist. 

Die regelm├Ą├čige und fr├╝hzeitige Aktualisierung eines Content-Management-Systems ist ein weiterer elementarer Bestandteil. Analog zum PC-User, der seine Windows Updates am besten automatisiert installieren sollte, sollte ein CMS wie z.B. TYPO3 oder WordPress stets aktuell gehalten werden. Diese Leistungen laufen bei PPW als Software-Pflegevertr├Ąge. 

Zum Schutz des CMS z├Ąhlt ebenso die Aktualisierung der jeweils verwendeten Extensions bzw. Plugins. Im Bereich der TYPO3 Community erfolgen Sicherheits-, Bug- oder Feature-Updates, die auf diesem Weg automatisch Einzug halten. Im Bereich von WordPress gibt es grunds├Ątzlich keine zentrale Qualit├Ątssicherung, so dass bei den hier verwendeten Plugins bereits bei der Auswahl eine genaue Pr├╝fung erfolgen muss. 

Auch die Wahl der Serversysteme, auf denen die Webprojekte gehostet werden, spielt eine Rolle bei der Sicherheit. Veraltete Serversysteme oder schlecht gepflegte machen auch eine Website anf├Ąlliger. 

Sichere Formulare

Ein weiterer wichtiger Aspekt ist die Sicherung von Formularen und anderen Eingabefeldern, in denen Nutzer (oder Bots) die M├Âglichkeit haben, Daten zu ├╝bermitteln. 

Diese werden gesch├╝tzt durch den Einsatz von Google CAPTCHA (Abk├╝rzung f├╝r: Completely Automated Public Turing test to tell Computers and Humans Apart). Einzige Aufgabe ist die Erkennung und der Ausschluss von automatisierten Bot-Eingaben. Und ja; jeder war schon genervt vom Anklicken der Ampelbilder. Die sind gl├╝cklicherweise seit der dritten Version von Google reCaptcha Geschichte. 

Sogenannte Honeypot-Felder stellen eine Alternative oder einen Zusatz zur ersten Methode dar. Hierbei werden f├╝r menschliche Nutzer unsichtbare Felder in ein Formular addiert. Bots erkennen deren Unsichtbarkeit nicht und f├╝llen die Felder aus, was in deren Ausschluss m├╝ndet. 

Auch Zeitstempelpr├╝fungen k├Ânnen f├╝r Formulare ebenso wie f├╝r Masken in Login-Bereichen eingesetzt werden, um hochfrequente Bot-Anfragen auszusieben.  

Ebenso k├Ânnen Geo-IP-Pr├╝fungen Abhilfe verschaffen. Erh├Ąlt ein Betreiber einer rein deutschsprachigen Seite ungew├Âhnliche Anfragen aus bspw. USA oder Fernost, so lassen sich diese vollst├Ąndig blocken ÔÇô dann jedoch mit der Gefahr, dass auch echte User von dieser Sperre betroffen sein k├Ânnten. 

Zunahme von Bot-Traffic

Kein unmittelbarer Aspekt der Website-Sicherheit aber f├╝r die Performance einer Website durchaus abtr├Ąglich ist der gro├če Anteil an nicht-menschlichem Traffic im Web insgesamt.  

Sch├Ątzungen zufolge gehen zwischen 40-60% des Traffics im Netz auf Bots zur├╝ck, die wiederum in Good Bots / Bad Bots unterteilt werden. So dient beispielsweise der ÔÇ×guteÔÇť Google Bot dazu, immer einen aktuellen ├ťberblick ├╝ber die Untiefen des Webs und somit auch zu jeder tief verzweigten Unterseite deines Webauftritts zu halten. Bad Bots sp├Ąhen zum Beispiel gezielt Sicherheitsl├╝cken einer Website aus. 

In beiden F├Ąllen verursachen diese Abfragen eine Menge Serverlast und somit Kosten. Als rudiment├Ąrer Schutz lassen sich Bots ├╝ber die robots.txt gezielt aussperren (disallow). Rigoroser ist das Blocken von IP-Adressen. Wichtig sind hierbei ein kontinuierliches Monitoring und ein fr├╝hzeitiges Reagieren. 

Wie jeder Internet-Nutzer m├Âglichst sicher durch das World Wide Web kommt

Auf der anderen Seite ist nat├╝rlich jeder Internetnutzer selbst in hohem Ma├če f├╝r seine Sicherheit im World Wide Web verantwortlich. F├╝r jeden Webuser gelten die Grundregeln: 

  • Updates: Lade dir die aktuellsten Betriebssystems- und Sicherheitsupdates zeitnah nach Erscheinen herunter oder erlaube automatische Updates.  
  • Virenschutz: Oberste Hygieneregel f├╝r den PC ist ein gutes Antivirenprogramm, das alle Dateien regelm├Ą├čig scannt und infizierte Inhalte in Quarant├Ąne stellt. 
  • Passw├Ârter: Nutze sichere Passw├Ârter. Quizfrage: Du kannst dir dein Passwort merken? Dann ist es nicht lang genug und nicht chiffriert genug. Nutze Passwort-Tools zur Verwaltung.
  • Firewall: Eine Firewall ├╝berwacht ausgehenden und eingehenden Traffic und sperrt unbekannte Datenstr├Âme.
  • Vorsicht bei Browser-Add-ons: Informiere dich vorab ├╝ber dessen Vertrauensw├╝rdigkeit, bevor du ein Add-on installierst
  • Zwei-Faktor-Authentifizierung: Die zweite Sicherheitsstufe bei einem Login macht zwar etwas mehr M├╝he, stellt jedoch einen erheblichen Zugewinn an Sicherheit dar. Immer mehr Anbieter erm├Âglichen aus diesem Grund vor allem durch das immer bereit liegende Smartphone die ÔÇ×Two-Step-VerficationÔÇť, in dem man sich z.B. via TAN, Fingerabdruck, oder Gesichts-Scan als echter Nutzer erkennbar macht.

Datenschutz ebenfalls relevant f├╝r Website-Sicherheit

Sp├Ątestens seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 hat dieses Thema enorm an Bedeutung gewonnen. In erster Linie bedeutet die DSGVO mehr Verbraucherrechte im Internet.  Mehr dazu in unserem Blogartikel zur DSGVO.

Das Thema ist seitdem im st├Ąndigen Fluss. So gab es im Nachgang zur Verordnung Urteile des EuGH zum Einsatz von Cookies und zum Datentransfer zwischen Europa und den USA (ÔÇ×Privacy ShieldÔÇť). Folgen soll die ePrivacy Verordnung, ├╝ber die bereits seit 2016 diskutiert wird und die eigentlich zusammen mit der DSGVO an den Start h├Ątte gehen sollen.  

F├╝r Website-Betreiber bieten die Grunds├Ątze der DSGVO eine wichtige Orientierung. Hier z├Ąhlen unter anderem: Personenbezogene Daten m├╝ssen zweckgebunden sein, d├╝rfen also nur f├╝r legitime Zwecke erhoben werden. Daten m├╝ssen sparsam erhoben werden ÔÇô also nur die wirklich notwendigen Informationen sollen erhoben und gespeichert werden. Die Speicherdauer ist ebenfalls so zu begrenzen, wie es f├╝r die Verarbeitung dieser Daten notwendig erscheint. 

Ein Beispiel: Die datenschutzkonforme Erhebung von personenbezogenen Daten mit dem Website-Tracking Dienstes Google Analytics: Ein Cookie-Hinweis sollte hier├╝ber aufkl├Ąren und die Einwilligung, bzw. die Option zur Deaktivierung des Trackings (ÔÇťOpt-outÔÇŁ) bieten. Ein entsprechender Vertrag zur Auftragsdatenverarbeitung muss mit Google abgeschlossen werden (geht digital). Der Einsatz des Website-Trackings muss mit anonymisierter IP-Adress-Speicherung erfolgen. Zudem ist die Speicherdauer der Daten zu limitieren. Die Datenschutzerkl├Ąrung muss ├╝ber den Einsatz von Google Analytics aufkl├Ąren. 

Mit diesen Grundlagen-Tipps solltest du den Basisschutz deiner Website gew├Ąhrleisten. Wie bei allen Risiken gilt: Ein 100%-Schutz ist nicht m├Âglich. Halte dich auf dem Laufenden, welche neuen Szenarien es gibt und setze ein Monitoring ein, das dich fr├╝hzeitig informiert, wenn eine Gef├Ąhrdung entsteht.

N├╝tzliche Links rund um das Thema Websicherheit 

Gute und b├Âse Bots:
https://www.imperva.com/blog/bad-bot-report-2020-bad-bots-strike-back/ 

Pr├╝ftools bzw. Seitencheck:
https://observatory.mozilla.org/
https://sitecheck.sucuri.net/
https://siwecos.de/ 

Neuigkeiten sowohl f├╝r Website-Betreiber und f├╝r Internetnutzer:
https://www.heise.de/security/
https://www.bsi-fuer-buerger.de/