Sicherheit von Webseiten

Die meisten Betreiber kleinerer und mittlerer Unternehmens-Webseiten glauben, dass ihre Webseite für Angreifer völlig uninteressant sei. Weit gefehlt: Der Löwenanteil aller Angriffe entfällt auf genau solche Webseiten. Warum?

Um diese Frage zu beantworten, muss man die Motivation für Angriffe verstehen. Vor allem zwei Gründe kristallisieren sich hier heraus:

• Datenklau. Hierbei handelt es sich um vorsätzliche und gezielte Angriffe mit dem Ziel, sensible Daten zu entwenden.
• Schadeneffizienz. Hierbei handelt es sich um zufällige Angriffe auf Webseiten, die dasselbe System nutzen. So sind mit einer einzigen Schadsoftware viele Webseiten kompromittierbar.

Weit verbreitete Systeme sind zum Beispiel die eCommerce-Plattform Magento sowie freie Content-Management-Systeme wie WordPress oder Typo3. Bei Plattformen wie Magento verbinden sich die beiden zuvor genannten Angriffsmuster: Shopsysteme enthalten Kundendaten und eröffnen möglicherweise Zugriff auf wertvolle Kreditkarteninformationen. Zweiter Vorteil für die Angreifer: Durch die große Zahl an Installationen lassen sich viele Seiten automatisiert attackieren.

Wer jedoch glaubt, mangels Attraktivität mit seiner Webseite kein potentielles Angriffsziel zu bieten, täuscht sich. Auch rein informative Unternehmens-Webseiten auf Basis von Typo3, Wordpress oder Joomla sind äußerst attraktive Ziele. Zwar sind hier kaum lohnenswerte Daten zu holen. Doch ihre Lücken sind im Netz bekannt und der Angriff einfach. Solche Seiten werden dann für weiterführende Angriffsszenarien auf Dritte genutzt (sog. Botnetze).

Es gibt ja nichts zu holen,“ so die weit verbreitete Meinung der meisten Betreiber mittlerer und kleiner Unternehmens-Webseiten. Oft geht es den Angreifern jedoch nicht darum, etwas zu holen. Im Gegenteil. Meist wird darauf etwas versteckt. Es geht darum, maximalen Schaden anzurichten. Und das gelingt auf unterschiedliche Weise.

Kompromittierte Webseiten können dazu genutzt werden, mittels Schadsoftware (Trojaner, Viren) die Computer der Besucher zu infizieren. So kann eine einzelne Webseite ganze Firmennetzwerke inklusive der PCs lahm legen.

Vielfach werden kompromittierte Webseiten auch dazu genutzt, mittels Botnetze (Fremdsteuerung von Außen) den Angriff auf Dritte zu führen. Dadurch ziehen die Schäden immer weitere Kreise. Weil der Löwenanteil aller Webseiten auf den Servern von nur wenigen Hosting-Anbietern liegt, spüren alle Webseiten die Auswirkungen eines einzigen, kompromittierten Nachbarn. Es kann zu Ausfällen durch Überlastung kommen, enormer Traffic kann die Verfügbarkeit lähmen, oder die infizierten IP-Adressen werden von Google erkannt und rigoros gesperrt (sogenanntes Blacklisting). Das führt zu drastischen Abwertungen im Suchergebnis. Die Auswirkungen sind für betroffene Unternehmen immer unangenehm.

Das Wichtigste vorab: Kein Tresor der Welt, keine Bank und kein elektronisches System bietet absolute Sicherheit. Einen wichtigen Schutz bieten jedoch regelmäßige Updates (sogenannte Patches). Die Update-Mentalität ist in der Praxis jedoch eher schlampig. Und das hat Gründe.

Mangelnde Sachkenntnis, die Scheu vor hohen Kosten und schlichtes Verdrängen sind am häufigsten dafür verantwortlich, dass die sogenannten „offenen Systeme“ im Netz ihrem Namen alle Ehre machen. Gleichzeitig birgt jedes Update auch ein gewisses Risiko. So liefern Hersteller für ihre Software immer nur für einen begrenzten Zeitraum Patches aus. Wird die genutzte Version der Software (z.B. Wordpress) nicht mehr vom Hersteller unterstützt, muss die Software auf eine neue, aktuellere Version angehoben werden.

Versionssprünge sind riskant
Neue Versionen können jedoch enorme Veränderungen mit sich bringen. Jeder kennt das von Updates der Betriebssysteme oder Office-Programmen zur genüge: Oft ändern sich Funktionalitäten, Bedienung oder Aussehen. Auch können sich die Systemanforderungen an den Hoster ändern. Schließlich arbeiten die meisten offenen CM-Systeme mit sogenannten Extensions, Modulen oder Plug-Ins. Das sind kleine Programme von Drittanbietern, die den Funktionsumfang oder die Bedienung von Webseiten erheblich erweitern bzw. erleichtern. Dazu gehören Tools zur Suchmaschinenoptimierung oder der automatischen Bildoptimierung, sowie Software zur Unterstützung verwendeter Datenbanken oder auch Bildwechsler (Slider).

Bei einem System-Update ist nicht immer gewährleistet, dass alle eingebundenen Extensions auch weiterhin funktionieren. Tun sie dies nicht, wird’s kompliziert. Sind wichtige Funktionen betroffen, muss meist schnell Ersatz her. Und das kann teuer werden. Oder man muss warten, bis auch die Extensions – vielleicht bei einem nächsten Update – wieder funktionieren. Und wer will bzw. kann das?

Grundsätzlich muss man sich bei der Nutzung solcher Erweiterungen (Extensions, Plug-ins) darüber im Klaren sein, dass man auf der einen Seite natürlich Kosten spart. Auf der anderen Seite ist man allerdings auch abhängig. Dazu tragen solche Plug-Ins häufig deutlich höhere Sicherheitsrisiken ein, als die eigentliche System-Software. Schließlich werden sie nicht wie im Apple- oder Google Store von einer höheren Instanz geprüft. Vielmehr verbreiten sie sich ungehindert. Weil sie niemand prüft sind sie oft von minderer Qualität und werden nicht immer regelmäßig von den Entwicklern oder Herstellen betreut. Erweiterungen sollten daher stets mit Bedacht und Weitblick eingesetzt werden. Und die Auswahl sollte man Profis überlassen, die mit entsprechenden Erfahrungswerten einfach besser gerüstet sind.

Jede Software birgt potenzielle Sicherheitslücken. Über solche offenen Hintertürchen können Angriffe lanciert werden. Hersteller von Software sind verpflichtet, diese Lücken nach Bekanntwerden zeitnah zu schließen. Dafür werden Updates, sogenannte Patches bereitgestellt. Webseitenbetreiber müssen wiederum nach der Veröffentlichung schnellstmöglich den Patch einspielen, um ihre Website abzusichern. Die Zeit zwischen Bekanntwerden eines potentiellen Risikos, der Bereitstellung und dem Einspielen des Patches sind von großer Bedeutung. Je mehr Zeit vergeht, desto höher ist das Risiko, Opfer einer Sicherheitslücke zu werden.

Webseitenbetreiber benötigen daher unmittelbare Kenntnisnahme etwaiger neuer und wichtiger Updates seitens des Herstellers. Leider ist dies nur selten gewährleistet und/oder es fehlt an Kompetenz in der Umsetzung.

Seit Juli 2015 ist das IT-Sicherheitsgesetz in Kraft, das von jedem Webseitenbetreiber fordert, die IT-Infrastruktur nach dem Stand der Technik abzusichern. Die regelmäßige Durchführung von Updates ist fester Bestandteil dieser Forderung. Bei Missachtung drohen Geschäftsführern und IT-Verantwortlichen  Bußgeldzahlungen und Schadenersatzforderungen.

Nach dem IT-Sicherheitsgesetz müssen Webseitenbetreiber ihre IT-Infrastrukturen nach dem Stand der Technik absichern. Dazu gehört neben den technischen Möglichkeiten des aktuellen Stands, das aktive Erkennen und Steuern möglicher IT-Risiken. Unternehmensführer können danach bei Versäumnissen persönlich in die Haftung genommen werden (§ 91 Abs. 2 Aktiengesetz und § 43 Abs.1 GmbH Gesetz). Unzureichend gesicherte IT-Projekte können so der Geschäftsführung und IT-Entscheidern persönlich zur Last gelegt werden. Bußgeldzahlungen und Schadensersatzforderungen sind die Folge.

Verantwortlichkeit ist nicht immer leicht zu beantworten.
Die Frage nach der Verantwortung eines Webseitenbetreibers ist allerdings nicht immer eindeutig zu beantworten. So ist in der Regel ein Betreiber der technischen Infrastruktur vorhanden, der Hoster, sowie daneben der Betreiber der Website selbst, der diese eingerichtet und installiert hat. Professionelle Hoster verfügen in den meisten Fällen über die notwendigen Sicherheitsvorkehrungen für ihre IT-Systeme. Dies ist ein wesentlicher Teil ihrer Kompetenz. Nicht so bei den Webseitenbetreibern. Auf deren Seite fehlt oft die tiefere Fachkenntnis, um der Sorgfaltspflicht nachzukommen.

Ist keine hinreichende Sachkenntnis vorhanden, sollte die Veröffentlichung einer Webseite stets in Zusammenarbeit mit internen oder externen Fachkräften einhergehen. Hier lohnen sich oftmals sogenannte SaaS-Lösungen (Software as a Service) oder Cloud-Anbieter. Diese Partner stellen eine professionelle Infrastruktur bereit und sorgen für die Betreuung und Wartung der Soft- und Hardware.