Hast Du gerne mit deiner Versicherung Kontakt? Ich auch nicht. Aber wenn etwas passiert, bin ich froh, dass ich eine habe. Web Security ist wie eine Versicherung auf Dein wertvollstes Gut: Deine Skills und Deine Reputation als DesignerIn und DeveloperIn. Denn wenn etwas mit einer von Dir erstellen Seite passiert, bist Du die Person, auf die Wellen der Kritik und Schadensersatzforderungen Deiner Kunden einprasseln. Deshalb lohnt es sich, die A‘s und O‘s der Web-Sicherheit zu kennen – und die wichtigsten Schritte auch selbst umsetzen zu können.
Navigation
- Sicherheitsbedrohungen, die man kennen sollte
- Warum Web Security wichtig ist
- 9 1/2 Schritte zur Sicherung deiner Webseite
Was ist Web Security?
Die Gestaltung einer Website ist der spaßige Teil im Leben eines Web-Developers. Die Absicherung einer Seite gegen Angriffe ist hingegen eine trockene Angelegenheit. Doch was ist überhaupt das Ziel der Sicherung von Webseiten?
In erster Linie geht es darum, eine Website vor Online-Angriffen zu schützen. Das kann ein unbefugter Zugriff oder Datenklau, die Änderung, Störung oder Zerstörung einer Website sein. Diese Angriffe haben nicht notwendigerweise das Ziel, Betriebsspionage zu betreiben. Aber Du solltest nicht glauben, dass Deine Webseite für ein Wald-und-Wiesen-Unternehmen eh niemanden interessiert. Manche finsteren Geschöpfe der Online-Welt machen sich einen Spaß daraus, auch Webseiten von kleinen Unternehmen zu attackieren und zu verunstalten.
Das schadet nicht nur Deinen Kunden und Klienten, sondern in letzter Konsequenz auch Deiner Marke. Jede noch so ausgefeilte CSS-Spielerei wird Dir keine Dankbarkeit bringen, wenn die Kundenseite zum Müllplatz für gelangweilte Script-Kiddies und Wannabe-Hacker mutiert.
Sicherheitsbedrohungen, die man kennen sollte
Kennst Du Mr. Robot? Falls Du dich für Themen rund um das Hacken und Web Security interessiert, lies diesen Artikel zu Ende und schau dir diese Serie an. Oder mach es andersrum. Denn auch als fiktionales Werk zeigt Mr. Robot gut, dass Hackern – oder auch nur Aspiranten, die sich die nötigen Befehle und Skripte aus Boards und Foren kopieren – ein breites Arsenal zur Verfügung steht. Einige davon zeige ich Dir hier.
Die hier vorgestellten Techniken sind garstig und mögen auf Deinen Anwendungsfall vielleicht nicht zutreffen. Der Sinn dieser Auflistung besteht darin, ein Gefühl für die manchmal recht perfiden Angriffswege auf Webseiten zu vermitteln.
Die gute Nachricht: Auch als interessierter Laie in Sachen Web Security gibt es genug Möglichkeiten, um sich vor Attacken zu schützen!
Angriffe, die auf Menschen zielen
Man sagt, dass das größte Sicherheitsrisiko vor dem Bildschirm sitzt. Eine Social-Engineering-Attacke attackiert genau diese Schwachstelle. Ein Anrufer gibt sich beispielsweise als Mitarbeiter von Microsoft aus und entlockt dem unbedarften User wertvolle Informationen. Das muss nicht gleich die Frage nach der Kreditkartennummer sein – auch aus vermeintlich unwichtigen Details können Passwörter mit speziellen Tools entschlüsselt werden.
Einen ähnlichen Weg wählt die Phishing-Attacke, die nicht telefonisch, sondern über gefälschte E-Mails, Webseiten oder Whatsapp-Nachrichten durchgeführt wird. Das Ziel dieser Attacke ist meistens, User dazu zu bewegen, auf einer präparierten Seite persönliche Daten wie Passwörter einzugeben. Passend dazu setzt sich der Name aus den englischen Wörtern Password und fishing zusammen.
Menschen können auch mit einer Cross-Site Request Forgery (CSRF) dazu gebracht werden, ungewollte Aktionen auf einer Webseite durchzuführen. Zum Beispiel das Ändern der verknüpften E-Mail-Adresse, eine Passwortänderung oder die Überweisung von Geld. Diese Attacke attackiert zwar nicht den Menschen an sich, setzt aber eine unwissentliche Handlung des Users voraus.
Eine Clickjacking-Attacke baut ebenfalls auf die unumstößliche Tatsache, dass irgendwann irgendjemand einen zugesendeten Link öffnet, der besser ungeöffnet geblieben wäre. Leider sind die dahinterliegenden Seiten nicht immer gleich als Bösartig zu erkennen. Wer seine Daten dort eingibt, findet diese womöglich bald in einem Datenleak auf diversen Hacker-Boards wieder.
Angriffe, die Schwachstellen von Webseiten ausnutzen
Fehlerhafte Web-Applikationen, die auf die SQL-Datenbank einer Webseite zugreifen, können auch Ziel einer SQL-Injection werden. Ist diese Attacke erfolgreich, können Angreifer Datenbankbefehle ausführen und sämtliche Daten einer Webseite manipulieren oder zerstören.
Die meisten Angriffe zielen darauf ab, sensible Userdaten zu erbeuten. Eine unsichere Webseite ermöglicht es Angreifen, Code – zum Beispiel als JavaScript – in die betroffene Webseite einzufügen. Mit einer Cross-Site-Scripting Attacke wird dieses Script an den Browser eines Seitenbesuchers ausgespielt und stiehlt Cookies, Sitzungs-Tokens und andere Daten.
Angriffe mit dem Holzhammer
Eine Denial of Service (DoS)-Attacke ist brutal in der Ausführung, im Ergebnis aber eher nervig als desaströs. Ein Angreifer flutet dafür eine Webseite solange mit sinnlosen Anfragen, bis das Netzwerk einknickt und die Webseite nicht mehr erreichbar ist. Daten werden dabei in der Regel nicht gestohlen, der Ausfall und die Wiederherstellung können aber teuer werden.
Bei der Brute Force Attacke ist das Programm im Namen enthalten. Mit speziellen Tools versucht ein Angreifer, das Passwort einer Webseite mit bis zu einer Milliarde Versuchen pro Sekunde (!) zu knacken. Diese Zeitspanne ist länger als die Zeit, die ein solches Tool braucht, um ein Wort mit sieben Buchstaben aus dem Wörterbuch zu knacken.
Angriffe über Daten und Verzeichnisse
Webseiten, die den Upload von Dateien – JPGs, PDFs, mp3s und so weiter – ermöglichen, können Opfer eines File-Inclusion-Angriffs werden. Dabei laden Angreifer bösartige Dateien auf den Servern einer Web-App hoch. So versuchen sie, eine Webseite zu unterwandern und Zugriff auf die Benutzerdaten zu erhalten.
Ein häufiger HTTP-Angriff ist ein Directory Traversal. Dabei versuchen Angreifer, Zugriff auf eingeschränkte Verzeichnisse einer Webseite zu erhalten. Wenn das gelingt, können sie bösartige Befehle ausführen und Zugriff auf sensible Teile des Dateisystems von Webservern erhalten.
Web Security Matters
Eine der vielen negativen (gibt es überhaupt positive?) Seiten der Pandemie ist , dass viele Menschen mit Firmengeräten- und Netzwerken vom heimischen Küchentisch aus herumfuhrwerken. Nicht umsonst hat die Internetkriminalität Hochkonjunktur. Denn eine Person in einem unverschlüsselten W-Lan-Netzwerk ist ein leichteres Opfer als eine Abteilung mit eigenem Netzwerk-Administrator.
Einige der negativen Folgen eines Angriffs habe ich bereits angeführt. Diese Liste lässt sich endlos fortführen. Eine gehackte Seite kann verunstaltet oder gelöscht werden. Sie kann abstürzen oder gesperrt werden. Sie kann die Daten von Mitarbeitenden und Kunden abschöpfen und verkaufen. Sie kann von Google auf die schwarze Liste gesetzt und von den Suchergebnissen ausgeschlossen werden. Sie kann mit Links zu illegalen Inhalten versehen werden.
In erster Linie kann wird sie aber Geld kosten. Viel Geld. Diese Kosten können auch auf Dich zurückfallen, wenn Du die Web Security vorgenommen hat – oder dies eben versäumt hast.
Diesen Weg des Schmerzes solltest Du Dir ersparen. Glücklicherweise gibt es einige Möglichkeiten, um Webseiten abzusichern. Zwar gibt es keinen hundertprozentigen Schutz, denn mit genug Ressourcen und krimineller Energie ist jedes System angreifbar. Aber das Gros der Angreifer ist auf ein schnelles High oder einen schnellen Euro aus. Wenn eine Seite ein zu großes Hindernis darstellt, werden sie weiterziehen.
12 ½ Schritte für bessere Web Security
Welche Punkte solltest Du also auf jeden Fall abhaken? Hier erfährst Du, wie du ein Web Security Basispaket für Deine Webseite aufsetzt.
1. Verwende HTTPS
Vielleicht ist Dir aufgefallen, dass viele Webseiten immer ein „https://“ am Anfang ihrer URL stehen haben. Das bedeutet, dass diese Seiten ein HTTPS-Protokoll nutzen. Dieses stellt sicher, dass deine Besucher mit dem richtigen Server kommunizieren und die Seite nicht verändern oder Daten abfangen können. Das hat auch Vorteile für SEO, denn Google bestraft gerne Webseiten, die kein HTTPS verwenden. Dein Hosting-Anbieter hilft dir bei der Installation!
2. Installiere SLL
Du verwendest HTTPS? Ausgezeichnet! Nun ist es Zeit für die nächste Sicherheitsebene. Um sensible Daten zu schützen, solltest Du HTTPS mit einem SSL-Zertifikat kombinieren. Dieses fügt Deiner Webseite eine zusätzliche Verschlüsselungsebene hinzu. Wenn Deine Seite Kundendaten wie Namen, Adressen und Bankdaten verwaltet, ist SSL ein absolutes Must-Have!
3. Wähle einen guten Webhoster
Gute Hosting-Anbieter sollten nicht nur Domains und Webspace verwalten, sondern auch die Sicherheit Deiner Webseite im Blick haben. Viele Hoster bieten zum Beispiel gehostete WordPress-Installationen an, die mit grundlegenden Sicherheitspaketen ausgestattet sind. Sie können außerdem verdächtige Aktivitäten automatisch erkennen und im Keim ersticken.
4. Ändere dein Passwort
Schwer vorstellbar, dass Menschen im Jahr 2021 noch immer Passwörter wie „QWERTZ“ oder „123456“ verwenden. Diese Passwörter werden in Sekundenbruchteilen geknackt. Aber auch vermeintlich sichere Passwörter – lange Wört3r, be1 den3n die Z3ich3n durch Z4hlen ersetzt werden – sind ebenso schnell erraten.
Mein Tipp: Nutze einen Passwort-Manager, lass Dir ein langes Passwort generieren und sichere dieses mit einem Master-Passwort. So musst Du Dir nur eines merken. Alternativ kannst Du auch blind auf die Tastatur hämmern und das so entstandene Kauderwelsch sichern.
5. Pflege deine Website
Kriminelle nutzen Bots, um Websites zu scannen, die anfällig sind. Anfällig sind Webseiten dann, wenn zum Beispiel bekannte Sicherheitslücken von Plugins nicht durch Updates gestopft werden. Je aktueller die verwendete Software ist, desto schwerer ist es für Angreifer, deine Webseite zu attackieren. Manche Hoster bieten auch die automatische Aktualisierung ihrer Webapps und Plugins an.
6. Vorsicht ist die Mutter der Websecurity
Klicke keine verdächtigen Links und überprüfe deine Datenströme in offenen Netzwerken, zum Beispiel in der Bahn. Zumindest, wenn dort das W-Lan funktioniert. Bitte gib auch niemals persönliche Daten an nette Mitarbeiter von „Microsoft“ oder „Amazon“ weiter, die Dir ungefragt mitteilen, dass Du „gehackt“ wurdest. Zusätzlich kannst Du auch einstellen, dass Logins auf Deine Webseite nicht unbegrenzt gültig bleiben, sondern dass User nach einer kurzen Zeit der Inaktivität wieder automatisch ausgeloggt werden. Ein gesundes Maß Skepsis ist auch gegenüber externen Geräten angebracht, die sich in Dein Netzwerk einloggen: Stelle unbedingt sicher, dass diese frei von Viren und Malware sind.
7. Sei sparsam mit dem Upload von Dateien
Du würdest keine Fremden dazu einladen, Geschenke in Deinem Wohnzimmer abzulegen. Ebenso solltest Du es keinen Fremden ermöglichen, irgendwelche Dateien auf Deiner Webseite hochzuladen. Du kannst nicht wissen, ob eine .xls-Datei auch wirklich ein Excel-Sheet oder ein getarntes Skript ist. Wenn es nicht anders geht, abonniere ein sicheres und seriöses Datei-Upload-System.
8. Gib Webseiten-Kommentare frei, bevor sie veröffentlicht werden
Der legendäre Werber Jean-Remy von Matt hat Blogs einmal als „Klowände des Internets“ bezeichnet. Ich sehe meinen Blog nicht als Klowand, habe aber auch keine Lust auch Schmierereien. Da ich zu faul bin, um Kommentare händisch freizugeben, habe ich diese deaktiviert. Wenn Deine Besucher mit Dir interagieren sollen, können sie das machen – achte aber darauf, jeden Kommentar vor der Veröffentlichung zu überprüfen, um Trollen und Vandalen vorzubeugen.
9. Nicht jeder Mitarbeitende braucht einen Admin-Zugang
Wie schon erwähnt, sitzt das Problem meistens vor dem Bildschirm. Halte deshalb den Kreis der Personen, die Backend-Zugang auf Deine Webseite haben, klein. Wenn es nicht anders geht – wenn zum Beispiel ein freier Dienstnehmer Produktbeschreibungen in einen WooCommerce-Store eingeben muss – solltest diese Person keinen Admin Zugang erhalten. So können sie keine Einstellungen ändern oder Plugins installieren.
10. Erstelle Backups deiner Backups
Nicht nur persönliche Daten sollten regelmäßig gesichert werden. Auch von einer Webseite solltest Du immer wieder mehr als ein Backup erstellen. Viele Webhoster bieten eine solche Funktion ab Werk an – also Augen auf bei der Wahl des Hosting-Anbieters. Ein Backup in der Cloud ist für viele sicherlich die praktischste Option, für ein weitere Sicherheitsebene eignet sich aber auch das physische Backup auf einer externen Festplatte.
11. Installiere eine WAF-Firewall
Eine Firewall sitzt zwischen dem Server deiner Webseite und der Datenverbindung und liest sämtliche Datenströme aus, die sich an eine Webseite richten. Schädliche Daten werden so bereits erkannt und geblockt, bevor sie Schaden anrichten können. Eine Web Application Firewall (WAF) kann als Cloud-Service installiert und bei einigen Hosting-Anbietern gleich beim Kauf eines Pakets bestellt werden.
12. Ändere die Werkseinstellungen deines Content Management Systems (CMS)
Einer der häufigsten Gründe für ein unsicheres W-Lan-Netzwerk ist eine Folge der menschlichen Bequemlichkeit. Kritische Informationen über Router wie Passwörter und ID’s kursieren nämlich auf diversen Hacker-Foren. Werden diese nicht manuell geändert, öffnet man Angreifern gewissermaßen selbst die Tür. Dementsprechend sollten auch die Standart-Einstellungen Deines Content Management Systems sofort angepasst werden, zum Beispiel bei der Freigabe von Kommentaren und der Rechte- und Dateifreigabe.
12,5. Warum Antiviren-Software nur bedingt schützt
Hast Du schon mal von einer Archivbombe gehört? Es gibt eine, die sich 42.zip nennt. Das ist eine ZIP-Datei, die fünfmal rekursiv gepackt nur 42 Kilobyte groß ist. Beim Entpacken vergrößert sich die Datenmenge aber auf 4,5 Petabyte, also um das Hundertmilliardenfache. Da Antivirenprogramme Archive bis zu einem gewissen Grad entpacken, um den Inhalt auf Viren zu überprüfen, richtete sich die Archivbombe gegen das Antivirenprogramm selbst: Beim Entpacken sprengte die Datengröße die Festplattenkapazität und führte zum Totalausfall des betroffenen Systems.
Auch wenn das so nicht mehr möglich ist, möchte ich mit diesem Beispiel sagen: Es bringt nichts, sich blind auf Virenprogramme zu verlassen. Ein Virenprogramm ist am Ende auch nur ein zusätzliches Programm, und zusätzliche Programme machen Systeme verwundbar. Belasse es beim Windows Defender, aber sei vor allem vorsichtig!
