Mit der fortschreitenden Etablierung des Internets in nahezu allen Bereichen des öffentlichen und privaten Lebens vermehren sich auch die Sicherheitsrisiken in der Onlinewelt. Gezielte Cyberattacken auf Unternehmen, Organisationen und Website-Betreiber werden beispielsweise mit Methoden wie SQL-Injection (SQLI) oder (Distributed) Denial of Service bzw. (D)DoS durchgeführt. Darüber hinaus können Malware wie Computerviren und -würmer, Trojaner, Spyware etc. sowie Angriffe per Cross-Site-Scripting (XSS) oder Brute Force nicht nur bei Dienstleistern, sondern auch bei Anwendern große Schäden anrichten. Gefahrenquellen im Netz existieren somit gleichermaßen für Unternehmen und Selbstständige wie auch für private Nutzer.
Im Internet agierende Betriebe müssen ihre Server, daran angeschlossene Websites und Webanwendungen sowie ihre internen Rechner gegen Cyberangriffe und verschiedenste Malware rüsten, um ihre Daten und Dienste vor Missbrauch zu schützen. Andernfalls kann es etwa zum Datenklau, zur Lahmlegung von Webdiensten oder zur Infizierung von Servern und URLs mit Schadsoftware kommen.
Letzteres kann auch zum Problem für private Internetuser werden – etwa wenn sie einen solchen befallenen Dienst aufrufen und sich hierdurch der eigene Rechner ebenfalls infiziert. Des Weiteren müssen sich Anwender immer auch vor schadhaften Internetauftritten und -diensten hüten, die von Cyberkriminellen betrieben werden (etwa Phishing-Websites und von vornherein mit Schadprogrammen versehenen Online-Angebote). Ansonsten drohen den Nutzern der Befall von Malware, der Diebstahl sensibler Daten oder die Zweckentfremdung eigener Rechnerressourcen für Botnetze.
Doch sind dies keine Gründe zur Verzweiflung oder gar zur Resignation – sowohl für private Anwender als auch für Systemadministratoren gilt: Wer sich hinsichtlich der Onlinesicherheit auf dem Laufenden hält, Computersysteme richtig schützt und sich stets umsichtig im Netz bewegt, hat nur in den wenigsten Fällen etwas zu befürchten. Um mehr über die momentane Lage der Websecurity zu erfahren, haben wir Gespräche mit 10 IT-Sicherheitsexperten geführt. Die folgenden Interviews geben einen guten Überblick über die konkreten Bedrohungen im Internet und die entsprechenden Schutzmaßnahmen.
Hauptgeschäftsführer bei eco – Verband der Internetwirtschaft e.V.
Der wohl größte Angriff der vergangenen Jahre war die Attacke auf Yahoo-Nutzerkonten. Davon waren mehr als eine Milliarde Nutzer betroffen. Der Angriff erfolgte bereits 2013, wurde aber erst im Dezember 2016 bekannt. Wir selbst waren im vergangenen Jahr nicht von Angriffen betroffen.
Die verwendeten Content-Management-Systeme stellen häufig große Sicherheitsrisiken dar. Vor allem dann, wenn die Systeme veraltet sind und keine Updates mehr durchgeführt werden. Hinzu kommt, dass durch installierte Plug-ins Gefahren entstehen.
Es ist bereits weitverbreitet und sollte in jedem Fall zum Standard werden.
Die Initiative www.initiative-s.de/de des Verbandes der Internetwirtschaft bietet in jedem Fall eine sinnvolle Prüfung der Homepage. Alles, was dafür notwendig ist, sind die Eingabe der zu überprüfenden Internet-Adresse und die Angabe einer E-Mail-Adresse.
DDoS-Angriffe treten aktuell vergleichsweise häufig auf und das wird wohl auch in Zukunft so bleiben. Relevante Risiken stellen außerdem infizierte Werbebanner und personalisierte Phishing-Attacken dar.
Das IoT ist an sich keine Gefahr. Gefährlich sind schlecht konfigurierte Geräte. Mitunter kommen sogar Geräte ohne Sicherheitsfunktionen auf den Markt.
Der Trend dazu kam schon 2015 auf und sollte 2017 eigentlich längst Standard sein.
CTO bei Performics
2016 war wohl das Jahr der DDoS-Angriffe durch IoT-Geräte und der massiven Infektionen durch Ransomware. Glücklicherweise haben bei uns keine Angriffe zu einem Schaden geführt.
Orientierung für Seitenbetreiber bietet die Dokumentensammlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die darin enthaltenen Empfehlungen und vorgeschlagenen Maßnahmen müssen von einem geschulten IT-Team korrekt umgesetzt werden, damit sie ihre Wirkung entfalten können.
Umfangreiche Sicherheitsprüfungen können auch spezialisierte Agenturen durchführen, die oft auch Sicherheitssiegel vergeben. Diese werden nach Bestehen mehrstufiger Sicherheits-Audits ausgestellt.
„Spektakulär“ war zweifelsohne die Entdeckung, dass ein als Sicherheitssoftware weitverbreitetes Browser-Add-on („Web of Trust“) heimlich persönliche Daten von Millionen von Nutzern auf die Server des Betreibers überspielt hat. Durch das Add-on wurden detaillierte Nutzerprofile erstellt.
„Gefährlich“ waren die unterschätzten DDoS-Angriffe von Abertausenden schlecht gesicherten Internet-of-Things-Geräten, die Server und DNS-Infrastruktur zum Kollaps brachten.
Es gibt eine Reihe von Tools und Dienstleistungen. Sie reichen von einer einfachen Signaturprüfung des ausgelieferten Codes bis hin zu komplexeren Sicherheitsprüfungen. Dabei werden die Versionen des Content-Management-Systems und der installierten Plug-ins geprüft. So lässt sich ausschließen, dass bekannte Sicherheitslücken bestehen.
Die Sicherheit ist allerdings mitunter trügerisch, denn Schadprogramme können durchaus erkennen, ob ein Sicherheitsscanner oder ein Nutzer eine Seite aufruft und dann die Ausführung von Schadprozessen ggf. aussetzen, um unerkannt zu bleiben.
Beispiele für Prüf-Tools sind:
Brute-Force-Login-Versuche im Backend von WordPress sind minütlich zu verzeichnen. Mehrere Male die Stunde werden XSS- und SQL-Injection-Angriffe über URL-Parameter versucht. Täglich wird zusätzlich die Existenz bestimmter Softwarepfade geprüft, auf der Suche nach anfälligen Plug-ins und Softwareversionen.
Gesammelte Nutzerdaten sind sowohl für die jeweiligen Anbieter als auch für Datendiebe interessant. Grundsätzlich kann jeder Nutzer der Datenerfassung förmlich widersprechen – ob der Betreiber dem tatsächlich Folge leistet, ist selten nachvollziehbar.
Um zu verhindern, dass sich durch Daten umfassende Nutzerprofile erstellen lassen, kann man bei kostenlosen Diensten absichtlich Fehler in Adressen und Namen einbauen. Wo korrekte Daten aufgrund bindender Vorgaben (Kaufprozesse, Identifizierung) notwendig sind, können diese nach Abschluss des Kaufs bzw. im Anschluss an die Authentifizierung wieder leicht abgeändert werden. Auch das Entfernen von Bankdaten aus Onlineshops nach Kaufabschluss stellt sicher, dass die Daten nicht Jahre später doch noch in falsche Hände geraten.
Besonders Dienste und Anwendungen mit großer Verbreitung sind potenzielle Gefahrenherde:
Einen 100-prozentigen Schutz vor künftigen Gefahren gibt es leider nicht. Zum Teil sind sie heute noch nicht einmal bekannt. Generell hilft es, seine Websites auf aktuellen Serversystemen zu betreiben, bewährte und vielfach getestete Content-Management-Systeme einzusetzen und die Update- und Patch-Zyklen der verwendeten Software einzuhalten.
Software für den Betrieb der Website (Plug-ins, Add-ons) sollte nur aus sicheren Quellen stammen und aus sicheren Verzeichnissen heraus installiert werden. Hier gilt es, auf Reputation und Erfahrung zu achten. Wenn Nutzerdaten gespeichert werden, dann in verschlüsselter Form. Stellt die Website eine beträchtliche Investition dar, sollte auch eine spezialisierte Agentur mit der Prüfung und dem Schutz beauftragt werden.
Institutsdirektor und Geschäftsführer am Hasso-Plattner-Institut für Softwaresystemtechnik GmbH
In der letzten Zeit mussten wir einige Brute-Force- und Cross-Site-Scripting-Angriffe abwehren.
Es ist unabdingbar, Nutzereingaben zu überprüfen und eine zusätzliche Absicherung aller Seiten mittels HTTPS zu gewährleisten. Damit können die am weitesten verbreiteten Angriffe abgewehrt und außerdem die Integrität und Vertraulichkeit der Website gesichert werden.
Im vergangenen Jahr war einer der spektakulärsten Angriffe sicherlich der DDoS-Angriff des Mirai-Botnet. Der Datenverkehr dieses Angriffes war sehr beeindruckend. Derartige DDoS-Angriffe abzuwehren bzw. sich dagegen zu schützen, ist nach wie vor alles andere als einfach.
Die notwendigen Standards werden normalerweise durch Symbole im Browser kenntlich gemacht. So wird zum Beispiel ein gültiges Zertifikat durch ein grünes Symbol gekennzeichnet. Zusätzlich überprüfen viele Browser, ob Login-Formulare auf ungesicherten Seiten vorhanden sind, und heben dies dann auch hervor. Bei Google Chrome zum Beispiel gibt es verschiedene Sicherheitswarnungen, die Probleme oder veraltete Verfahren kenntlich machen. Der Nutzer muss dann noch einmal explizit sein Einverständnis zum Fortfahren geben.
Diese Frage ist nicht eindeutig zu beantworten. Diese Firmen unterstehen natürlich gewissen Richtlinien, die sie zur Herausgabe der Daten zwingen können. Allerdings versuchen sich die Firmen so gut es geht, gegen die Herausgabe zu wehren, um die eigenen Nutzer zu schützen. Apples Streit mit dem FBI ist das bekannteste Beispiel.
Natürlich gibt es keine Garantie, dass Daten auf fremden Servern absolut sicher verwahrt sind. Man muss aber auch sagen, dass gerade die namhaften Dienste in der Regel gute Schutzmaßnahmen ergreifen, um unbefugte Zugriffe zu verhindern. Ebenso muss man sich fragen, ob die persönlichen Daten auf alternativen Ablagen sicherer sind. Privatrechner können in der Regel einfacher gehackt werden als professionell gewartete Server global agierender Unternehmen.
Das Internet of Things wird eine große Rolle bei zukünftigen Angriffen spielen. Zum einen sind viele Geräte im IoT unzureichend gesichert und können so missbraucht werden. Zum anderen gibt es so viele Geräte mit einer Internetanbindung, dass ein Zusammenschluss dieser Geräte eine immense Datenflut erzeugen könnte. Das Mirai-Botnet hat sich das beispielsweise zunutze gemacht.
Zwei- oder Mehr-Faktor-Authentifizierung ist meiner Ansicht nach eine sinnvolle Ergänzung dafür, Zugänge zu Diensten abzusichern.
Für den Nutzer bedeutet es meist einen etwas größeren Aufwand, wenn er zum Beispiel nach dem Passwort auch noch einen über das Handy zugeschickten Code eingeben muss. Mit Blick auf die verbesserte Sicherheit ist dieser Mehraufwand aber gerechtfertigt. Selbst wenn Angreifer ein Passwort erbeutet haben, sind sie dann immer noch nicht in der Lage, sich unbefugt einzuloggen, weil der zweite Faktor fehlt. Da das Sicherheitsbewusstsein generell steigen wird bzw. steigen muss, denke ich, dass immer mehr Dienste eine stärkere Authentifizierung verwenden werden.
Leitung Solution Competence Center Product Life Cycle Management bei der Zeiss AG und Gesellschafter und Product Lead bei der Inpsyde GmbH
Von allgemeinen „Standards“ zu sprechen, ist eher schwierig. Wir definieren als Unternehmen selbst Standards und übertragen diese ggf. auf die Kunden. Im E-Commerce-Umfeld gibt es eine Reihe von Regeln, die immer wieder Anwendung finden; aber auch die müssen entsprechend ausgelegt werden.
„Spektakulär“ sind immer Angriffe auf Teile der Industrie bzw. Wirtschaft – beispielsweise auf Kraftwerke. Von ihnen sind zwangsläufig auch Bürger betroffen.
Als besonders gefährlich erachte ich den Diebstahl von Nutzerdaten – insbesondere wenn es damit möglich ist, personalisierte Profile zu erstellen und in der Folge zu missbrauchen.
Viele der Zertifikate sind nicht sonderlich aussagekräftig. Nutzer nehmen sie zwar wahr, weil sie eingeblendet werden, aber die Prüfverfahren dahinter sind nicht bekannt oder schwer ersichtlich für den Nutzer.
Ja. Ich finde vor allem die Konzentration der Nutzerdaten in zu wenigen Händen bedenklich. Wenn wenige Akteure Zugriff auf große Datenmengen haben, können sie diese weitreichend einsetzen – und besitzen zudem einen Wettbewerbsvorteil.
Ich sehe vor allem Gefahren aus der verstärkten Nutzung von Cloudspeicher-Diensten erwachsen, und neue Gefahren, die sich aus der Tatsache ergeben, dass es immer mehr Geräte mit einem Netzzugang gibt. Sicherheit spielt da kaum eine Rolle. Nutzer wollen eine möglichst große Funktionalität und neue Features; bei den Unternehmen stehen häufig die Gewinne im Vordergrund. Das Thema Sicherheit rückt fast zwangsläufig in die zweite Reihe.
Nein. Nur wenige Nutzer arbeiten damit, und daran wird sich wohl auch in Zukunft nicht viel ändern. Es wurde zu wenig Aufklärung betrieben. Außerdem stellt das Verfahren eine praktische Hürde im Alltag dar.
Nur bedingt, aber er kann sicher mehr Aufmerksamkeit auf das Thema lenken.
Nein. Versicherungen kommen nur zum Tragen, wenn ein Problem besteht oder der Schaden bereits entstanden ist. Das Augenmerk sollte stattdessen auf Prävention und Vermeidung liegen.
CEO bei goSecurity
Für Seitenbetreiber sehe ich vor allem zwei große Risikobereiche: gehackte Seiten und lahmgelegte Infrastruktur infolge von DDoS-Attacken.
Spektakulär war die Attacke des Persirai-Botnets. Diese DDoS-Attacke machte sich anfällige IP-Kameras zunutze. Sobald die Malware eine Kamera erfolgreich angegriffen hatte, führte sie von außen gegebene Befehle aus. Vielen Nutzern ist gar nicht bewusst, dass ihre Kamera Teil eines Botnets ist.
Ich erachte sowohl SSL- als auch Qualys-Tests als sinnvoll für Seitenbetreiber.
Ja, das Thema „gläserner Bürger“ ist aktueller denn je. Die großen Player haben Zugriff auf unglaubliche Datenmengen. Wie sich der Umgang mit diesen Daten entwickelt, ist entscheidend.
Als sehr groß! Die Hersteller kümmern sich einfach viel zu selten um sicherheitsspezifische Fragen. Welche Folgen das haben kann, hat das erwähnte Persirai-Botnet gezeigt.
Nein, das sind sie ganz klar nicht. Die Policen, die ich kenne, sind reine Alibi-Maßnahmen.
Hacker, IT-Sicherheitsexperte und Angestellter in einem großen deutschen IT-Sicherheitsunternehmen
Ransomware und Mass-Exploit-Scanning (z. B. bei T-Online-Routern) sind nach wie vor relevante Themen. Dazu gibt es laufend Betrugsversuche durch Phishing (bzw. Social Engineering im Allgemeinen) und Website-Hacks.
Es gibt eine Reihe von Reports, festgelegten Standards und Zertifizierungen, die sowohl Betreibern als auch Seitenbesuchern weiterhelfen können:
Es entwickelt sich immer mehr zum Standard. Gerade Google und andere Browser-Entwickler bauen vermehrt Druck auf Seitenbetreiber auf, HTTPS zu integrieren. HTTPS/TLS sollte in jedem Fall Standard sein, weil (fast) alle Daten einen gewissen Sensibilitätsgrad aufweisen – zumindest aus Sicht des Nutzers.
Die unachtsame Weitergabe oder der Verlust von Nutzerdaten stellen eine große Gefahr dar. Beispiele dafür sind die Datenlecks bei Yahoo und Adobe.
Aus Sicht eines Unternehmens sollte Compliance ein Ziel sein. Grundlagen für Compliance-Richtlinien sind das Bundesdatenschutzgesetz und ab Mai 2018 die noch viel schärfere neue EU-Datenschutzgrundverordnung. Außerdem sollten bewährte Security-Standards eingehalten werden. Wichtig sind hier z. B. das „Least Privileges“-Prinzip und das „Need to know“-Prinzip.
Ransomware wird weiterhin verstärkt auftauchen. Die Zahl von verschiedenen Malware-Varianten steigt supralinear. Dank Industrie 4.0 und IoT gehen immer mehr Maschinen ans Netz. Aufgrund des Wettbewerbs will jedes Unternehmen das schnellste sein. Darunter leiden die Sicherheitsstandards. Aktuell wurden z. B. über 40 Sicherheitslücken in Samsungs Entertainment-OS Tizen gefunden. Es kommt in Smart-TV zum Einsatz. Das Sicherheitsbewusstsein der marktbeherrschenden Hersteller ist desolat.
Sowohl Kunden als auch Hersteller müssen ein Bewusstsein dafür entwickeln, wie sie verantwortungsvoll mit Informationen umgehen und wann sie diese preisgeben. Was außerdem effizienter werden sollte: Es müssen Qualitätsvorgaben (auch gesetzlich) definiert und umgesetzt werden.
Welchen Infoquellen nutzen Sie, um up to date zu bleiben?
Eine Reihe von Kanälen: bsi-fuer-buerger.de, die CERT-News des BSI und dann noch diverse Blogs und Seiten wie den Google Security Blog, CIO.com, Darkreading.com ...
Der DsiN ist ein Mosaiksteinchen dafür, ja; aber allein nicht aussagekräftig.
Vorstand der Bundesgeschäftsstelle Sicher-Stark-Stiftung e.V.
Hackerangriffe haben wir (leider) jeden Tag.
Auch Haushalte waren häufig betroffen von Phishing-Angriffen, Malware-Befall, Browserumleitungen und dem sogenannten BKA-Trojaner. Außerdem geht von E-Mail-Anhängen nach wie vor eine große Gefahr aus.
In Unternehmen sind es vor allem Angriffe auf Firewalls und sicherheitsrelevante Systeme durch E-Mails.
Wir waren vom BKA-Trojaner in der ersten Stufe betroffen, konnten unser System aber nach zwei Stunden wieder flottmachen – ohne Lösegeld zu zahlen.
Jein. Grundsätzlich ist HTTPS positiv zu bewerten, aber auch dieses Protokoll ist „hackbar“. Ich würde mir wünschen, dass die Provider es kostenlos anbieten.
Leider jeden Tag, wobei die Mehrheit der Attacken über Mails erfolgt.
Vor allem in Shops sind SSL-Zertifikate wichtig. Im Grunde sollte sie jeder Anbieter einführen. In diesem Bereich würde ich mir noch mehr Aufklärung von der Bundesregierung wünschen. Als kleine Bundesgeschäftsstelle haben wir nicht die notwendigen Mittel dafür, Verbraucher ausreichend zu informieren. Und auch hier wünsche ich mir, dass ein solcher Sicherheitsstandard schon von Providern bzw. Hosting-Anbietern kostenlos zur Verfügung gestellt wird.
Ja. An diesen Stellen sind große Datenmengen konzentriert, zu viele meiner Meinung nach. Zudem sind das beliebte Angriffsziele. Die EU und die USA haben sich auf eine Neuregelung für den transatlantischen Datenaustausch geeinigt, was gut ist. Trotzdem bleiben Sicherheitsfragen bestehen, vor allem wenn es um Angriffe aus dem Netz geht. Diese wird es zweifellos auch in Zukunft geben.
Häufig besuche ich die Seiten des BSI und diverse Online-Portale.
Es kommt darauf an, wie viel Geld zur Verfügung steht und was abgesichert werden soll. Grundsätzlich sind Policen nicht schlecht, aber es kommt auf den jeweiligen Inhalt einer Police an.
Director Technology bei Chrono24
Rechtlich gesehen: nein. Allerdings sind wir als Websitebetreiber natürlich stets bemüht, unsere Seite sicherheitstechnisch auf einem sehr hohen Niveau zu betreiben und fortzuentwickeln. Wir haben beispielsweise die aktuelle OWASP-Top-10-Liste im Blick, damit wir ggf. weitverbreitete Sicherheitslücken auf unserer Plattform schnell schließen können.
Die DDoS-Attacke auf KrebsOnSecurity.com war einer der spektakulärsten Angriffe, weil die Mitigation erst durch Googles Project Shield möglich wurde. Sogar ein „Global Player“ wie Akamai war mit einem Angriff dieser Dimension überfordert.
Ja, es gibt durchaus sinnvolle Schnelltests. Wenn man aber Wert auf Sicherheit legt und daraus Nutzen ziehen will, braucht man auch Experten, die diese Tools richtig einsetzen können.
Die Gefahr bei der Sammlung von Nutzerdaten sehe ich vor allem im missbräuchlichen Umgang mit den Daten. Hier besteht zum einen Gefahr durch kriminelle Machenschaften (z. B. Diebstahl von Kreditkarteninformationen). Zum anderen stellen auch Unternehmen ein Risiko dar, wenn sie die Nutzerdaten ohne Zustimmung der Nutzer sammeln und dann sogar weiterverkaufen.
Diverse Angriffe in der jüngeren Vergangenheit haben gezeigt, dass vom IoT relativ große Gefahr ausgeht. Die entsprechenden Geräte sind oftmals nicht ausreichend geschützt. Solche Botnets, die sich das IoT zunutze machen, können dadurch zunehmend mächtiger werden.
Vor allem Blogs und News-Seiten. www.heise.de/security/ finde ich beispielsweise hilfreich.
Mir ist der Index bisher kein Begriff.
Head of Information Security bei 1&1 IONOS Internet SE
Die größte Gefahr geht von professionell arbeitenden, wirtschaftlich orientierten Angreifergruppen aus. Diese bleiben über längere Zeit aktiv und entwickeln ihre Tools und Methoden kontinuierlich weiter. Solche Gruppen nutzen unterschiedliche Angriffsvektoren:
HTTPS mit einem sinnvoll und sicher konfigurierten TLS als Basis gehört inzwischen zur Grundausstattung einer Website. Es ist im Übrigen auch aus Sicht von Kunden immer mehr ein „Muss“ geworden in der „Post-Snowden-Ära“. Wenngleich aktuelle Vorfälle zeigen, dass auch HTTPS nicht unfehlbar ist – das Vertrauen der Kunden in das Schlosssymbol im Webbrowser ist nach wie vor groß.
Es gibt durchaus Schnelltests, die sinnvolle Ergebnisse liefern. Man kann sie zielgerichtet als Diagnose-Instrumente einsetzen, um die Sicherheit einer Website zu prüfen und zu verbessern. Beispiele sind TLS-Tests wie der von SSL Labs oder Vulnerability Scanner wie Nessus.
Man sollte sich aber immer im Klaren sein, dass die Schnelltests nur einen Teil der Angriffsoberfläche prüfen. Bei selbstentwickelten Webanwendungen ist sogenannte „Application Penetration“ ergänzend zu den gängigen Schnelltests Pflicht. Darüber hinaus ändern sich für die Sicherheit relevante Bereiche mit der Zeit, z. B. durch neue Updates. Ein nachhaltiges Testkonzept sollte auch diese einbeziehen.
Wenn man alle Attacken inklusive DDoS-Angriffen mitzählt, sind es sicher viele Tausend pro Monat. Ohne einen sinnvollen, automatisiert arbeitenden „Breitbandbasisschutz“ wäre die Verfügbarkeit einer Website nicht zu gewährleisten. All diese Angriffe bleiben im Wesentlichen erfolglos.
Eine Reihe von Online-Quellen berichtet von der steigenden Bedrohung durch DDoS-Attacken. Das IoT wird durch Skalierung der Geräte und Schwachstellen diese Bedrohung sicher vergrößern. Nicht zu unterschätzen ist außerdem das Social Engineering, das den Menschen als Schwachstelle nutzen will. Die Methoden der Angreifer werden auch hier immer ausgefeilter.
Wenn man in seinem Portfolio der Sicherheitsmaßnahmen präventive Maßnahmen nicht vernachlässigt, ist man gegen zukünftige Gefahren gut geschützt. Ein gutes Monitoring hilft bei der Erkennung neuer Angriffe. Sichere Softwareentwicklung schützt nicht nur gegen einzelne Gefahren, sondern adressiert ganze Gefahrenklassen.
Zwei-Faktor-Authentifizierung ist bereits seit mehreren Jahren ein wichtiger Trend und gehört inzwischen zu den „Industry Best Practices“. 2017 geht es vor allem in Bezug auf die Nutzerfreundlichkeit darum, kombinierte Authentifizierungsmethoden zu verbessern.
Gute Sicherheitskennzahlen sind dafür wichtig, steuernd Einfluss auf das Sicherheitsniveau nehmen zu können. Der DsiN-Sicherheitsindex wird hier sicher einen positiven Beitrag leisten, sollte allerdings nicht als einzige Informationsquelle herangezogen werden.
Cyber-Policen sind noch verhältnismäßig neue Instrumente. Sowohl Anbieter als auch Kunden sind noch dabei, sich auf diese einzustellen. Eine Entscheidung für oder gegen eine Police muss auf Grundlage einer fundierten Risikobewertung stattfinden und vor allem die Kosten- sowie die Nutzenseite einander transparent gegenüberstellen.
Projektmanagement, Websicherheit, Programmierung bei Forward Marketing® GbR
Jede Seite sollte HTTPS nutzen, spätestens seit das kostenfreie Let´s Encrypt SSL-Zertifikat bei vielen Hosting-Anbietern direkt nutzbar ist. Abgesehen davon ist auch das Bundesdatenschutzgesetz zu beachten. Google bewertet mittlerweile SSL stark positiv – und die Nutzer legen zunehmend ein Augenmerk darauf. Kurzum: 2017 sollte jede Webseite SSL implementiert haben.
Den meisten Nutzern sind diese Standards nicht bewusst, sie achten jedoch auf Siegel und zunehmend die grüne Adresszeile (SSL-Schutz). Ein Webseitenbetreiber kann sich positiv abheben, indem er/sie dies plastisch erklärt, z. B. im Impressum oder einer eigens dafür eingerichteten Unterseite.
Die Gefahren liegen in der Datenspeicherung selbst und der damit verbundenen potenziellen Profilerstellung zu „Marketingzwecken“. Entgegenwirken kann man dem durch bewusstes Medienverhalten, Nachhaken bei Seitenbetreibern sowie natürlich auch durch Anonymisierungs-Anwendungen wie z. B. Tor.
Da wird sich im Vergleich zur aktuellen Lage nicht viel ändern. DDoS-, SQLI-, XSS- und Brute-Force-Attacken werden weiter die Spitze bilden. An Relevanz gewinnen werden verbundene Marketing-Daten wie Profilerhebung und Interessenanalyse in Bezug auf das digitale Verhalten und folgender potenzieller Manipulation.
Das ist eine ganze Reihe – beispielsweise heise.de/security, thehackernews.com und Twitter.
Die Interviewten stimmen nicht in allen Bereichen darin überein, welche Gefahren im Web lauern und wie man diesen am besten entgegnen kann: Bei einzelnen Themen gehen die Expertenmeinungen durchaus auseinander, etwa in der Frage, ob sich Cyber-Policen (die greifen, wenn durch Cyberattacken Schäden entstanden sind) oder die Zwei-Faktor-Authentifizierung (für die sicherere Anmeldung bei einem Internetdienst) auf lange Sicht durchsetzen werden. Auch die Tatsache, dass große Mengen der Daten bei wenigen Global Playern liegen, sehen nicht alle Befragten als überwiegend negativ an.
Doch abgesehen hiervon besteht in den meisten Bereichen der Websicherheit ein deutlicher Konsens unter den interviewten Internet-Security-Spezialisten – insbesondere bei allen elementaren Sicherheitsfragen herrschte Einigkeit. Zusammenfassend lassen sich folgende Richtlinien, Einschätzungen und Tipps für Website-Betreiber und -Besucher festhalten:
Der Sicherheitsindex vom „Deutschland sicher im Netz e. V.“ (der Verein steht unter der Schirmherrschaft des Bundesministeriums des Inneren) ist laut Selbstbeschreibung „ein etablierter Gradmesser für die Sicherheitslage der Verbraucher im Cyberraum in Deutschland“. Laut der Experten gibt der DsiN-Sicherheitsindex durchaus Aufschluss über Teilbereiche der deutschen Cybersecurity. Um jedoch ein ganzheitliches Bild der Sicherheitslage im Netz zu bekommen, sollte man noch weitere Informationsquellen miteinbeziehen.
Im digitalen Zeitalter greifen wir immer häufiger auf Cloud-Dienste zurück: Im Job bearbeiten Teams ihre Projekte gemeinsam in der Cloud, in der Freizeit teilt man die Fotos des letzten Urlaubs über einen Onlinespeicher. Dabei ist die Cloud-Nutzung keineswegs frei von Sicherheitsrisiken. Besonders die Multi-Cloud-Umgebungen größerer Unternehmen werden zur Herausforderung für die Datensicherheit –...
