CTO bei Performics
Von welcher Art von Hackerangriffen haben Sie im letzten Jahr am häufigsten gehört bzw. von welchen waren Sie selbst betroffen?
2016 war wohl das Jahr der DDoS-Angriffe durch IoT-Geräte und der massiven Infektionen durch Ransomware. Glücklicherweise haben bei uns keine Angriffe zu einem Schaden geführt.
Was sind aus Ihrer Sicht als Websitebetreiber derzeit die 3 größten Gefahren im Internet?
- Drive-by-Downloads von Schadprogrammen, die sich vom Betreiber unerkannt auf Websites einnisten und deren Besucher mit Viren oder Ransomware infizieren.
- DDoS-Angriffe, die eine Website oder einen Webshop erst „offline“ nehmen und dann Lösegeld verlangen.
- Unsicher programmierte WordPress-Plug-ins und Browser-Add-ons.
Gibt es Sicherheitsstandards, die man als Websitebetreiber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Unternehmen sicher zu machen?
Orientierung für Seitenbetreiber bietet die Dokumentensammlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die darin enthaltenen Empfehlungen und vorgeschlagenen Maßnahmen müssen von einem geschulten IT-Team korrekt umgesetzt werden, damit sie ihre Wirkung entfalten können.
Umfangreiche Sicherheitsprüfungen können auch spezialisierte Agenturen durchführen, die oft auch Sicherheitssiegel vergeben. Diese werden nach Bestehen mehrstufiger Sicherheits-Audits ausgestellt.
Welchen Angriff des vergangenen Jahres schätzen Sie als besonders gefährlich und welchen als besonders spektakulär ein?
„Spektakulär“ war zweifelsohne die Entdeckung, dass ein als Sicherheitssoftware weitverbreitetes Browser-Add-on („Web of Trust“) heimlich persönliche Daten von Millionen von Nutzern auf die Server des Betreibers überspielt hat. Durch das Add-on wurden detaillierte Nutzerprofile erstellt.
„Gefährlich“ waren die unterschätzten DDoS-Angriffe von Abertausenden schlecht gesicherten Internet-of-Things-Geräten, die Server und DNS-Infrastruktur zum Kollaps brachten.
Gibt es Schnelltests, mit denen man die Sicherheit einer Website überprüfen kann, und wenn ja, wie sinnvoll finden Sie diese?
Es gibt eine Reihe von Tools und Dienstleistungen. Sie reichen von einer einfachen Signaturprüfung des ausgelieferten Codes bis hin zu komplexeren Sicherheitsprüfungen. Dabei werden die Versionen des Content-Management-Systems und der installierten Plug-ins geprüft. So lässt sich ausschließen, dass bekannte Sicherheitslücken bestehen.
Die Sicherheit ist allerdings mitunter trügerisch, denn Schadprogramme können durchaus erkennen, ob ein Sicherheitsscanner oder ein Nutzer eine Seite aufruft und dann die Ausführung von Schadprozessen ggf. aussetzen, um unerkannt zu bleiben.
Beispiele für Prüf-Tools sind:
Wie häufig wird Ihre Website im Schnitt pro Monat attackiert?
Brute-Force-Login-Versuche im Backend von WordPress sind minütlich zu verzeichnen. Mehrere Male die Stunde werden XSS- und SQL-Injection-Angriffe über URL-Parameter versucht. Täglich wird zusätzlich die Existenz bestimmter Softwarepfade geprüft, auf der Suche nach anfälligen Plug-ins und Softwareversionen.
Wo sehen Sie Gefahren bei der Sammlung von Nutzerdaten, und wie kann man diesen Gefahren entgegenwirken?
Gesammelte Nutzerdaten sind sowohl für die jeweiligen Anbieter als auch für Datendiebe interessant. Grundsätzlich kann jeder Nutzer der Datenerfassung förmlich widersprechen – ob der Betreiber dem tatsächlich Folge leistet, ist selten nachvollziehbar.
Um zu verhindern, dass sich durch Daten umfassende Nutzerprofile erstellen lassen, kann man bei kostenlosen Diensten absichtlich Fehler in Adressen und Namen einbauen. Wo korrekte Daten aufgrund bindender Vorgaben (Kaufprozesse, Identifizierung) notwendig sind, können diese nach Abschluss des Kaufs bzw. im Anschluss an die Authentifizierung wieder leicht abgeändert werden. Auch das Entfernen von Bankdaten aus Onlineshops nach Kaufabschluss stellt sicher, dass die Daten nicht Jahre später doch noch in falsche Hände geraten.
Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?
Besonders Dienste und Anwendungen mit großer Verbreitung sind potenzielle Gefahrenherde:
- Mobile Payment und besonders Bezahlsysteme in Onlineshops sind interessant für Betrüger und Datendiebe.
- Home-Automation-Systeme mit schlecht geschützten Weboberflächen laden zu Spionage und Sabotage ein.
- Homogene Frameworks und Content-Management-Systeme mit großer Verbreitung machen es Angreifern leicht, Schwachstellen bei einer großen Zahl von Websystemen auszutesten.
- Angriffe auf die Internetinfrastruktur, wie z. B. DDoS-Angriffe, sind ein ernstzunehmendes und schwer kontrollierbares Risiko für jeden Webauftritt.
Gibt es Möglichkeiten, sich vor zukünftigen Gefahren zu schützen?
Einen 100-prozentigen Schutz vor künftigen Gefahren gibt es leider nicht. Zum Teil sind sie heute noch nicht einmal bekannt. Generell hilft es, seine Websites auf aktuellen Serversystemen zu betreiben, bewährte und vielfach getestete Content-Management-Systeme einzusetzen und die Update- und Patch-Zyklen der verwendeten Software einzuhalten.
Software für den Betrieb der Website (Plug-ins, Add-ons) sollte nur aus sicheren Quellen stammen und aus sicheren Verzeichnissen heraus installiert werden. Hier gilt es, auf Reputation und Erfahrung zu achten. Wenn Nutzerdaten gespeichert werden, dann in verschlüsselter Form. Stellt die Website eine beträchtliche Investition dar, sollte auch eine spezialisierte Agentur mit der Prüfung und dem Schutz beauftragt werden.