Website Security: So schützen Sie Ihre Seite in 5 Schritten

Ein kleines Datenleck kann schwerwiegende Folgen für Unternehmen haben: Umsatzausfall, Reputationsschäden, Zivilklagen. Viele Firmen, allen voran Onlineshops, genießen das Vertrauen zahlreicher Kunden, die ihnen persönliche Daten und teilweise sogar Konto- und Kreditkarteninformationen anvertrauen. Diese Daten muss man schützen – denn Cyber-Angriffe sind im Online-Business ein alltägliches Problem. Auch die DSGVO erlegt Website-Betreibern eine Sorgfaltspflicht auf: Sensible Nutzerdaten müssen ausreichend geschützt werden. Neben dem regelmäßigen Website Security Check können Unternehmen auch zusätzliche Sicherheitsmaßnahmen nutzen.

Das Versprechen vieler Anbieter: Mit wenigen Klicks zur eigenen Homepage. Und tatsächlich kann man heutzutage eine eigene Website ohne großen Programmieraufwand innerhalb kürzester Zeit veröffentlichen. Für Blogs, Shops oder Newsseiten sind die unterschiedlichsten Webanwendungen auf dem Markt verfügbar. Doch die Content-Management-Lösungen, Shopsysteme oder Foren-Software, die dabei zum Einsatz kommen, stellen auch ein erhebliches Sicherheitsrisiko da. Denn „Open-Source“ bedeutet nicht nur, dass der Quellcode für alle Nutzer frei verfügbar ist, es ist auch ein offenes System für Hacker und andere Cyber-Kriminelle.

Wer kein Content-Management-System verwenden möchte und dennoch komfortabel an eine Website kommen will, kann auf einen Website-Builder zurückgreifen. Wie in einem Baukastensystem kann man die einzelnen Elemente einer Homepage zusammenstellen – ohne sich dabei um komplexe Konfigurationen kümmern zu müssen. Man überlässt also auch einige Sicherheitsvorkehrungen dem Anbieter. Da sich hier allerdings Experten damit auseinandersetzen, kann man sich getrost auf Inhalte und Gestaltung konzentrieren.

Über 35 Prozent aller Websites im Internet basieren auf dem Content-Management-System WordPress. Die Community zählt, ähnlich wie Joomla oder TYPO3, sehr viele aktive Mitglieder. Jedes davon hat die Möglichkeit, eigenständig Erweiterungen, Plug-ins, Module oder Templates zu entwickeln und sie der Gemeinschaft zur Verfügung zu stellen. Dieser Open-Source-Ansatz ist bei Nutzern beliebt – nicht zuletzt aufgrund der Kostenersparnis. Doch beliebt sind die populären CMS-Programme und ihre Plug-ins auch bei Hackern, die es auf große, weit verbreitete Systeme abgesehen haben.

Die Cyberkriminellen machen Schwachstellen in diesen Systemen ausfindig und können so erheblichen Schaden anrichten: Sie verschaffen sich zum Beispiel durch Phishing Zugriff zu sensible Kundendaten wie Login-Daten oder Zahlungsinformationen. Oder sie platzieren Trojaner und Viren, die Websitebesucher unbemerkt über einen sogenannten „drive-by-download“ herunterladen, und nutzen die Website, um Spam zu verbreiten. Die Viren können beim Unternehmen selbst Serverausfälle und sogenannte Down-Times auslösen – der Umsatz bleibt aus. 

Die schwerwiegenden Folgen unzureichender Website-Sicherheit sind:

• Datenmissbrauch
• Identitätsdiebstahl
• Reputationsschäden
• Umsatzausfälle
• Klagen 

Sicherheitslücken kann man schließen, bevor ein Schaden entsteht. Vorausgesetzt, man entdeckt sie, bevor es ein krimineller Internetnutzer tut. Ein Website Security Check steht deshalb an erster Stelle, will man die Sicherheit für seinen Webauftritt zu erhöhen. Einen kostenlosen Security Check können Sie bei folgenden Anbietern durchführen lassen:

• SIWECOS
• virustotal
• WordPress Security Scan
• Nikto Website Scanner

Um die Website-Sicherheit zu prüfen, führen die meisten Anbieter einen sogenannten Penetrationstest durch. Dabei simuliert man einen Hacker-Angriff (z. B. ein unautorisiertes Eindringen in das System), um mögliche Schwachstellen im System aufzudecken.

1. Auf Aktualität achten

Die Internet-Community entwickelt Open-Source-Lösungen kontinuierlich und erkennt Bugs und Sicherheitslücken in der Regel schnell und behebt diese noch schneller. Von der fixen Reaktion der Community und dem Entwicklerteam profitiert man allerdings nur, wenn man sein System immer auf den neuesten Stand hält. Bei vielen CMS-Lösungen lassen sich Updates durch Plug-ins automatisieren. Mit dem „Easy-Update Manager“ für WordPress hält man das beliebte System aktuell und trägt damit aktiv zur Website-Sicherheit bei. Da Plug-ins und andere Add-ons eigenständige Programme darstellen, muss man diese natürlich separat auf Aktualität prüfen.

Aber auch wenn Sie Ihre Website ohne Hilfe eines CMS zusammengestellt haben, sollten Sie auf aktuelle Versionen achten. PHP oder MySQL beispielsweise sollten stets auf dem neuesten Stand sein, um Angreifern keine offenen Türen zu präsentieren.

2. Regelmäßige Back-ups

Haben sich Hacker trotz Sicherheitsvorkehrungen Zugriff verschafft, können sie erheblichen Schaden anrichten. Es kommt nicht nur häufig zu Datenspionage- und missbrauch, sondern Hacker überschreiben oder löschen auch ganze Datenbanken, um ihre Spuren zu verwischen. Alle wichtigen Inhalte sollte man deshalb regelmäßig sichern. Das ist Vorsorge in zweierlei Hinsicht: Auch bei einem Standard-Update können unter Umständen individuell angepasste Systemdateien überschrieben werden. Ein regelmäßiges Back-up aller Daten ist deshalb für jedes Unternehmen ein Muss.

Auch für diese Vorkehrung gibt es Hilfsmittel: Für WordPress gibt es verschiedenste Plug-ins und auch andere CMS kann man mit entsprechenden Erweiterungen ausstatten, um ein Backup der kompletten Website zu erleichtern. Arbeitet man hingegen ohne ein CMS, kann man den Serverinhalt manuell extern speichern oder man greift zu einem Tool wie rsync.

3. Sichere Log-in-Daten

Sichere Zugangsdaten sollten selbstverständlich sein. Doch im Alltag sieht das das anders aus, denn das beliebteste Passwort bleibt die Zahlenfolge „123456“. Außerdem übernehmen viele Nutzer vom System vorgeschlagene Benutzernamen wie „Admin“ oder „Administrator“ – in Kombination mit schwachen Passwörtern ein leichtes Ziel für Hacker. Für Benutzernamen wie Passwörter gilt: keine Klarnamen oder einfache, leicht durchschaubare Kombinationen. Ein sicheres Passwort benötigt eine zufällige Zeichenfolge und muss ausreichend lang sein.

4. Informiert bleiben

Wer seine Website vor Hackern und anderen kriminellen Cyber-Angriffen schützen will, sollte sich regelmäßig über aktuelle Gefahren und Sicherheitslücken informieren. Die erste Anlaufstelle ist dabei natürlich die jeweilige Community. In den meisten Foren gibt es zahllose Threads zum Thema Website Security. Dort werden mögliche Sicherheitsrisiken meist als erstes erkannt, besprochen und im Idealfall sofort behoben. Um sich über systemunabhängige Risiken zu informieren, lohnt sich beispielsweise der Blick auf die Seite des Bundesamtes für Sicherheit in der Informationstechnik.

5. HTTPS und SSL-Zertifikat

HTTPS sichert den Austausch sensibler Daten. Mithilfe von SSL (Secure Socket Layer) findet der Datenaustausch zwischen Server und Client verschlüsselt statt. So können Hacker die übertragenen Daten nicht ohne weiteres mitlesen oder abfangen. Das Zertifikat kann auf mehreren Websites  erworben werden. Bei vielen Hosting-Anbietern ist das Zertifikat im Webhosting-Paket inbegriffen oder wird gegen eine Zusatzgebühr angeboten. Ein weiteres Plus: Der Besucher erkennt das Website-Sicherheit-Zertifikat an dem „Schloss-Symbol“ im Browser und dem https-Transportprotokoll – das schafft Vertrauen beim potenziellen Kunden.

Um Hackern keine Chance zu lassen, muss man als Website-Betreiber regelmäßig die eigene Website-Sicherheit testen. Ein Security Check ist ein guter Anfang, aber man sollte diesen in festen Abständen wiederholen. Cyber-Kriminelle entdecken immer wieder neue Schwachstellen, die sie ausnutzen können. Wer auf Aktualität seines Systems achtet und es auf Updates prüft, senkt das Risiko eines unautorisierten Zugriffs. Unter Umständen ist es auch sinnvoll, einen IT-Experten zu Rate ziehen, der bei der Umsetzung von Sicherheitstipps beratend zur Seite steht. Zu guter Letzt ist es natürlich wichtig, das eigene Team zu sensibilisieren – denn auch ungeschulte Mitarbeiter bilden ein Sicherheitsrisiko.