Varni na spletu
Zakaj naj bi bila varnost vsakemu lastniku spletne strani srčna zadeva
Ste brali o spletnem napadu na hotel v Visokih Turah? Ste se čudili kako so ruski hekerji vplivali celo na volitve v ZDA? Ja že, toda to se ja mene ne tiče, boste morda odgovorili. Pa so tudi že koroški Slovenci postali tarča spletnih napadov.
Vsak podjetnik, vsak obrtnik, vsako društvo je samo en klik oddaljeno od morebitnih kolobocij in popravljenje škode po napadu navadno stane določen čas in denar, velikokrat pa tudi ugled.
Tudi, če vam zunanji partnerji postavijo spletno stran, ste vedno vi odgovorni za vsebino in za brezhibno delovanje spletne strani. Zato je dobro vedeti vsaj za osnovno delovanje vaše spletne strani in za osnovna tveganja, ki lahko vodijo do napada.
Website Security Basics
Weil Sicherheit dir ganz besonders am Herzen liegen sollte!
Warum solltest du dich um das Thema Sicherheit im Internet kümmern, und warum hat Website Security auch etwas mit deiner eigenen Homepage zu tun?
Das Internet ist schon seit geraumer Zeit kein Ponyhof mehr. Zu Beginn des Online-Zeitalters (ca. 1990), war das Internet wissenschaftlichen Einrichtungen vorbehalten - der Umgang war sehr gesittet. Ab 1991 wurde das World Wide Web für die Öffentlichkeit freigegeben - und was danach geschah ist Geschichte: Das globale Netz erlebte einen regelrechten Boom. Mit der steigenden Anzahl von Benutzern (natürlich stieg auch die Anzahl der Benutzerinnen :-) - wurde aber auch der Ton im Netz deutlich rauer: Hacker versuchten in Netzwerke einzudringen, Daten abzugreifen oder Webserver unter ihre Kontrolle zu bringen. Daran hat sich bis heute nicht viel geändert, außer der Tatsache, dass sich die Angriffe häufen sowie intelligenter und effizienter werden. Im Normalfall werden sie von Robotern (Bots) - also von Programmen - erledigt. Genaue Analysen zu Bedrohungen aus dem Internet findet man in diversen Berichten von Sicherheitsunternehmen und/oder Einzelpersonen aus der Branche, z. B. im Symantec-Report. Oder du fragst schnell mal beim Seehotel Jägerwirt auf der Turracher Höhe nach - falls sie dort noch in ihre Büros reinkommen.
„Was hat das aber mit meiner Homepage zu tun, die keine sensiblen Daten enthält und auch sonst für die NSA eher uninteressant sein wird?“, wirst du dich nun fragen.
Leider sehr viel. Es stimmt zwar, dass es unterschiedliche Risikogruppen gibt - eine Website, die z. B. Kreditkarteninformationen speichert wird für die bösen Buben interessanter sein als die Homepage der Bäckerei ums Eck. Trotzdem ist es eine Tatsache, dass aktuell wirklich jede Website mehr oder weniger massiv angegriffen wird. Das reicht von einem automatisierten Scan bis hin zum gezielten Angriff auf die darunter liegende Software.
Warum aber, wo es doch dort scheinbar nichts zu holen gibt? Die Antwort ist einfach: Kann die Website kompromittiert werden, so kann die Software, zumindest teilweise, dem Willen des Angreifers unterworfen werden. Das bedeutet im besten Fall lediglich dass die Homepage der Bäckerei uns Eck Werbung für Viagra macht. Es kann aber auch bedeuten, dass der Webserver massenweise virenverseuchte Spam-E-Mails versendet, als Filesharing-Knoten für Bombenbau-Anleitungen oder Pornofilme fungiert oder aktiv als Ausgangsplattform genutzt wird, um andere Computernetzwerke anzugreifen. Deine Homepage ist dann höchstwahrscheinlich Geschichte.
Don DeBold CC BY 2.0
Mike Mozart CC BY 2.0
Wie kannst du dich also dagegen schützen?
Website Security ist ein überaus komplexes Thema. Folgende Komponenten braucht es, um Inhalte über das Internet anbieten zu können:
1. Einen Webserver, der die Grundlage jeder Website darstellt und für die grundlegende Funktionalität der Datenübertragung zuständig ist.
2. Ein Content Management System (CMS) - also Software, um die Homepageinhalte zu warten und zu pflegen. Diese Software arbeitet Hand in Hand mit dem Webserver.
3. Die Programmierung der Website selbst - also wie z. B. der HTML-Code umgesetzt wurde, welche Javascript Bibliotheken verwendet wurden, wie sehr bei der Programmierung auf Sicherheit geachtet wurde.
4. Ein Netzwerk, das den Benutzer mit dem Server verbindet.
Alle vier Komponenten sind potentielle Ziele von Angreifern - und alle vier sind meist nicht in deiner Hand - sondern in der Hand deines Providers oder der Agentur deines Vertrauens. Worauf aber kannst du, als stolzer Homepagebesitzer, trotzdem achten?
1. Der Webserver.
Es gibt unterschiedliche Webserver. Apache, Nginx und der IIS von Microsoft sind am weitesten verbreitet. Ein bekannter Systemadministrator hat mal gesagt: „Der sicherste Webserver ist jener, der gerade offline ist.“ Und da ist schon was dran. Sollte der Webserver aber laufen - was ganz in deinem Interesse ist - so sollte zumindest sichergestellt sein, dass regelmäßige Updates den Server aktuell halten und bekannte Sicherheitslücken stopfen. Der Webserver sollte die Inhalte der Homepage auf alle Fälle verschlüsselt ausliefern. Du erkennst das an dem https:// vor deiner URL - die meisten Browser machen auch ein Vorhängeschlosssymbol davor. Es gibt auch ein Tool um die Qualität der Serververschlüsselung zu testen, denn https ist nicht gleich https! (https://www.ssllabs.com/ssltest/)
2. Das CMS
Viele Angriffe zielen direkt auf Schwachstellen im CMS ab. Je verbreiteter ein CMS, desto häufiger ist es auch Angriffen ausgesetzt. WordPress ist zurzeit das am weitesten verbreitete CMS - rund 27% aller Webseiten weltweit verwenden WordPress als CMS [https://w3techs.com/]. Damit ist klar, dass viele Sicherheitslücken aufgedeckt und in weiterer Folge auch ausgenutzt werden. Die häufigsten Angriffsvektoren waren hierbei im vergangenen Jahr LFI und SQLi - sagt zumindest Akamai - falls es dich interessiert. Was heißt das für deine Homepage? Für jeden Homepagebesitzer ist es von besonderer Wichtigkeit, dass sein CMS regelmäßig mit Updates versorgt wird. Damit werden Sicherheitslücken geschlossen und die Stabilität wird verbessert. Für deine Homepage heißt das also, du solltest nachfragen, ob dein Hoster solche Updates einspielt - und gegebenenfalls einen Servicevertrag erwägen. Zusätzlich bieten einige Systeme die Möglichkeit, Seitenaufrufe durch Roboter (Bots) zu erkennen - zumindest meistens - und diesen „Kunden“ den Zugriff auf deine Seite zu verwehren. Davon sollte, wenn vorhanden, unbedingt Gebrauch gemacht werden.
3. Die Programmierung der Webseite
(HTML-Code, Javascript, CSS)
Schlecht oder fehlerhaft programmierte Seiten machen es Angreifern leichter die Webseite zu kompromittieren. Die Verwendung verschiedener Techniken wie z. B. Content-Security Policies oder X-Frame-Options Header sowie Subresource Integrity können helfen die Website gegen Angriffe zu schützen - z. B. gegen Cross-Site Scripting (XSS) oder Cross-Site Request Forgery (CSRF) Attacken. Falls du jetzt nur spanische Dörfer verstanden hast - jetzt nur nicht die Nerven schmeißen! Für stolze Homepagebesitzer gibt es Tools wie z. B. das Mozilla Observatory, um die Sicherheit ihrer Homepage besser einschätzen zu können.
4. Das Netzwerk
Sämtliche Daten werden vom Server über Computernetzwerke versendet, deren Endpunkt du mit deinem Browser bist. Entlang des Weges durch die digitalen Weiten lauern verschiedene Gefahren. Es könnte zum Beispiel sein, dass dein Datenstrom von Dritten mitgeschnitten wird (sog. Man-in-the-Middle Angriffe). Das wirkungsvollste ist hierbei, wenn der Datenstrom verschlüsselt übertragen wird - also per https - denn sonst ist es für die Angreifer ein Leichtes deine aktuellen Passwörter, Onlineshop-Sitzungen und Websitebesuche auszuspähen.
Fazit
It's time to get paranoid - oder zumindest ist es Zeit, sich über das Thema Sicherheit Gedanken zu machen. Ich empfehle dir, wenn du eine Website betreiben willst, dich schlau zu machen - und der Agentur oder dem Hoster deines Vertrauens die richtigen Fragen zu stellen. Du solltest sicherstellen, dass sämtliche Software auf dem neuesten Stand gehalten wird - eventuell mit einem kleinen Wartungsvertrag. Und mein letzter Tipp: Vergewissere dich, dass es regelmäßige Backups gibt - sie sind deine letzte Hoffnung falls alle Stricke reißen.
Varni na spletu
Zakaj naj bi bila varnost vsakemu lastniku spletne strani srčna zadeva
Ste brali o spletnem napadu na hotel v Visokih Turah? Ste se čudili kako so ruski hekerji vplivali celo na volitve v ZDA? Ja že, toda to se ja mene ne tiče, boste morda odgovorili. Pa so tudi že koroški Slovenci postali tarča spletnih napadov. Vsak podjetnik, vsak obrtnik, vsako društvo je samo en klik oddaljeno od morebitnih kolobocij in popravljenje škode po napadu navadno stane določen čas in denar, velikokrat pa tudi ugled.
Tudi, če vam zunanji partnerji postavijo spletno stran, ste vedno vi odgovorni za vsebino in za brezhibno delovanje spletne strani. Zato je dobro vedeti vsaj za osnovno delovanje vaše spletne strani in za osnovna tveganja, ki lahko vodijo do napada.
