Auf der Liste der beliebtesten Angriffsszenarien stehen infizierte Websites gleich hinter E-Mails und noch vor schädlichen Downloads. Das Perfide an sogenannten Drive-by-Infektionen: Erstens kann es auch legitime Websites treffen, in die durch einen Hackerangriff schädlicher Code eingeschleust wurde. Und zweitens kann die Infektion bereits durch den Aufruf der Seite ohne weitere Interaktion erfolgen.
Zuverlässigen Schutz vor Drive-by-Infektionen bieten Softwarelösungen für sichere Web-Gateways – das freie Auge und der gesunde Menschenverstand haben oft keine Chance, wenn vertraute oder vertrauenswürdige Websites plötzlich zum Angriff übergehen.
Aber wie kann man verhindern, dass die eigene Website für bösartige Zwecke missbraucht wird? Wir haben zehn Tipps für eine verbesserte Website-Sicherheit gesammelt:
- Updates, Updates, Updates
Eine der wichtigsten Regeln im sicheren Umgang mit dem Internet: Spielen Sie Updates sofort ein! Neue Software-Versionen dienen häufig der Sicherheit ihrer Nutzer, indem Schwachstellen gepatcht oder zusätzliche Security-Layer eingezogen werden. Installieren Sie die Updates (auch von Plug-ins), bevor Kriminelle sich eventuelle Lücken in veralteten Versionen zunutze machen.
- Information und Awareness
Halten Sie sich über Sicherheitslücken und aktuelle Outbreaks auf dem Laufenden IT und langsam auch IT-Security rücken immer weiter in den Bereich der Allgemeinbildung. Die mediale Berichterstattung folgt: In Österreich informieren beispielsweise derstandard.at oder die futurezone.at, in Deutschland berichten unter anderen heise.de oder security-insider.de. Auch der IKARUS Blog bietet immer wieder Wissenswertes rund um IT- und OT-Security.
- Sichere Login-Daten
Sichere Passwörter sind ein Muss. Das bedeutet mindestens acht Zeichen, besser mehr. Gut eignen sich zufällige Folgen aus Buchstaben, Zahlen und Sonderzeichen, die keine (bekannten) Wörter ergeben und keine persönlichen Informationen wie beispielsweise das Geburtsdaten enthalten. Vermeiden Sie auch vorhersehbare bzw. vorkonfigurierte Usernamen wie „admin“. Nutzen Sie unbedingt für jeden Service individuelle Login-Daten!
- Login-Seite verstecken
Um Brute Force-Attacken zu erschweren, können Sie den Login-Bereich Ihrer Website verstecken oder mit Zugriffsdaten absichern. Bei den großen Content Management-Systemen finden sich die Login-Seiten meist unter einem bekannten Link – ändern und schützen Sie diesen. So machen Sie es potenziellen Angreifern schwieriger, sich in Ihr System zu hacken.
- Sicherer Webserver
Beachten Sie wenn möglich bereits beim Hosting Sicherheitsaspekte. Hochwertige Internet Service Provider wie beispielsweise A1 installieren serverseitige Spam- und Virenfiltern, Firewalls und DoS-Schutz. Neben Updates achten Sie bitte auf eine möglichst restriktive Rechtevergabe, deaktivieren Sie nicht benutzte Module und sichern Sie sensible Verzeichnisse so ab, dass sie nicht durchsucht werden können.
- Sichere Datenübertragung
Nutzen Sie HTTPS, um die Datenübertragung von und zu Ihrer Website abzusichern. So verhindern Sie, dass Unbefugte Login-Daten oder sonstige Informationen abgreifen. Außerdem kann mangelnde Sicherheit dazu führen, dass Ihre Website im Suchergebnis niedriger gerankt wird oder aufgrund von Browser-Warnungen seltener besucht wird.
- Formulare und Uploads absichern
Kontaktformulare und Uploads, beispielsweise um Bewerberunterlagen hochladen zu können, sind typische Website-Schwachstellen. Ungesichert bieten Sie Angreifern die Möglichkeit, schädliche Dateien hochzuladen und Ihre Server zuzuspamen. Sichere Captchas bremsen Bots aus, gezielte Lösungen wie der IKARUS scan.server ermöglichen Ihnen, Uploads auf Malware zu scannen, bevor infizierte Dateien Ihre Server erreichen können.
Wer mit Datenbanken arbeitet, sollte die Gefahr durch SQL-Injections bedenken. Neben modernen Frameworks und aktueller Software helfen „händische“ Methoden wie Prepared Statements. Sie geben vor, welche Abfragen bzw. Werte erlaubt sind. Auch WAFs (Web Application Firewalls) schützen vor Angriffen auf Webapplikationen.
- Backups erstellen
Erstellen Sie regelmäßig Backups Ihrer Daten, Systemdateien und Datenbanken, und überprüfen Sie diese auch immer wieder auf Funktionalität. Die meisten Hoster stellen entsprechende Tools zur Datensicherung zur Verfügung, und viele CMS bieten Plugins zur Sicherung von Datenbanken an. Ein aktuelles Backup verhindert Datenverluste und ist der schnellste Weg, um Ihre Website auf den Zustand vor der Infektion zurückzusetzen.
- Auf Hackerspuren untersuchen
Überprüfen Sie Ihren Webauftritt regelmäßig auf Sicherheitslücken. Lassen Sie Malware-Scanner über die Dateien auf Ihren Servern laufen und überprüfen Sie die MD5-Prüfsummen von Software, bevor sie diese am Server installieren. Um Ihre UserInnen vor Phishing-Angriffen zu schützen, kann es Sinn auch machen, ähnlich geschriebene URLs, die leicht verwechselt werden könnten, zu erwerben.
- Antivirensoftware nutzen
Über einen infizierten Computer kann auch Ihre Website kompromittiert werden, beispielsweise indem Login-Daten abgegriffen werden. Sichern Sie daher alle verwendeten Geräte mit Sicherheitssoftware ab. IKARUS anti.virus punktet mit ausgezeichneten Erkennungsraten und arbeitet äußert ressourcenschonend.