B4B Schwaben

Holen Sie sich B4BSCHWABEN.de auf Ihr Smartphone.
Klicken Sie auf das Symbol zum „Teilen” in der Toolbar von Safari. Finden Sie die Option „Zum Home-Bildschirm”. Mit einem Klick auf „Hinzufügen” ist die Installation abgeschlossen! Schon ist die Website als App auf Ihrem iOS-Gerät installiert.

b4bschwaben.de: Regionale Wirtschaftsnachrichten

Die Top-Nachrichten aus Augsburg

Anzeige

Wir benötigen Ihre Zustimmung zum Laden dieser Anzeige!

Wir verwenden einen Drittanbieterdienst, um Anzeigen darzustellen, die möglicherweise Daten über Ihre Aktivität sammeln. Bitte überprüfen Sie die Details und akzeptieren Sie den Dienst, um diese Anzeige zu sehen.

Dieser Inhalt darf aufgrund von Trackern, die dem Besucher nicht bekannt gegeben werden, nicht geladen werden. Der Website-Eigentümer muss die Website mit seinem CMP einrichten, um diesen Inhalt in die Liste der verwendeten Technologien aufzunehmen.

powered by Usercentrics Consent Management Platform
Blickpunkt Datensicherung

So lassen sich Webseiten sicher betreiben

 Symbolbild. Foto: Marko Greitschuss / pixelio.de

Deutlich mehr als die Hälfte aller KMUs und mehr als drei Viertel aller Einzelhändler in Deutschland betreiben eine eigene Internetpräsenz. Diese hilft, das jeweilige Unternehmen online zu präsentieren, Kunden anzusprechen und Waren direkt zu verkaufen. Im vergangenen Jahr wurden in Deutschland durch E-Commerce mehr als 40 Milliarden Euro umgesetzt. Das ist mehr als eine Verdoppelung gegenüber 2010. Allerdings birgt der eigene Internetauftritt auch beachtenswerte Risiken.

So haben sich beispielsweise die jährlich erfassten Cyberangriffe seit 2010 mehr als vervierfacht. Ein Grund für uns, das Thema sicheres Hosting von Webseiten näher zu betrachten. Doch eins vorab: 100% Sicherheit ist ein Ziel, das in der Realität kaum erreicht werden kann. Der Fokus liegt deswegen darauf, die eigene Internetpräsenz weitestgehend abzusichern, es den Angreifern schwer zu machen und im Falle eines tatsächlich erfolgreichen Angriffs den Betrieb wieder aufnehmen zu können.

Welche einzelnen Bestandteile müssen geschützt werden?

Moderne Internetseiten bestehen aus einer Reihe an Komponenten, die für den Betrieb notwendig aber auch gleichzeitig für Angreifer interessant sind. Bei den meisten Webseiten sind diese Komponenten die folgenden:

► Web-Server

► Web-Applikation

► Datenbankserver

► Transportweg

Im weiteren Verlauf werden wir Probleme erläutern, Fallstricke aufzeigen und mögliche Schutzmaßnahmen vorstellen. Wir wollen Ihnen helfen, die Zusammenhänge zu verstehen und Ihnen zeigen, worauf Sie achten müssen.

Web-Server

Als Web-Server wird der Computer bezeichnet, auf dem die Webseite selbst hinterlegt wird. Dieser Web-Server ist es, der nach dem Eintippen der Internet-Adresse von dem Browser des Benutzers angefragt wird. Für den Betrieb gelten mehrere gängige und weit verbreitete Modelle:

Eigener Webserver: bei einem eigenen Webserver verfügt der Besitzer über sehr weitreichende Rechte auf dem System. Dabei spielt es kaum eine Rolle ob der Server physikalisch vor Ort in den eigenen Geschäftsräumen oder in einem Rechenzentrum steht bzw. ob es sich um einen physikalischen oder virtuellen Server handelt. In der Regel ist der jeweilige Besitzer hier vollständig für die Absicherung und den Betrieb des Servers verantwortlich.

► Diese Variante ist nur für sehr erfahrene Anwender bzw. Firmen mit eigener IT-Abteilung zu empfehlen.

Angemieteter Web-Space: Hier wird kein ganzer Server angemietet sondern

innerhalb eines Servers nur ein Bereich, in dem die eigene Webseite hinterlegt werden kann. Der Betreiber des jeweiligen Rechenzentrums kümmert sich dann um die Betreuung des Servers wie beispielsweise das Aktualisieren von Betriebssystem und Komponenten, Berechtigungs-Management, evtl. Back-ups, Updates von Drittanwenderbibliotheken, Konfiguration der Firewall, Virenscanner etc.

►► Diese Variante ist für kleinere Firmen sowie unerfahrene Benutzer eindeutig zu empfehlen.

Bei den Modellen, bei denen ein externer Hoster als Dienstleister mit in das Hosting und somit in die Abwicklung damit verbundener Prozesse eingebunden wird, ist es wichtig verschiedene Punkte zu beachten:

Was muss bei der Zusammenarbeit mit einem Hosting-Dienstleister berücksichtigt werden?

Zuverlässigkeit des Hosters: Abhängig von dem konkreten verwendeten Modell des Hostings übernimmt der Hoster verschiedene Pflichten und Aufgaben des Administrators. Damit erhält er zum Teil sehr weitreichende Möglichkeiten, die Arbeit der jeweiligen Web-Applikation zu beeinflussen. Bei der Auswahl des Hosters sollte deswegen großer Wert darauf gelegt werden, einen Partner zu wählen, der die notwendige Professionalität, Erfahrung und ggf. Zertifizierungen mitbringt. Bei den „großen Hostern“ ist das in der Regel immer der Fall.

Ort der Datenspeicherung: Abhängig von dem Ort der Daten-Verarbeitung und -speicherung kann es notwendig sein, weitere Regelungen wie beispielsweise Auftragsdatenverarbeitungsverträge zu berücksichtigen. Bei der Anmietung von Serverkapazitäten außerhalb Deutschlands sollte dies explizit geprüft werden. Hierbei spielt es keine Rolle, ob die fraglichen Daten in Form von Dateien oder als Inhalt einer Datenbank vorliegen.

Applikation

Web- und Datenbankserver alleine sind nicht ausreichend, um dem Besucher eine Webseite zu präsentieren. Hierfür werden zusätzlich entweder statische Inhalte oder – die gebräuchlichere Methode – Content Management Systeme oder Web-Applikationen verwendet. Typische Beispiele hierfür sind Wordpress oder Joomla als CMS-Systeme und xt:Commerce als Web-Shop. Beide fallen in die allgemeinere Gruppe der Web-Applikationen.

Als Web-Applikation werden ganz allgemein Programme bezeichnet, die auf dem Server laufen und über Webseiten mit den Besuchern interagieren können. Diese sind häufig in PHP oder Java geschrieben und benötigen in den meisten Fällen für den Regelbetrieb Zugriff auf eine Datenbank. Je größer und desto weiter verbreitet die jeweilige Web-Applikation ist, desto höher ist die Wahrscheinlichkeit, dass die Funktionalität der Software durch sogenannte „Add-Ons“ oder „Plugins“ ergänzt werden kann. Durch diese können Entwickler, die nichts mit der Entwicklung der eigentlichen Web-Applikation zu tun haben, kleine Programme schreiben, die die Web-Applikation um neue Funktionen ergänzen. Plugins werden deswegen häufig dazu genutzt Funktionen bereit zu stellen, die nur für einen Teil der Nutzer der Software relevant sind. Diese können sich dann auf Wunsch individuell die entsprechenden Funktionen nachinstallieren.

Sowohl die Web-Applikationen selbst als auch die hinzugefügten Plug-Ins und Add-Ons können bislang unentdeckte Softwareschwachstellen enthalten. Um die Wahrscheinlichkeit und das Risiko, dass diese ausgenutzt werden gering zu halten, ist es „Best Practice“, die Applikation selbst und auch die damit verbundenen Komponenten in regelmäßig und laufend zu aktualisieren. Durch die Aktualisierungen werden zwischenzeitlich durch den jeweiligen Hersteller erfolgte Korrekturen am Programmcode in die eigene Webanwendung integriert und diese dadurch geschützt.

Die Erfahrung zeigt, dass das Einspielen der Aktualisierungen besonders bei Plug-Ins wichtig ist, da diese im Durchschnitt eine niedrigere Softwarequalität als die eigentliche Kernkomponente besitzen und somit in der Regel anfälliger für Fehler und Angriffe sind. Dies ist darauf zurückzuführen, dass die eigentlichen Kernkomponenten häufig von festen und erfahrenen Programmierer-Teams entwickelt werden, während Plug-Ins oft nur von einzelnen Programmierern, teilweise ohne Erfahrung in sicherheitsrelevanter Programmierung, erstellt werden.

Neben dem häufigen Aktualisieren der Web-Applikation und der verbundenen Applikationen existieren noch weitere Möglichkeiten um sich gegen gängige Angriffe zu schützen. Viele Betreiber schalten beispielsweise sogenannte Web Application Firewalls (WAFs) zwischen die Web-Applikationen und das Internet. Zweck dieser WAFs ist es, den ankommenden Internetverkehr nach bekannten Angriffsmustern zu durchsuchen, bei Erkennen zu blockieren und dadurch die Web-Anwendung zu schützen. Das Zuschalten der WAF kann abhängig vom jeweiligen Hoster Kosten verursachen. Ihr Einsatz befreit jedoch nicht von der Empfehlung die installierte Web-Applikation auch weiterhin zu aktualisieren.

Für erfahrenere Anwender kann es zudem praktikabel sein den Server, insbesondere das Dateisystem oder Logdateien auf ungewöhnliche Änderungen hin zu überwachen. Hierfür stehen fertige und teilweise kostenlose Tools wie beispielsweise SAMHAIN zur Verfügung. Durch den Einsatz solcher Tools lassen sich mögliche Angriffe auf den Server besser erkennen oder bei erfolgreichen Angriffen die Auswirkungen genauer einschätzen.

In vielen Fällen bieten auch externe Dienstleister die regelmäßige Kontrolle des Servers an. Im Falle der Web- Applikation Wordpress kann dies beispielsweise durch das Add-On Wordfence realisiert werden. So benötigt der eigentliche Betreiber nur noch minimales technisches Know how und erhält dennoch ein relativ hohes Schutzniveau.

Transportweg

Die Verbindung zwischen dem Computer des Besuchers der Webseite und dem Server selbst wird als Transportweg bezeichnet. Das für die Standardkommunikation eingesetzte Protokoll im Internet heißt HTTP (Hyper Text Transfer Protokoll). Dieses ist Standardmäßig unverschlüsselt was dazu führt, dass die Daten ungeschützt vor Mitlesen oder Änderungen durch das Internet transportiert werden. Somit ist die Verwendung für den Austausch sensibler Informationen wie Benutzername und Kennwörtern, Bankdaten etc. nicht zu gebrauchen. Wenn dies dennoch möglich sein soll muss die Verbindung verschlüsselt werden. Hierfür hat sich im Internet das sogenannte PKI-System (Public Key Infrastructure) etabliert. Hierfür muss der Betreiber der Webseite ein Zertifikat erwerben und dies per Konfi guration des Servers den Besuchern zur Verfügung stellen. Die erfolgreiche Verwendung erkennt man daran, dass die Seite künftig über den „https://“-Präfix anstelle über „http://“ zu erreichen ist. Für die, der Verschlüsselung zugrunde liegenden Zertifikate, gibt es drei unterschiedliche Typen: 

DomainSSL-Zertifikate sind die einfachste Form der Zertifikate. Hier wird innerhalb des Zertifikats lediglich angegeben, für welche Internetseite oder –seiten es gültig sein soll. Dies ist für reine Verschlüsselung ausreichend, verrät dem Benutzer jedoch noch nichts über die tatsächliche Identität der Gegenstelle. Eine strengere Prüfung erfolgt bei Organisation SSL-Zertifikaten. Bei ihnen wird geprüft, ob die Organisation, die das Zertifikat beantragt, tatsächlich berechtigt ist die angegebene Internetadresse zu führen. Die strengste Prüfung erfolgt bei Extended Validation (EV) SSL-Zertifikaten. Hierbei werden sowohl die Organi-sation selbst als auch deren Recht auf Verwendung einer Internetadresse geprüft und soweit möglich mit amtlichen Einträgen abgeglichen. Nicht alle Zertifizierungsstellen sind berechtigt diese Überprüfung durchzuführen.

Verschlüsselungszertifikate können kostenpflichtig über kommerzielle Anbieter wie „Thawe“ oder “Verisign“ bezogen werden. Alternativ gibt es auch kostenfreie Stellen die Zertifikate

ausstellen. Zu diesen zählen „StartSSL“ und „LetsEncrypt“. Einige Hoster bieten zudem die Möglichkeit an, SSL-Zertifikate direkt über sie zu beziehen.

Verschlüsselung als Wettbewerbsvorteil

Die Möglichkeit verschlüsselt auf die Internetseite zugreifen zu können kommt nicht nur der Privatsphäre der Benutzer zugute. Im August 2014 hat der Suchmaschinenriese Google im Rahmen seiner „HTTPS-Everywhere“-Kampagne bekannt gegeben, zukünftig HTTPS als ein Kriterium für die Bewertung von Internetseiten heran zu ziehen. Somit besteht die Möglichkeit, dass die eigene Webseite bei gleichbleibendem Inhalt durch die Verwendung von HTTPS besser positioniert in den Suchlisten von Google erscheint. Somit wird die Verwendung von Verschlüsselung im Internet zu einem Wettbewerbskriterium.

Allgemeine Empfehlungen

Regelmäßige Back-Ups: Für den sicheren Betrieb eines Servers sind auch Maßnahmen für die Ausfallbehandlung zu treffen. Das umfasst insbesondere das Erstellen und Vorhalten von aktuellen Backups aller beteiligter Komponenten (z.B. Datenbanken, Dateien & Ordner). Häufig bieten Webhoster diese Funktionen bereits als Bestandteil von Hosting-Paketen an.

Üben für den Ernstfall: Die Praxis zeigt, dass viele Betreiber nach einem Serverausfall Probleme damit haben, aus den vorhandenen Back-Ups wieder ein funktionierendes System zu erstellen. Das kann auf mangelnde Erfahrung, defekte Backups oder falsche Back-Up-Einstellungen zurückzuführen sein. Deswegen empfiehlt es sich, je nach Art der gehosteten Applikation, in angemessenen Zeitabständen diese Rekonstruktion zu testen und zu prüfen ob sich mit angemessenem Aufwand aus den gesicherten Daten wieder eine funktionsfähige Applikation erstellen lässt.

Server härten: Um potentiellen Angreifern eine möglichst geringe Angriffsfläche zu bieten hat es sich als „Best Practice“ etabliert Server zu härten. Darunter versteht man das Abschalten bzw. Deinstallieren nicht verwendeter Software, das Sperren bzw. Entfernen von nicht benötigten Benutzern (z.B. „Gast“) und auch das regelmäßige Aktualisieren der verwendeten Software.

Hilfe annehmen: Gerade bei kleineren Webpräsenzen oder nicht erfahrenen Administratoren sollte in Erwägung gezogen werden, nicht alle Sicherheitsvorkehrungen selbst zu treffen sondern dabei auf erfahrenere Dienstleister zurückzugreifen. Häufig sind die Kosten für diese geringer als die Folgekosten eines Systemausfalls und dem damit verbundenen Image-Verlust.

Auf was muss man bei der Auswahl eines Webhosters achten, wenn man sicher gehen will?

► Gibt es eine Möglichkeit für automatische Back-Ups des Dateisystems und der Datenbanken?

► In welchen Abständen werden die Back-Ups durchgeführt. (täglich, wöchentlich,…)

► Wie lange werden Back-Ups auf dem Server gespeichert?

► Wie aufwändig ist die Wiederherstellung der Daten

aus einem Back-Up?

► Welche Kosten werden durch die Inanspruchnahme der Back-Up-Funktion verursacht?

► Bietet der Betreiber die Möglichkeit den Datenverkehr zu verschlüsseln?

► Bietet der Betreiber die Möglichkeit die Installierten Web-Applikationen automatisch zu aktualisieren?

► Wie hoch ist die zugesicherte Verfügbarkeit der Hosting-Dienstleistung?(Service Level Agreement = SLA)

► Bietet der Betreiber die Möglichkeit an, eine Web Application Firewall oder einen Virenscanner zuzuschalten?

► Bietet der Betreiber die Möglichkeit den Mail-Verkehr auf ausgehenden Spam zu untersuchen und ggf. zu reagieren?

► Kosten, Erreichbarkeitszeiträume des Supports und technischer Ansprechpartner

► Standort der Rechenzentren (in Deutschland, im EWR, weltweit?)

 

Quellenangaben:

1 | http://de.statista.com/statistik/daten/studie/70983/umfrage/eigene-websites-von-handelsunternehmen-nach-wirtschaftszweig

http://de.statista.com/statistik/daten/studie/151766/umfrage/anteil-der-unternehmen-mit-eigener-website-in-deutschland/

2 | http://de.statista.com/statistik/daten/studie/71568/umfrage/online-umsatz-mitwaren-seit-2000/

3 | http://de.statista.com/statistik/daten/studie/348766/umfrage/jaehrliche-anzahl-von-internetangriffen-weltweit/

4 | http://la-samhna.de/samhain/

5 | http://www.wordfence.com/

6 | http://www.wieistmeineip.de/

7 | https://www.thawte.de/

8 | http://www.verisign.com/

9 | http://www.startssl.com/

10 | https://letsencrypt.org/

11 | http://googlewebmastercentral.blogspot.de/2014/08/https-as-ranking-signal.html?m