Bevor’s zu spät ist

Laut Bundesamt für Sicherheit in der Informationstechnik (BSI) steigt die Zahl der ausgenutzten Sicherheitslücken. Mit der Folge, dass immer mehr Webseiten von Hackangriffen heimgesucht werden. Wer einige grundlegende Regeln beachtet, minimiert das Risiko von Datenklau & Co. aber enorm. von Ronny Schick: Die wichtigsten Kriterien für sicheres WebhostingHaben Sie schon einmal Ihre Homepage besucht und sich über unbekannten Inhalt gewundert? Nein? Glück gehabt, denn die Zahl der gehackten Webseiten nimmt aufgrund der schnelleren Ausnutzung von Sicherheitslücken zu. Prominentes aktuelles Beispiel für einen erfolgreichen Hack-Versuch2: Die Homepage des deutschen Kinderschutzbundes (DKSB). Aufgrund einer Sicherheitslücke, verschafften sich im Juni Unbekannte Zugriff auf die Homepage des Vereins und modifizierten den Inhalt der Startseite, auf der dann für einige Stunden kritisch auf das zuvor beschlossene Gesetz gegen Kinderpornographie Bezug genommen wurde.

Das brachte dem Kinderschutzbund nicht nur negative Berichterstattung über die Absicherung seiner Webseite, sondern auch unvorbereiteten Wartungsaufwand mit einem mehrstündigen Ausfall der Webseite. Umso tragischer: Dieser unangenehme Vorfall hätte mit Beachten einiger Regeln wohl vermieden werden können:

Aktueller Software-Einsatz

Typo3, Joomla & Co. sind vielen Homepage-Besitzern direkt ein Begriff, bieten die Software-Pakete doch die Möglichkeit schnell und professionell ohne Programmierkenntnisse im Internet eine Homepage aufzubauen oder zu ergänzen. Die oftmals kostenfreie Software hat jedoch einen Haken: Aufgrund des frei verfügbaren Codes bietet Sie Hackern eine Möglichkeit, Sicherheitslücken im Code zu identifizieren und auszunutzen. Warum es gerade für Hacker so interessant ist eine Lücke in einer weit verbreiteten Software zu finden, liegt dabei auf der Hand.

Sie schaden durch das Ausnutzen einer Lücke nicht nur einer Person, sondern können weitere Webseiten, die die gleiche Version einsetzen, mit schadhaftem Code infizieren und Ihre Macht demonstrieren. Achten Sie daher stets darauf die aktuellste Version zu installieren und besuchen die Webseite des Herstellers der eingesetzten Software regelmäß;ig. Hersteller der Software-Pakete reagieren in der Regel sehr schnell auf Sicherheitslücken (z.B. verursacht durch Cross- Site-Scripting) und bieten Updates oder Workarounds an. Dank vorgefertigter Update-Scripts können auch Laien die Aktualisierungen schnell verarbeiten. Tipp: Vielleicht bietet Ihr Webhosting-Anbieter auch einen Dienst, der Sie automatisch über Aktualisierungen informiert.

Auch wenn es bereits bekannt sein sollte: Verwenden Sie ausschließ;lich sichere Passwörter! Grundsätzlich gilt hierbei die Devise: Umso länger und kryptischer, desto sicherer ist das Passwort. Nutzen Sie keine Eigennamen, Geburtsdaten oder triviale Tastaturzeichenfolgen (z.B. „asdf123“). Wählen Sie stattdessen Phantasie-Wörter, fügen Nummern und Sonderzeichen hinzu und nutzen sowohl Klein- als auch Groß;schreibung. Passwort-Generatoren3 können die Suche nach einem geeigneten Passwort erleichtern.

PHP Safe-Mode

Standardmäß;ig ist bei einem Webhosting-Anbieter der PHP Safe-Mode aktiviert. Diese Einstellung erfolgt zum Schutz des Webaccounts, da hierdurch Datei-Funktionen und systemnahe Funktionen eingeschränkt und ein möglicher Schaden minimiert werden kann. Oftmals können PHP-Anwendungen jedoch nur dann installiert werden, wenn der PHP Safe-Mode deaktiviert wurde. Als Homepage-Betreiber befinden Sie sich hier nun in einer Zwickmühle, ob Sie das Risiko der Abschaltung eingehen wollen oder sich für eine andere Software entscheiden.

Grundsätzlich ist die zweite Variante zu bevorzugen, bieten viele Anwendungen doch mittlerweile auch die Möglichkeit ohne die Deaktivierung betrieben werden zu können. Agieren Sie bei der Rechteverwaltung (chmod) nach dem Grundsatz: So viel wie nötig, so wenig wie möglich. Apropos: Die Deaktivierung des Safe-Mode stellt nicht nur eine Gefahr dar, sondern wird mit der kommenden PHP Version 6 auch gänzlich wegfallen. Die Programmierer sind somit ohnehin gezwungen Ihren Code zu überarbeiten.

Ist der Webhoster auch fit?

Alle Maß;nahmen sind letztendlich jedoch nichts wert, wenn der Server auf dem Ihre Homepage-Daten liegen, selbst Opfer einer Hack-Attacke wird. Insofern Sie einen eigenen Server betreiben, achten Sie darauf auch die Server-Software (Kernel, Apache, SSH, PHP & Co.) aktuell zu halten. Managen Sie Ihren Server aber nicht selbst, ist dies Aufgabe des zuständigen Anbieters. Fragen Sie daher vor der Anmietung nach der Aktualität der Server-Software, die er einsetzt und wie schnell auf Lücken oder neue Versionen reagiert wird. Wie wehrt er sich sonst gegen Attacken von auß;en?

Als seriöser Anbieter wird er Ihnen diese Fragen beantworten können und eine garantierte Reaktionszeit zusichern.

Zertifikate schützen

Die Eingabe persönlicher Daten ist in Bestellprozessen unabdingbar notwendig. Damit diese Daten während der Eingabe nicht von Dritten ausgespäht werden können, empfiehlt sich der Einsatz eines SSL-Zertifikates, welches Sie oftmals als Zusatzoption zu Ihrem Webspace oder Server hinzu buchen können.

Vertrauliche Daten wie Passwörter und Kreditkartendaten können dann über eine verschlüsselte Verbindung (https://) übertragen werden. Gleichzeitig untermauern Sie mit einem SSL-Zertifikat die Glaubwürdigkeit Ihrer Webseite.

Vorsicht vor Fremd-Inhalten

Das Einbinden von Fremd-Inhalten ist reizvoll, kann es doch die Attraktivität einer Webseite enorm steigern oder sogar Geld damit verdient werden. Das Problem besteht allerdings darin, dass Sie die Kontrolle über die Inhalte an Dritte abgeben. Binden Sie somit Inhalte nur ein, wenn Sie den Anbietern der Fremd-Inhalte hundertprozentig vertrauen. Besteht ein Zweifel, verzichten Sie lieber darauf. Sonst mutiert Ihre Webseite durch schadhaften Code von einer privaten Homepage ganz schnell zu einer bösartigen Webseite, die beispielsweise Daten ausspäht und die Google, Firefox&Co. dann auch als gefährliche Seite einstuft und nicht einmal mehr anzeigt.

Vorsorgen: Backup-Strategie

Wird die Homepage doch einmal gehackt, sind die Daten meist überschrieben. Treffen Sie daher eigene Vorkehrungen und sichern sich ab, bevor es zu spät ist. Achten Sie bei der Auswahl des Webhosting-Anbieters darauf, dass dieser mindestens einmal täglich Ihre Webseite und Datenbank auf externen Backup-Servern sichert. Erkundigen Sie sich vorab wie Sie das Backup in einer Not-Situation erhalten können. Machen Sie zusätzlich selbst nach jeder wichtigen Änderung eine Sicherung Ihrer Webseite (und Datenbanken) auf Ihrer lokalen Festplatte. Unterstützung finden Sie hier oftmals bereits im Administrationsmenü der eingesetzten Software. Das ist zwar mühsam, im Ernstfall aber Gold wert.

Fazit: Daten sind Vertrauenssache

Seien Sie misstrauisch und gehen nicht sorglos mit Ihren Daten um! Nicht jede Person oder Homepage, die Ihnen auf den ersten Blick etwas Gutes suggeriert, ist auch vertrauenswürdig. Versuchen Sie die Hintergründe zu verstehen und hinterfragen diese bei Bedarf. Achten Sie deshalb auch bei der Auswahl Ihres Webhosting- oder Serveranbieters auf seine Kompetenz, seine Garantien und seine Einstellungen hinsichtlich der Serversicherheit. Eine gute Vorab-Recherche wird Ihnen womöglich eine Menge Ärger ersparen.

(Autor: Ronny Schick, Diplom-Medienökonom (FH), ist seit mehreren Jahren in der Webhosting-Branche tätig und leitet mittlerweile seit 2003 als einer der beiden Geschäftsführer die UD Media Gmbh)

Info: http://www.udmedia.de/