Websicherheit: 10 Experten zur aktuellen Lage der Internet-Security

Mit der fortschreitenden Etablierung des Internets in nahezu allen Bereichen des öffentlichen und privaten Lebens vermehren sich auch die Sicherheitsrisiken in der Onlinewelt. Gezielte Cyberattacken auf Unternehmen, Organisationen und Website-Betreiber werden beispielsweise mit Methoden wie SQL-Injection (SQLI) oder (Distributed) Denial of Service bzw. (D)DoS durchgeführt. Darüber hinaus können Malware wie Computerviren und -würmer, Trojaner, Spyware etc. sowie Angriffe per Cross-Site-Scripting (XSS) oder Brute Force nicht nur bei Dienstleistern, sondern auch bei Anwendern große Schäden anrichten. Gefahrenquellen im Netz existieren somit gleichermaßen für Unternehmen und Selbstständige wie auch für private Nutzer.

Im Internet agierende Betriebe müssen ihre Server, daran angeschlossene Websites und Webanwendungen sowie ihre internen Rechner gegen Cyberangriffe und verschiedenste Malware rüsten, um ihre Daten und Dienste vor Missbrauch zu schützen. Andernfalls kann es etwa zum Datenklau, zur Lahmlegung von Webdiensten oder zur Infizierung von Servern und URLs mit Schadsoftware kommen.

Letzteres kann auch zum Problem für private Internetuser werden – etwa wenn sie einen solchen befallenen Dienst aufrufen und sich hierdurch der eigene Rechner ebenfalls infiziert. Des Weiteren müssen sich Anwender immer auch vor schadhaften Internetauftritten und -diensten hüten, die von Cyberkriminellen betrieben werden (etwa Phishing-Websites und von vornherein mit Schadprogrammen versehenen Online-Angebote). Ansonsten drohen den Nutzern der Befall von Malware, der Diebstahl sensibler Daten oder die Zweckentfremdung eigener Rechnerressourcen für Botnetze.

Doch sind dies keine Gründe zur Verzweiflung oder gar zur Resignation – sowohl für private Anwender als auch für Systemadministratoren gilt: Wer sich hinsichtlich der Onlinesicherheit auf dem Laufenden hält, Computersysteme richtig schützt und sich stets umsichtig im Netz bewegt, hat nur in den wenigsten Fällen etwas zu befürchten. Um mehr über die momentane Lage der Websecurity zu erfahren, haben wir Gespräche mit 10 IT-Sicherheitsexperten geführt. Die folgenden Interviews geben einen guten Überblick über die konkreten Bedrohungen im Internet und die entsprechenden Schutzmaßnahmen.

Harald A. Summa: „Immer erst überlegen, bevor man im Netz handelt“

Hauptgeschäftsführer bei eco – Verband der Internetwirtschaft e.V.

Von welcher Art von Hackerangriffen haben Sie im letzten Jahr am häufigsten gehört bzw. von welchen waren Sie selbst betroffen?

Der wohl größte Angriff der vergangenen Jahre war die Attacke auf Yahoo-Nutzerkonten. Davon waren mehr als eine Milliarde Nutzer betroffen. Der Angriff erfolgte bereits 2013, wurde aber erst im Dezember 2016 bekannt. Wir selbst waren im vergangenen Jahr nicht von Angriffen betroffen.

Was sind aus Ihrer Sicht als Websitebetreiber derzeit die 3 größten Gefahren im Internet?

Die verwendeten Content-Management-Systeme stellen häufig große Sicherheitsrisiken dar. Vor allem dann, wenn die Systeme veraltet sind und keine Updates mehr durchgeführt werden. Hinzu kommt, dass durch installierte Plug-ins Gefahren entstehen.

Sollte jede Website HTTPS unterstützen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

Es ist bereits weitverbreitet und sollte in jedem Fall zum Standard werden.

Gibt es Schnelltests, mit denen man die Sicherheit einer Website überprüfen kann, und wenn ja, wie sinnvoll finden Sie diese?

Die Initiative www.initiative-s.de/de des Verbandes der Internetwirtschaft bietet in jedem Fall eine sinnvolle Prüfung der Homepage. Alles, was dafür notwendig ist, sind die Eingabe der zu überprüfenden Internet-Adresse und die Angabe einer E-Mail-Adresse.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

DDoS-Angriffe treten aktuell vergleichsweise häufig auf und das wird wohl auch in Zukunft so bleiben. Relevante Risiken stellen außerdem infizierte Werbebanner und personalisierte Phishing-Attacken dar.

Als wie groß schätzen Sie die Gefahr ein, die vom IoT (Internet of Things) ausgeht?

Das IoT ist an sich keine Gefahr. Gefährlich sind schlecht konfigurierte Geräte. Mitunter kommen sogar Geräte ohne Sicherheitsfunktionen auf den Markt.

Denken Sie, dass das Thema Zwei-Faktor-Authentifizierung 2017 und darüber hinaus relevant sein wird?

Der Trend dazu kam schon 2015 auf und sollte 2017 eigentlich längst Standard sein.

Zusammengefasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

  1. Wenn ein Software-Update angeboten wird, sollte man dieses auch installieren.
  2. Immer erst überlegen, bevor man im Netz handelt. Dazu gehört beispielsweise, gegenüber Plug-ins und auch App-Anbietern kritisch zu sein.
  3. Starke Passwörter wählen!

Erich Kachel: „Besonders Dienste und Anwendungen mit großer Verbreitung sind potenzielle Gefahrenherde“

CTO bei Performics

Von welcher Art von Hackerangriffen haben Sie im letzten Jahr am häufigsten gehört bzw. von welchen waren Sie selbst betroffen?

2016 war wohl das Jahr der DDoS-Angriffe durch IoT-Geräte und der massiven Infektionen durch Ransomware. Glücklicherweise haben bei uns keine Angriffe zu einem Schaden geführt.

Was sind aus Ihrer Sicht als Websitebetreiber derzeit die 3 größten Gefahren im Internet?

  1. Drive-by-Downloads von Schadprogrammen, die sich vom Betreiber unerkannt auf Websites einnisten und deren Besucher mit Viren oder Ransomware infizieren.
  2. DDoS-Angriffe, die eine Website oder einen Webshop erst „offline“ nehmen und dann Lösegeld verlangen.
  3. Unsicher programmierte WordPress-Plug-ins und Browser-Add-ons.

Gibt es Sicherheitsstandards, die man als Websitebetreiber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Unternehmen sicher zu machen?

Orientierung für Seitenbetreiber bietet die Dokumentensammlung des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die darin enthaltenen Empfehlungen und vorgeschlagenen Maßnahmen müssen von einem geschulten IT-Team korrekt umgesetzt werden, damit sie ihre Wirkung entfalten können.

Umfangreiche Sicherheitsprüfungen können auch spezialisierte Agenturen durchführen, die oft auch Sicherheitssiegel vergeben. Diese werden nach Bestehen mehrstufiger Sicherheits-Audits ausgestellt.

Welchen Angriff des vergangenen Jahres schätzen Sie als besonders gefährlich und welchen als besonders spektakulär ein?

„Spektakulär“ war zweifelsohne die Entdeckung, dass ein als Sicherheitssoftware weitverbreitetes Browser-Add-on („Web of Trust“) heimlich persönliche Daten von Millionen von Nutzern auf die Server des Betreibers überspielt hat. Durch das Add-on wurden detaillierte Nutzerprofile erstellt.

„Gefährlich“ waren die unterschätzten DDoS-Angriffe von Abertausenden schlecht gesicherten Internet-of-Things-Geräten, die Server und DNS-Infrastruktur zum Kollaps brachten.

Gibt es Schnelltests, mit denen man die Sicherheit einer Website überprüfen kann, und wenn ja, wie sinnvoll finden Sie diese?

Es gibt eine Reihe von Tools und Dienstleistungen. Sie reichen von einer einfachen Signaturprüfung des ausgelieferten Codes bis hin zu komplexeren Sicherheitsprüfungen. Dabei werden die Versionen des Content-Management-Systems und der installierten Plug-ins geprüft. So lässt sich ausschließen, dass bekannte Sicherheitslücken bestehen.

Die Sicherheit ist allerdings mitunter trügerisch, denn Schadprogramme können durchaus erkennen, ob ein Sicherheitsscanner oder ein Nutzer eine Seite aufruft und dann die Ausführung von Schadprozessen ggf. aussetzen, um unerkannt zu bleiben.

Beispiele für Prüf-Tools sind:

Wie häufig wird Ihre Website im Schnitt pro Monat attackiert?

Brute-Force-Login-Versuche im Backend von WordPress sind minütlich zu verzeichnen. Mehrere Male die Stunde werden XSS- und SQL-Injection-Angriffe über URL-Parameter versucht. Täglich wird zusätzlich die Existenz bestimmter Softwarepfade geprüft, auf der Suche nach anfälligen Plug-ins und Softwareversionen.

Wo sehen Sie Gefahren bei der Sammlung von Nutzerdaten, und wie kann man diesen Gefahren entgegenwirken?

Gesammelte Nutzerdaten sind sowohl für die jeweiligen Anbieter als auch für Datendiebe interessant. Grundsätzlich kann jeder Nutzer der Datenerfassung förmlich widersprechen – ob der Betreiber dem tatsächlich Folge leistet, ist selten nachvollziehbar.

Um zu verhindern, dass sich durch Daten umfassende Nutzerprofile erstellen lassen, kann man bei kostenlosen Diensten absichtlich Fehler in Adressen und Namen einbauen. Wo korrekte Daten aufgrund bindender Vorgaben (Kaufprozesse, Identifizierung) notwendig sind, können diese nach Abschluss des Kaufs bzw. im Anschluss an die Authentifizierung wieder leicht abgeändert werden. Auch das Entfernen von Bankdaten aus Onlineshops nach Kaufabschluss stellt sicher, dass die Daten nicht Jahre später doch noch in falsche Hände geraten.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Besonders Dienste und Anwendungen mit großer Verbreitung sind potenzielle Gefahrenherde:

  • Mobile Payment und besonders Bezahlsysteme in Onlineshops sind interessant für Betrüger und Datendiebe.
  • Home-Automation-Systeme mit schlecht geschützten Weboberflächen laden zu Spionage und Sabotage ein.
  • Homogene Frameworks und Content-Management-Systeme mit großer Verbreitung machen es Angreifern leicht, Schwachstellen bei einer großen Zahl von Websystemen auszutesten.
  • Angriffe auf die Internetinfrastruktur, wie z. B. DDoS-Angriffe, sind ein ernstzunehmendes und schwer kontrollierbares Risiko für jeden Webauftritt.

Gibt es Möglichkeiten, sich vor zukünftigen Gefahren zu schützen?

Einen 100-prozentigen Schutz vor künftigen Gefahren gibt es leider nicht. Zum Teil sind sie heute noch nicht einmal bekannt. Generell hilft es, seine Websites auf aktuellen Serversystemen zu betreiben, bewährte und vielfach getestete Content-Management-Systeme einzusetzen und die Update- und Patch-Zyklen der verwendeten Software einzuhalten.

Software für den Betrieb der Website (Plug-ins, Add-ons) sollte nur aus sicheren Quellen stammen und aus sicheren Verzeichnissen heraus installiert werden. Hier gilt es, auf Reputation und Erfahrung zu achten. Wenn Nutzerdaten gespeichert werden, dann in verschlüsselter Form. Stellt die Website eine beträchtliche Investition dar, sollte auch eine spezialisierte Agentur mit der Prüfung und dem Schutz beauftragt werden.

Prof Dr. Christoph Meinel: „Das Internet of Things wird eine große Rolle bei zukünftigen Angriffen spielen“

Institutsdirektor und Geschäftsführer am Hasso-Plattner-Institut für Softwaresystemtechnik GmbH

Von welcher Art von Hackerangriffen haben Sie im letzten Jahr am häufigsten gehört bzw. von welchen waren Sie selbst betroffen?

In der letzten Zeit mussten wir einige Brute-Force- und Cross-Site-Scripting-Angriffe abwehren.

Gibt es Sicherheitsstandards, die man als Websitebetreiber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Unternehmen sicher zu machen?

Es ist unabdingbar, Nutzereingaben zu überprüfen und eine zusätzliche Absicherung aller Seiten mittels HTTPS zu gewährleisten. Damit können die am weitesten verbreiteten Angriffe abgewehrt und außerdem die Integrität und Vertraulichkeit der Website gesichert werden.

Welchen Angriff des vergangenen Jahres schätzen Sie als besonders gefährlich und welchen als besonders spektakulär ein?

Im vergangenen Jahr war einer der spektakulärsten Angriffe sicherlich der DDoS-Angriff des Mirai-Botnet. Der Datenverkehr dieses Angriffes war sehr beeindruckend. Derartige DDoS-Angriffe abzuwehren bzw. sich dagegen zu schützen, ist nach wie vor alles andere als einfach.

Wie werden Sicherheitsstandards/-vorgaben (z. B. Zertifikate) für Verbraucher kenntlich gemacht, und finden Sie diese aussagekräftig?

Die notwendigen Standards werden normalerweise durch Symbole im Browser kenntlich gemacht. So wird zum Beispiel ein gültiges Zertifikat durch ein grünes Symbol gekennzeichnet. Zusätzlich überprüfen viele Browser, ob Login-Formulare auf ungesicherten Seiten vorhanden sind, und heben dies dann auch hervor. Bei Google Chrome zum Beispiel gibt es verschiedene Sicherheitswarnungen, die Probleme oder veraltete Verfahren kenntlich machen. Der Nutzer muss dann noch einmal explizit sein Einverständnis zum Fortfahren geben.

Finden Sie, die Sicherheit von Nutzerdaten ist durch die Verwendung von Google (AMP, Google Cloud), Facebook (Instant Articles, FB Apps) oder Amazon Cloud gefährdet (Stichwort „Safe Harbor“)?

Diese Frage ist nicht eindeutig zu beantworten. Diese Firmen unterstehen natürlich gewissen Richtlinien, die sie zur Herausgabe der Daten zwingen können. Allerdings versuchen sich die Firmen so gut es geht, gegen die Herausgabe zu wehren, um die eigenen Nutzer zu schützen. Apples Streit mit dem FBI ist das bekannteste Beispiel.

Natürlich gibt es keine Garantie, dass Daten auf fremden Servern absolut sicher verwahrt sind. Man muss aber auch sagen, dass gerade die namhaften Dienste in der Regel gute Schutzmaßnahmen ergreifen, um unbefugte Zugriffe zu verhindern. Ebenso muss man sich fragen, ob die persönlichen Daten auf alternativen Ablagen sicherer sind. Privatrechner können in der Regel einfacher gehackt werden als professionell gewartete Server global agierender Unternehmen.

Als wie groß schätzen Sie die Gefahr ein, die vom IoT (Internet of Things) ausgeht?

Das Internet of Things wird eine große Rolle bei zukünftigen Angriffen spielen. Zum einen sind viele Geräte im IoT unzureichend gesichert und können so missbraucht werden. Zum anderen gibt es so viele Geräte mit einer Internetanbindung, dass ein Zusammenschluss dieser Geräte eine immense Datenflut erzeugen könnte. Das Mirai-Botnet hat sich das beispielsweise zunutze gemacht.

Zusammengefasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

  1. Software immer auf dem neusten Stand halten, um eventuell bekannt gewordene Sicherheitslücken schnell zu schließen.
  2. Darauf achten, dass man Daten nur an vertrauenswürdige Websites weitergibt.
  3. Immer mit dem nötigen Sicherheitsbewusstsein und der entsprechenden Vorsicht im Internet agieren.

Denken Sie, dass das Thema Zwei-Faktor-Authentifizierung 2017 und darüber hinaus relevant sein wird?

Zwei- oder Mehr-Faktor-Authentifizierung ist meiner Ansicht nach eine sinnvolle Ergänzung dafür, Zugänge zu Diensten abzusichern.

Für den Nutzer bedeutet es meist einen etwas größeren Aufwand, wenn er zum Beispiel nach dem Passwort auch noch einen über das Handy zugeschickten Code eingeben muss. Mit Blick auf die verbesserte Sicherheit ist dieser Mehraufwand aber gerechtfertigt. Selbst wenn Angreifer ein Passwort erbeutet haben, sind sie dann immer noch nicht in der Lage, sich unbefugt einzuloggen, weil der zweite Faktor fehlt. Da das Sicherheitsbewusstsein generell steigen wird bzw. steigen muss, denke ich, dass immer mehr Dienste eine stärkere Authentifizierung verwenden werden.

Frank Bültge: „Viele der Zertifikate sind nicht sonderlich aussagekräftig“

Leitung Solution Competence Center Product Life Cycle Management bei der Zeiss AG und Gesellschafter und Product Lead bei der Inpsyde GmbH

Gibt es Sicherheitsstandards, die man als Websitebetreiber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Unternehmen sicher zu machen?

Von allgemeinen „Standards“ zu sprechen, ist eher schwierig. Wir definieren als Unternehmen selbst Standards und übertragen diese ggf. auf die Kunden. Im E-Commerce-Umfeld gibt es eine Reihe von Regeln, die immer wieder Anwendung finden; aber auch die müssen entsprechend ausgelegt werden.

Welchen Angriff des vergangenen Jahres schätzen Sie als besonders gefährlich und welchen als besonders spektakulär ein?

„Spektakulär“ sind immer Angriffe auf Teile der Industrie bzw. Wirtschaft – beispielsweise auf Kraftwerke. Von ihnen sind zwangsläufig auch Bürger betroffen.

Als besonders gefährlich erachte ich den Diebstahl von Nutzerdaten – insbesondere wenn es damit möglich ist, personalisierte Profile zu erstellen und in der Folge zu missbrauchen.

Wie werden Sicherheitsstandards/-vorgaben (z. B. Zertifikate) für Verbraucher kenntlich gemacht, und finden Sie diese aussagekräftig?

Viele der Zertifikate sind nicht sonderlich aussagekräftig. Nutzer nehmen sie zwar wahr, weil sie eingeblendet werden, aber die Prüfverfahren dahinter sind nicht bekannt oder schwer ersichtlich für den Nutzer.

Finden Sie, die Sicherheit von Nutzerdaten ist durch die Verwendung von Google (AMP, Google Cloud), Facebook (Instant Articles, FB Apps) oder Amazon Cloud gefährdet (Stichwort „Safe Harbor“)?

Ja. Ich finde vor allem die Konzentration der Nutzerdaten in zu wenigen Händen bedenklich. Wenn wenige Akteure Zugriff auf große Datenmengen haben, können sie diese weitreichend einsetzen – und besitzen zudem einen Wettbewerbsvorteil.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Ich sehe vor allem Gefahren aus der verstärkten Nutzung von Cloudspeicher-Diensten erwachsen, und neue Gefahren, die sich aus der Tatsache ergeben, dass es immer mehr Geräte mit einem Netzzugang gibt. Sicherheit spielt da kaum eine Rolle. Nutzer wollen eine möglichst große Funktionalität und neue Features; bei den Unternehmen stehen häufig die Gewinne im Vordergrund. Das Thema Sicherheit rückt fast zwangsläufig in die zweite Reihe.

Denken Sie, dass das Thema Zwei-Faktor-Authentifizierung 2017 und darüber hinaus relevant sein wird?

Nein. Nur wenige Nutzer arbeiten damit, und daran wird sich wohl auch in Zukunft nicht viel ändern. Es wurde zu wenig Aufklärung betrieben. Außerdem stellt das Verfahren eine praktische Hürde im Alltag dar.

Ist der DsiN-Sicherheitsindex ein aussagekräftiges Bewertungskriterium für die Sicherheitslage im Netz?

Nur bedingt, aber er kann sicher mehr Aufmerksamkeit auf das Thema lenken.

Sind Cyber-Policen eine sinnvolle Investition, und wenn ja, wann sollten sich Unternehmen dafür entscheiden?

Nein. Versicherungen kommen nur zum Tragen, wenn ein Problem besteht oder der Schaden bereits entstanden ist. Das Augenmerk sollte stattdessen auf Prävention und Vermeidung liegen.

Andreas Wisler: „Das Thema ‚gläserner Bürger‘ ist aktueller denn je“

CEO bei goSecurity

Was sind aus Ihrer Sicht als Websitebetreiber derzeit die 3 größten Gefahren im Internet?

Für Seitenbetreiber sehe ich vor allem zwei große Risikobereiche: gehackte Seiten und lahmgelegte Infrastruktur infolge von DDoS-Attacken.

Welchen Angriff des vergangenen Jahres schätzen Sie als besonders gefährlich und welchen als besonders spektakulär ein?

Spektakulär war die Attacke des Persirai-Botnets. Diese DDoS-Attacke machte sich anfällige IP-Kameras zunutze. Sobald die Malware eine Kamera erfolgreich angegriffen hatte, führte sie von außen gegebene Befehle aus. Vielen Nutzern ist gar nicht bewusst, dass ihre Kamera Teil eines Botnets ist.

Gibt es Schnelltests, mit denen man die Sicherheit einer Website überprüfen kann, und wenn ja, wie sinnvoll finden Sie diese?

Ich erachte sowohl SSL- als auch Qualys-Tests als sinnvoll für Seitenbetreiber.

Finden Sie, die Sicherheit von Nutzerdaten ist durch die Verwendung von Google (AMP, Google Cloud), Facebook (Instant Articles, FB Apps) oder Amazon Cloud gefährdet (Stichwort „Safe Harbor“)?

Ja, das Thema „gläserner Bürger“ ist aktueller denn je. Die großen Player haben Zugriff auf unglaubliche Datenmengen. Wie sich der Umgang mit diesen Daten entwickelt, ist entscheidend.

Als wie groß schätzen Sie die Gefahr ein, die vom IoT (Internet of Things) ausgeht?

Als sehr groß! Die Hersteller kümmern sich einfach viel zu selten um sicherheitsspezifische Fragen. Welche Folgen das haben kann, hat das erwähnte Persirai-Botnet gezeigt.

Sind Cyber-Policen eine sinnvolle Investition, und wenn ja, wann sollten sich Unternehmen dafür entscheiden?

Nein, das sind sie ganz klar nicht. Die Policen, die ich kenne, sind reine Alibi-Maßnahmen.

Dr. Florian Hauser: „Das Sicherheitsbewusstsein der marktbeherrschenden Hersteller ist desolat“

Hacker, IT-Sicherheitsexperte und Angestellter in einem großen deutschen IT-Sicherheitsunternehmen

Von welcher Art von Hackerangriffen haben Sie im letzten Jahr am häufigsten gehört bzw. von welchen waren Sie selbst betroffen?

Ransomware und Mass-Exploit-Scanning (z. B. bei T-Online-Routern) sind nach wie vor relevante Themen. Dazu gibt es laufend Betrugsversuche durch Phishing (bzw. Social Engineering im Allgemeinen) und Website-Hacks.

Gibt es Sicherheitsstandards, die man als Websitebetreiber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Unternehmen sicher zu machen?

Es gibt eine Reihe von Reports, festgelegten Standards und Zertifizierungen, die sowohl Betreibern als auch Seitenbesuchern weiterhelfen können:

  • die SANS Top 25 und OWASP Top 10 geben einen Überblick über die gefährlichsten Softwareschwachstellen und -fehler
  • die Standards des NIST (US-Bundesbehörde zur Websicherheit)
  • der TÜViT Web Application Security Standard
  • die Zertifizierung des BSI / Common Criteria

Sollte jede Website HTTPS unterstützen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

Es entwickelt sich immer mehr zum Standard. Gerade Google und andere Browser-Entwickler bauen vermehrt Druck auf Seitenbetreiber auf, HTTPS zu integrieren. HTTPS/TLS sollte in jedem Fall Standard sein, weil (fast) alle Daten einen gewissen Sensibilitätsgrad aufweisen – zumindest aus Sicht des Nutzers.

Wo sehen Sie Gefahren bei der Sammlung von Nutzerdaten, und wie kann man diesen Gefahren entgegenwirken?

Die unachtsame Weitergabe oder der Verlust von Nutzerdaten stellen eine große Gefahr dar. Beispiele dafür sind die Datenlecks bei Yahoo und Adobe.

Aus Sicht eines Unternehmens sollte Compliance ein Ziel sein. Grundlagen für Compliance-Richtlinien sind das Bundesdatenschutzgesetz und ab Mai 2018 die noch viel schärfere neue EU-Datenschutzgrundverordnung. Außerdem sollten bewährte Security-Standards eingehalten werden. Wichtig sind hier z. B. das „Least Privileges“-Prinzip und das „Need to know“-Prinzip.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Ransomware wird weiterhin verstärkt auftauchen. Die Zahl von verschiedenen Malware-Varianten steigt supralinear. Dank Industrie 4.0 und IoT gehen immer mehr Maschinen ans Netz. Aufgrund des Wettbewerbs will jedes Unternehmen das schnellste sein. Darunter leiden die Sicherheitsstandards. Aktuell wurden z. B. über 40 Sicherheitslücken in Samsungs Entertainment-OS Tizen gefunden. Es kommt in Smart-TV zum Einsatz. Das Sicherheitsbewusstsein der marktbeherrschenden Hersteller ist desolat.

Gibt es Möglichkeiten, sich vor zukünftigen Gefahren zu schützen?

Sowohl Kunden als auch Hersteller müssen ein Bewusstsein dafür entwickeln, wie sie verantwortungsvoll mit Informationen umgehen und wann sie diese preisgeben. Was außerdem effizienter werden sollte: Es müssen Qualitätsvorgaben (auch gesetzlich) definiert und umgesetzt werden.

Welchen Infoquellen nutzen Sie, um up to date zu bleiben?

Eine Reihe von Kanälen: bsi-fuer-buerger.de, die CERT-News des BSI und dann noch diverse Blogs und Seiten wie den Google Security Blog, CIO.com, Darkreading.com ...

Zusammengefasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

  • Seien Sie vorsichtig bei der Freigabe Ihrer Daten!
  • Installieren Sie immer alle Updates zeitnah!
  • Klicken Sie keinen Link an, ohne ihn validiert zu haben!

Ist der DsiN-Sicherheitsindex ein aussagekräftiges Bewertungskriterium für die Sicherheitslage im Netz?

Der DsiN ist ein Mosaiksteinchen dafür, ja; aber allein nicht aussagekräftig.

Ralf Schmitz: „Vor allem in Shops sind SSL-Zertifikate wichtig“

Vorstand der Bundesgeschäftsstelle Sicher-Stark-Stiftung e.V.

Von welcher Art von Hackerangriffen haben Sie im letzten Jahr am häufigsten gehört bzw. von welchen waren Sie selbst betroffen?

Hackerangriffe haben wir (leider) jeden Tag.

Auch Haushalte waren häufig betroffen von Phishing-Angriffen, Malware-Befall, Browserumleitungen und dem sogenannten BKA-Trojaner. Außerdem geht von E-Mail-Anhängen nach wie vor eine große Gefahr aus.

In Unternehmen sind es vor allem Angriffe auf Firewalls und sicherheitsrelevante Systeme durch E-Mails.

Wir waren vom BKA-Trojaner in der ersten Stufe betroffen, konnten unser System aber nach zwei Stunden wieder flottmachen – ohne Lösegeld zu zahlen.

Sollte jede Website HTTPS unterstützen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

Jein. Grundsätzlich ist HTTPS positiv zu bewerten, aber auch dieses Protokoll ist „hackbar“. Ich würde mir wünschen, dass die Provider es kostenlos anbieten.

Wie häufig wird Ihre Website im Schnitt pro Monat attackiert?

Leider jeden Tag, wobei die Mehrheit der Attacken über Mails erfolgt.

Wie werden Sicherheitsstandards/-vorgaben (z. B. Zertifikate) für Verbraucher kenntlich gemacht, und finden Sie diese aussagekräftig?

Vor allem in Shops sind SSL-Zertifikate wichtig. Im Grunde sollte sie jeder Anbieter einführen. In diesem Bereich würde ich mir noch mehr Aufklärung von der Bundesregierung wünschen. Als kleine Bundesgeschäftsstelle haben wir nicht die notwendigen Mittel dafür, Verbraucher ausreichend zu informieren. Und auch hier wünsche ich mir, dass ein solcher Sicherheitsstandard schon von Providern bzw. Hosting-Anbietern kostenlos zur Verfügung gestellt wird.

Finden Sie, die Sicherheit von Nutzerdaten ist durch die Verwendung von Google (AMP, Google Cloud), Facebook (Instant Articles, FB Apps) oder Amazon Cloud gefährdet (Stichwort „Safe Harbor“)?

Ja. An diesen Stellen sind große Datenmengen konzentriert, zu viele meiner Meinung nach. Zudem sind das beliebte Angriffsziele. Die EU und die USA haben sich auf eine Neuregelung für den transatlantischen Datenaustausch geeinigt, was gut ist. Trotzdem bleiben Sicherheitsfragen bestehen, vor allem wenn es um Angriffe aus dem Netz geht. Diese wird es zweifellos auch in Zukunft geben.

Zusammengefasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

  • Schulungen und Vorträge besuchen!
  • Software aktuell halten!
  • Erfahrungen sammeln und Lehren daraus ziehen!

Welchen Infoquellen nutzen Sie, um up to date zu bleiben?

Häufig besuche ich die Seiten des BSI und diverse Online-Portale.

Sind Cyber-Policen eine sinnvolle Investition, und wenn ja, wann sollten sich Unternehmen dafür entscheiden?

Es kommt darauf an, wie viel Geld zur Verfügung steht und was abgesichert werden soll. Grundsätzlich sind Policen nicht schlecht, aber es kommt auf den jeweiligen Inhalt einer Police an.

Sven Ferber: „Wenn man Wert auf Sicherheit legt, braucht man Experten“

Director Technology bei Chrono24

Was sind aus Ihrer Sicht als Websitebetreiber derzeit die 3 größten Gefahren im Internet?

  • DDoS-Attacken
  • bösartige Bots und Crawler
  • Phishing

Gibt es Sicherheitsstandards, die man als Websitebetreiber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Unternehmen sicher zu machen?

Rechtlich gesehen: nein. Allerdings sind wir als Websitebetreiber natürlich stets bemüht, unsere Seite sicherheitstechnisch auf einem sehr hohen Niveau zu betreiben und fortzuentwickeln. Wir haben beispielsweise die aktuelle OWASP-Top-10-Liste im Blick, damit wir ggf. weitverbreitete Sicherheitslücken auf unserer Plattform schnell schließen können.

Welchen Angriff des vergangenen Jahres schätzen Sie als besonders gefährlich und welchen als besonders spektakulär ein?

Die DDoS-Attacke auf KrebsOnSecurity.com war einer der spektakulärsten Angriffe, weil die Mitigation erst durch Googles Project Shield möglich wurde. Sogar ein „Global Player“ wie Akamai war mit einem Angriff dieser Dimension überfordert.

Gibt es Schnelltests, mit denen man die Sicherheit einer Website überprüfen kann, und wenn ja, wie sinnvoll finden Sie diese?

Ja, es gibt durchaus sinnvolle Schnelltests. Wenn man aber Wert auf Sicherheit legt und daraus Nutzen ziehen will, braucht man auch Experten, die diese Tools richtig einsetzen können.

Wo sehen Sie Gefahren bei der Sammlung von Nutzerdaten, und wie kann man diesen Gefahren entgegenwirken?

Die Gefahr bei der Sammlung von Nutzerdaten sehe ich vor allem im missbräuchlichen Umgang mit den Daten. Hier besteht zum einen Gefahr durch kriminelle Machenschaften (z. B. Diebstahl von Kreditkarteninformationen). Zum anderen stellen auch Unternehmen ein Risiko dar, wenn sie die Nutzerdaten ohne Zustimmung der Nutzer sammeln und dann sogar weiterverkaufen.

Als wie groß schätzen Sie die Gefahr ein, die vom IoT (Internet of Things) ausgeht?

Diverse Angriffe in der jüngeren Vergangenheit haben gezeigt, dass vom IoT relativ große Gefahr ausgeht. Die entsprechenden Geräte sind oftmals nicht ausreichend geschützt. Solche Botnets, die sich das IoT zunutze machen, können dadurch zunehmend mächtiger werden.

Welchen Infoquellen nutzen Sie, um up to date zu bleiben?

Vor allem Blogs und News-Seiten. www.heise.de/security/ finde ich beispielsweise hilfreich.

Ist der DsiN-Sicherheitsindex ein aussagekräftiges Bewertungskriterium für die Sicherheitslage im Netz?

Mir ist der Index bisher kein Begriff.

Dr. Jochen Haller: „Die größte Gefahr geht von professionell arbeitenden, wirtschaftlich orientierten Angreifergruppen aus“

Head of Information Security bei IONOS Internet SE

Was sind aus Ihrer Sicht als Websitebetreiber derzeit die 3 größten Gefahren im Internet?

Die größte Gefahr geht von professionell arbeitenden, wirtschaftlich orientierten Angreifergruppen aus. Diese bleiben über längere Zeit aktiv und entwickeln ihre Tools und Methoden kontinuierlich weiter. Solche Gruppen nutzen unterschiedliche Angriffsvektoren:

  • DDoS – für Angreifer stellt das eine günstige Methode dar, Infrastrukturen im Netz zu attackieren
  • Softwareschwachstellen – insbesondere sogenannte Zero-Day-Lücken. Gerade bei Software, die über Jahre weiterentwickelt wurde und lange im Einsatz ist, besteht ein hohes Risiko für Schwachstellen
  • Social Engineering – Betrugsversuche also, die auf den Nutzer abzielen; er ist das schwächste Glied in der Kette. Dazu gehört vor allem das Phishing

Sollte jede Website HTTPS unterstützen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

HTTPS mit einem sinnvoll und sicher konfigurierten TLS als Basis gehört inzwischen zur Grundausstattung einer Website. Es ist im Übrigen auch aus Sicht von Kunden immer mehr ein „Muss“ geworden in der „Post-Snowden-Ära“. Wenngleich aktuelle Vorfälle zeigen, dass auch HTTPS nicht unfehlbar ist – das Vertrauen der Kunden in das Schlosssymbol im Webbrowser ist nach wie vor groß.

Gibt es Schnelltests, mit denen man die Sicherheit einer Website überprüfen kann, und wenn ja, wie sinnvoll finden Sie diese?

Es gibt durchaus Schnelltests, die sinnvolle Ergebnisse liefern. Man kann sie zielgerichtet als Diagnose-Instrumente einsetzen, um die Sicherheit einer Website zu prüfen und zu verbessern. Beispiele sind TLS-Tests wie der von SSL Labs oder Vulnerability Scanner wie Nessus.

Man sollte sich aber immer im Klaren sein, dass die Schnelltests nur einen Teil der Angriffsoberfläche prüfen. Bei selbstentwickelten Webanwendungen ist sogenannte „Application Penetration“ ergänzend zu den gängigen Schnelltests Pflicht. Darüber hinaus ändern sich für die Sicherheit relevante Bereiche mit der Zeit, z. B. durch neue Updates. Ein nachhaltiges Testkonzept sollte auch diese einbeziehen.

Wie häufig wird Ihre Website im Schnitt pro Monat attackiert?

Wenn man alle Attacken inklusive DDoS-Angriffen mitzählt, sind es sicher viele Tausend pro Monat. Ohne einen sinnvollen, automatisiert arbeitenden „Breitbandbasisschutz“ wäre die Verfügbarkeit einer Website nicht zu gewährleisten. All diese Angriffe bleiben im Wesentlichen erfolglos.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Eine Reihe von Online-Quellen berichtet von der steigenden Bedrohung durch DDoS-Attacken. Das IoT wird durch Skalierung der Geräte und Schwachstellen diese Bedrohung sicher vergrößern. Nicht zu unterschätzen ist außerdem das Social Engineering, das den Menschen als Schwachstelle nutzen will. Die Methoden der Angreifer werden auch hier immer ausgefeilter.

Gibt es Möglichkeiten, sich vor zukünftigen Gefahren zu schützen?

Wenn man in seinem Portfolio der Sicherheitsmaßnahmen präventive Maßnahmen nicht vernachlässigt, ist man gegen zukünftige Gefahren gut geschützt. Ein gutes Monitoring hilft bei der Erkennung neuer Angriffe. Sichere Softwareentwicklung schützt nicht nur gegen einzelne Gefahren, sondern adressiert ganze Gefahrenklassen.

Denken Sie, dass das Thema Zwei-Faktor-Authentifizierung 2017 und darüber hinaus relevant sein wird?

Zwei-Faktor-Authentifizierung ist bereits seit mehreren Jahren ein wichtiger Trend und gehört inzwischen zu den „Industry Best Practices“. 2017 geht es vor allem in Bezug auf die Nutzerfreundlichkeit darum, kombinierte Authentifizierungsmethoden zu verbessern.

Ist der DsiN-Sicherheitsindex ein aussagekräftiges Bewertungskriterium für die Sicherheitslage im Netz?

Gute Sicherheitskennzahlen sind dafür wichtig, steuernd Einfluss auf das Sicherheitsniveau nehmen zu können. Der DsiN-Sicherheitsindex wird hier sicher einen positiven Beitrag leisten, sollte allerdings nicht als einzige Informationsquelle herangezogen werden.

Sind Cyber-Policen eine sinnvolle Investition, und wenn ja, wann sollten sich Unternehmen dafür entscheiden?

Cyber-Policen sind noch verhältnismäßig neue Instrumente. Sowohl Anbieter als auch Kunden sind noch dabei, sich auf diese einzustellen. Eine Entscheidung für oder gegen eine Police muss auf Grundlage einer fundierten Risikobewertung stattfinden und vor allem die Kosten- sowie die Nutzenseite einander transparent gegenüberstellen.

Pierre Corell: „Jede Seite sollte HTTPS nutzen“

Projektmanagement, Websicherheit, Programmierung bei Forward Marketing® GbR

Was sind aus Ihrer Sicht als Websitebetreiber derzeit die 3 größten Gefahren im Internet?

  • die Passwortsicherheit spielt nach wie vor eine sehr wichtige Rolle
  • veraltete Software
  • Unwissenheit seitens der Betreiber

Sollte jede Website HTTPS unterstützen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

Jede Seite sollte HTTPS nutzen, spätestens seit das kostenfreie Let´s Encrypt SSL-Zertifikat bei vielen Hosting-Anbietern direkt nutzbar ist. Abgesehen davon ist auch das Bundesdatenschutzgesetz zu beachten. Google bewertet mittlerweile SSL stark positiv – und die Nutzer legen zunehmend ein Augenmerk darauf. Kurzum: 2017 sollte jede Webseite SSL implementiert haben.

Wie werden Sicherheitsstandards/-vorgaben (z. B. Zertifikate) für Verbraucher kenntlich gemacht, und finden Sie diese aussagekräftig?

Den meisten Nutzern sind diese Standards nicht bewusst, sie achten jedoch auf Siegel und zunehmend die grüne Adresszeile (SSL-Schutz). Ein Webseitenbetreiber kann sich positiv abheben, indem er/sie dies plastisch erklärt, z. B. im Impressum oder einer eigens dafür eingerichteten Unterseite.

Wo sehen Sie Gefahren bei der Sammlung von Nutzerdaten, und wie kann man diesen Gefahren entgegenwirken?

Die Gefahren liegen in der Datenspeicherung selbst und der damit verbundenen potenziellen Profilerstellung zu „Marketingzwecken“. Entgegenwirken kann man dem durch bewusstes Medienverhalten, Nachhaken bei Seitenbetreibern sowie natürlich auch durch Anonymisierungs-Anwendungen wie z. B. Tor.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Da wird sich im Vergleich zur aktuellen Lage nicht viel ändern. DDoS-, SQLI-, XSS- und Brute-Force-Attacken werden weiter die Spitze bilden. An Relevanz gewinnen werden verbundene Marketing-Daten wie Profilerhebung und Interessenanalyse in Bezug auf das digitale Verhalten und folgender potenzieller Manipulation.

Zusammengefasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

  • bewusster Umgang mit Online-Medien
  • Wissen erweitern oder Profis beratend zur Seite zu wissen
  • Verschlüsselungstechnologien nutzen

Welche Infoquellen nutzen Sie, um up to date zu bleiben?

Das ist eine ganze Reihe – beispielsweise heise.de/security, thehackernews.com und Twitter.

Resümee: Die richtige Prävention schafft Sicherheit

Die Interviewten stimmen nicht in allen Bereichen darin überein, welche Gefahren im Web lauern und wie man diesen am besten entgegnen kann: Bei einzelnen Themen gehen die Expertenmeinungen durchaus auseinander, etwa in der Frage, ob sich Cyber-Policen (die greifen, wenn durch Cyberattacken Schäden entstanden sind) oder die Zwei-Faktor-Authentifizierung (für die sicherere Anmeldung bei einem Internetdienst) auf lange Sicht durchsetzen werden. Auch die Tatsache, dass große Mengen der Daten bei wenigen Global Playern liegen, sehen nicht alle Befragten als überwiegend negativ an.

Doch abgesehen hiervon besteht in den meisten Bereichen der Websicherheit ein deutlicher Konsens unter den interviewten Internet-Security-Spezialisten – insbesondere bei allen elementaren Sicherheitsfragen herrschte Einigkeit. Zusammenfassend lassen sich folgende Richtlinien, Einschätzungen und Tipps für Website-Betreiber und -Besucher festhalten:

  • Jegliche mit dem Web verbundene Software sollte immer auf dem neuesten Stand sein, damit eventuelle Sicherheitslücken schnellstmöglich geschlossen werden können.
  • Software und Erweiterungen für Anwendungen (Plug-ins, Add-ons usw.) sollten nie einfach blind installiert, sondern im Vorfeld auf den Hersteller und ihre Sicherheit geprüft werden –Download sind nur aus vertrauenswürdigen Quellen zu empfehlen.
  • Daten sollten nur an seriöse Anbieter weitergegeben werden.
  • Für jegliche Benutzerkonten sollte man starke Passwörter verwenden.
  • HTTPS (also HTTP mit SSL/TLS) ist eine wichtige Sicherheitsvorkehrung, die grundsätzlich jeder Website-Betreiber nutzen sollte – selbst wenn auch diese Schutzmaßnahme nicht alle Angriffe vollständig abwehren kann.
  • Website-Security-Schnelltests sind als zusätzliche Sicherheits- und Kontrollinstanz sinnvoll, ersetzen aber nicht Experten auf dem Gebiet der Internetsicherheit. Fachpersonal wird dabei nicht nur benötigt, um solche Tests korrekt durchzuführen. Tiefgehende Kenntnisse über Websecurity und praktische Erfahrung stärken zudem den Schutz des Internetangebots um ein Vielfaches.
  • Nicht aktualisierte Software (z. B. vom eigenen Server oder Content-Management-System), mangelhaft gesicherte Internet-of-Things-Geräte sowie unsicher programmierte Erweiterungen (etwa für ein CMS, einen Browser etc.) stellen zur Zeit einige der populärsten Angriffsflächen für Internetkriminelle dar.
  • DDoS-, XSS-, SQLI- und Brute-Force-Angriffe sowie verschiedenste Arten von Malware und Phishing-Attacken werden wohl auch zukünftig zu den größten Bedrohungen im Internet zählen.

Der Sicherheitsindex vom „Deutschland sicher im Netz e. V.“ (der Verein steht unter der Schirmherrschaft des Bundesministeriums des Inneren) ist laut Selbstbeschreibung „ein etablierter Gradmesser für die Sicherheitslage der Verbraucher im Cyberraum in Deutschland“. Laut der Experten gibt der DsiN-Sicherheitsindex durchaus Aufschluss über Teilbereiche der deutschen Cybersecurity. Um jedoch ein ganzheitliches Bild der Sicherheitslage im Netz zu bekommen, sollte man noch weitere Informationsquellen miteinbeziehen.