Wie gefällt Ihnen der Artikel?
3
Wie gefällt Ihnen der Artikel?
3

Website Security: So schützen Sie Ihre Seite in 5 Schritten

Ein kleines Datenleck kann schwerwiegende Folgen für Unternehmen haben: Umsatzausfall, Reputationsschäden, Zivilklagen. Viele Firmen, allen voran Onlineshops, genießen das Vertrauen zahlreicher Kunden, die ihnen persönliche Daten und teilweise sogar Konto- und Kreditkarteninformationen anvertrauen. Diese Daten muss man schützen – denn Cyber-Angriffe sind im Online-Business ein alltägliches Problem. Neben dem regelmäßigen Website Security Check können Unternehmen auch zusätzliche Sicherheitsmaßnahmen nutzen. 

Offene Systeme – auch für Hacker

Das Versprechen vieler Anbieter: Mit wenigen Klicks zur eigenen Homepage. Und tatsächlich kann man heutzutage eine eigene Website ohne großen Programmieraufwand innerhalb kürzester Zeit veröffentlichen. Für Blogs, Shops oder Newsseiten sind die unterschiedlichsten Webanwendungen auf dem Markt verfügbar. Doch die Content-Management-Lösungen, Shopsysteme oder Foren-Software, die dabei zum Einsatz kommen, stellen auch ein erhebliches Sicherheitsrisiko da. Denn „Open-Source“ bedeutet nicht nur, dass der Quellcode für alle Nutzer frei verfügbar ist, es ist auch ein offenes System für Hacker und andere Cyber-Kriminelle

Vom Quellcode zum Kreditkartenbetrug

Allein im Dezember 2015 wurden 2,62 Millionen Webseiten weltweit mit der Open-Source-Software Joomla erstellt. Die Community zählt, ähnlich wie WordPress oder TYPO3, fast 500.000 aktive Mitglieder. Jedes davon hat die Möglichkeit, eigenständig Erweiterungen, Plug-ins, Module oder Templates zu entwickeln und sie der Gemeinschaft zur Verfügung zu stellen. Dieser Open-Source-Ansatz ist bei Nutzern beliebt – nicht zuletzt aufgrund der Kostenersparnis. Doch beliebt sind die populären CMS-Programme und ihre Plug-ins auch bei Hackern, die es auf große, weit verbreitete Systeme abgesehen haben. Die Cyberkriminellen machen Schwachstellen in diesen Systemen ausfindig und können so erheblichen Schaden anrichten: Sie verschaffen sich zum Beispiel durch Phishing Zugriff zu sensible Kundendaten wie Login-Daten oder Zahlungsinformationen. Oder sie platzieren Trojaner und Viren, die Websitebesucher unbemerkt über einen sogenannten „drive-by-download“ herunterladen, und nutzen die Website, um Spam zu verbreiten. Die Viren können beim Unternehmen selbst Serverausfälle und sogenannte Down-Times auslösen – der Umsatz bleibt aus. 

Die schwerwiegenden Folgen unzureichender Website-Sicherheit sind:

  • Datenmissbrauch
  • Identitätsdiebstahl
  • Reputationsschäden
  • Umsatzausfälle
  • Klagen 

Der erste Schritt zu sicheren Seite: Der Website Security Check

Sicherheitslücken kann man schließen, bevor ein Schaden entsteht. Vorausgesetzt, man entdeckt sie, bevor es ein krimineller Internetnutzer tut. Ein Website Security Check steht deshalb an erster Stelle, will man die Sicherheit für seinen Webauftritt zu erhöhen. Einen kostenlosen Security Check können Sie bei folgenden Anbietern durchführen lassen:

Um die Website-Sicherheit zu prüfen, führen die meisten Anbieter einen sogenannten Penetrationstest durch. Dabei simuliert man einen Hacker-Angriff (z. B. ein unautorisiertes Endringen in das System), um mögliche Schwachstellen im System aufzudecken. 

Außerdem können Sie direkt hier Ihre Website kostenlos auf eine sichere Verschlüsselung hin überprüfen:

SSL-Check

5 Tipps für bessere Website Security

Um Hackern ihr kriminelles Handwerk so schwer wie möglich zu machen, sollte man als Unternehmen verschiedene Sicherheitsvorkehrungen treffen. Wir listen im Folgenden fünf einfache Maßnahmen auf, die jedes Unternehme ohne großen Zeit- oder Kostenaufwand durchführen kann. 

1. Auf Aktualität achten

Die Internet-Community entwickelt Open-Source-Lösungen kontinuierlich und erkennt Bugs und Sicherheitslücken in der Regel schnell und behebt diese noch schneller. Von der fixen Reaktion der Community und dem Entwickelteam profitiert man allerdings nur, wenn man sein System immer auf den neusten Stand hält. Bei vielen CMS-Lösungen lassen sich Updates durch Plug-Ins automatisieren. Mit dem „Easy-Update Manager“ für WordPress oder der Extension „SP Upgrade“ für Joomla hält man das System aktuell und trägt damit aktiv zur Website-Sicherheit bei. Da Plug-ins und andere Add-ons eigenständige Programme darstellen, muss man diese natürlich separat auf Aktualität prüfen. 

2. Regelmäßige Back-ups

Haben sich Hacker trotz Sicherheitsvorkehrungen Zugriff verschafft, können sie erheblichen Schaden anrichten. Es kommt nicht nur häufig zu Datenspionage- und missbrauch, sondern Hacker überschreiben oder löschen auch ganze Datenbanken, um ihre Spuren zu verwischen. Alle wichtigen Inhalte sollte man deshalb regelmäßig sichern. Das ist Vorsorge in zweierlei Hinsicht: Auch bei einem Standard-Update können unter Umständen individuell angepasste Systemdateien überschrieben werden. Ein regelmäßiges Back-up aller Daten ist deshalb für jedes Unternehmen ein Muss. Auch für diese Vorkehrung gibt es Plug-ins: Für WordPress z. B. das Plug-in „Backup WordPress“ und für Joomla die Erweiterungen „Easy Joomla Backup“ oder „LazyDbBackup“. 

3. Sichere Log-in-Daten

Sichere Zugangsdaten sollten selbstverständlich sein. Doch im Alltag sieht das das anders aus, denn das beliebteste Passwort bleibt die Zahlenfolge „123456“. Außerdem übernehmen viele Nutzer vom System vorgeschlagene Benutzernamen wie „Admin“ oder „Administrator“. In Kombination mit schwachen Passwörtern eine leichtes Ziel für Hacker. Für Benutzernamen wie Passwörter gilt: Keine Klarnamen oder einfache, leicht durchschaubare Kombinationen. Wie Sie ein sicheres, für Hacker schwer knackbares Passwort zu generieren, lesen Sie in unserem Ratgeber

4. Informiert bleiben

Wer seine Website vor Hackern und anderen kriminellen Cyber-Angriffen schützen will, sollte sich regelmäßig über aktuelle Gefahren und Sicherheitslücken informieren. Die erste Anlaufstelle ist dabei natürlich die jeweilige Community. In den meisten Foren gibt es zahllose Threads zum Thema Website Security. Dort werden mögliche Sicherheitsrisiken meist als erstes erkannt, besprochen und im Idealfall sofort behoben. Um sich über systemunabhängige Risiken zu informieren, lohnt sich der Blick auf die Seite des Bundesamtes für Informationstechnik. Aktuelle News, Hintergrundartikel und Foren finden Sie auch unter Heise Online

5. HTTPS und SSL-Zertifikat

HTTPS sichert den Austausch sensibler Daten. Mithilfe von SSL (Secure Socket Layer) findet der Datenaustausch zwischen Server und Client verschlüsselt statt. So können Hacker die übertragenen Daten nicht ohne weiteres mitlesen oder abfangen. Das Zertifikat kann auf mehreren Websites  erworben werden (z. B. bei GeoTrust). Bei vielen Hosting-Anbietern ist das Zertifikat im Webhosting-Paket inbegriffen oder wird gegen eine Zusatzgebühr angeboten. Ein weiteres Plus: Der Besucher erkennt das Website-Sicherheit-Zertifikat an dem „Schloss-Symbol“ im Browser und dem https-Transportprotokoll – das schafft Vertrauen beim potenziellen Kunden. 

Hackern keine Chance lassen

Um Hackern keine Chance zu lassen, muss man als Website-Betreiber regelmäßig die eigene Website-Sicherheit testen. Ein Security Check ist ein guter Anfang, aber man sollte diesen in festen Abständen wiederholen. Cyber-Kriminelle entdecken immer wieder neue Schwachstellen, die sie ausnutzen können. Wer auf Aktualität seines Systems achtet und es auf Updates prüft, senkt das Risiko eines unautorisierten Zugriffs. Unter Umständen ist es auch sinnvoll, einen IT-Experten zu Rate ziehen, der bei der Umsetzung von Sicherheitstipps beratend zur Seite steht. Zu guter Letzt ist es natürlich wichtig, das eigene Team zu sensibilisieren – denn auch ungeschulte Mitarbeiter bilden ein Sicherheitsrisiko. 

Sie möchten maximale Sicherheit für Ihre Website? Erfahren Sie hier mehr zu den SSL-Zertifikaten von 1&1 und wie diese das Vertrauen in Ihre Seite erhöhen.

Sicherheit SSL Datenschutz