Website Sicherheit, leider oft vernachlässigt

Stiefkind Website-Sicherheit

Hacker und Hacking-Angriffe machen regelmäßig von sich reden. Es vergeht kaum ein Monat ohne derartige Aktivtäten, meist sind es dann die kriminellen Umtriebe sogenannter Black Hat Hacker in die abendlichen Nachrichten schaffen. Auch wenn es den meisten Usern von Desktop-PCs, Notebooks, Tablets und Smartphones mittlerweile klar ist wie wichtig regelmäßige Updates, eine Firewall und ein aktueller Virenschutz sind, liegt der Anteil der Verbraucher, die ohne aktives Antivirenprogramm online sind bei rund 14 %.

Wie sieht es bei den Websites von Unternehmen, Bloggern und privaten Website-Betreibern aus? Wie steht es um deren Sicherheit? Websites sind zunehmend raffinierteren Methoden ausgesetzt um dort beispielsweise Schadcode für Malware zu platzieren. Etwas mehr als die Hälfte der Websitebetreiber ergreift keine Maßnahmen für die Website-Sicherheit im Netz.  Laut einer Umfrage von Host Europe aus dem Jahr 2017 ergreifen 53 % der Website-Betreiber keine aktiven Maßnahmen zur Website-Sicherheit.

Was können Sie als Websitebetreiber für die Sicherheit Ihrer Site tun?

1. Sei Up-to-date: Das ist naheliegend und konsequent, wird aber in der Praxis immer wieder vernachlässigt. Hacker stürzen sich gerne auf bekannte Schlupflöcher von Plug-Ins, Skripten und CMS-/Shopsystemen. Deshalb sollten Sie immer sicherstellen, dass diese bei Ihnen immer der aktuellen Version entsprechen und Updates immer zeitnah installiert werden.
   Für viele CMS-Systeme gibt es zusätzliche Sicherheits-Plug-Ins mit denen Sie die Sicherheit weiter erhöhen können.
2. HTTPS ist Pflicht: Nicht nur weil Google schon vor längerer Zeit die SSL-Verschlüsselung der kompletten Website zum Rankingfaktor erklärt hat sollte über HTTPS nachgedacht werden. Dieser Schritt ist nicht nur aus SEO-Sicht sinnvoll und spätestens seit der Einführung von der DSGVO für alle E-Commerce-Lösungen und Websites, auf denen sensible Daten ausgetauscht werden, Pflicht. Auch für alle anderen lohnt sich die HTTPS-Umstellung. Die Website wird hierdurch sicherer.  Kunden gewinnen mehr Vertrauen in Ihr Webangebot. Hinzu kommt, dass künftige Versionen des inzwischen beliebten Chrome Browsers aus dem Hause Google unsichere Websites immer deutlicher als solche kennzeichnen.
3. Webhoster – Auswahlkriterium Qualität: „Was nicht viel kostet, oft auch nicht viel taugt“ ist nichts Neues. Gleichzeitig ist der höchste Preis oder der fetteste Webspace kein Garant für die beste Qualität. Die billigsten Hosting-Angebote bieten aber oft (logischerweise) nicht die höchsten Sicherheits-Standards. Deshalb sollte der Webhoster nach der erbrachten Leistung des Gesamtpaketes ausgewählt werden. Das Rechenzentrum muss eine hohe Sicherheit und Verfügbarkeit garantieren. Backups sollten täglich durchgeführt werden. Ebenso müssen HTTPS und SSH (Secure Shell Access) sowie ein kompetenter 24-Stunden Support gegeben sein. Auch die (möglichst geringen) Ausfallzeiten können ein Indiz für gutes Hosting sein. Ein sicherer Hosting-Provider trägt viel zur Website Sicherheit bei.
   Viele weitere interessante Informationen zum Thema Webhosting hat Nils Reimers auf https://www.webhosterwissen.de/ zusammengestellt.
   Aus SEO-Sicht wäre eine schnelle Ladezeit bzw. ein gutes Caching zu beachten. Denn die Performance auf Mobilgeräten nimmt Google zunehmend ernst. Manche Websites laden schnell, diese Seiten sind über eine 3G-Verbindung nach 4-5 Sekunden aufgebaut. Leider brauchen machen Hoster schon über eine Sekunde bis zum Laden des ersten Bytes, das ist viel zu lang! Der empfohlene Wert liegt bei 0,2 Sekunden.
4. Passwort-Schutz: Achten Sie darauf komplexe Passwörter für das Kunden-Login zum Backend des Hosting-Paketes oder für den FTP-Zugang zu verwenden. Hacker sind gut darin den Namen des Haustieres, Ihren Geburtstag oder den Namen der Liebsten herauszufinden und sich daraus ergebende Passwortkombination auszuprobieren. Loggen Sie sich ausschließlich über eine sichere SSL-Verbindung ein!
5. Tipps für Ihr Hosting:
   a) Nutzen Sie eine Quota um Skripte auf deren Verzeichnis und dessen Unterverzeichnisse zu beschränken.
   b) Schützen Sie sensible Bereiche wie zum Beispiel das Backend (die Administrationsoberfläche Ihres CMS bzw. Onlineshops) mit einem zusätzlichen Passwortschutz, den Sie per .htaccess einrichten können.
   c) PHP: Verwenden Sie immer die aktuellste PHP- und MySQL-Datenbank-Version. Speichern Sie die Zugangsdaten (z.B. zur Datenbank) nicht im Klartext, verwenden Sie auch hier immer sichere Passwörter.
   d) Bei selbst entwickelten PHP-Skripten  müssen die Grundregeln für sichere PHP-Skripte befolgt werden. Um ein Einschleusen von Schadcode zu verhindern müssen beispielsweise Benutzereingaben validiert werden.
   e) Falls Sie Zugriff auf die PHP.ini haben können Sie die dort hinterlegten Sicherheitseinstellungen überprüfen und  gegebenenfalls anpassen.
6. Ein interessantes Projekt zur Erhöhung der Sicherheit der eigenen Website ist https://siwecos.de. Hierbei handelt es sich um ein Projekt der Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie mit dem Ziel die Sicherheit von IKT-Systemen zu erhöhen. Das Gute dabei ist: Der Dienst überprüft täglich wichtige Sicherheitskriterien und schickt bei Auffälligkeiten eine Benachrichtigung per Mail – vollkommen kostenlos. Wie das funktioniert erfährt man auf der Website oder in dem folgenden zweiminütigen Erklärvideo. <iframe width="745" height="373" src="https://www.youtube.com/embed/HfwMBpjIlHE" frameborder="0" allow="autoplay; encrypted-media" allowfullscreen></iframe>
   Das Problem besteht darin, dass ein Großteil aller Webangebote auf CMS- und Shopsystemen wie WordPress, Joomla usw. basieren. Deren Sicherheitslücken versuchen Hacker zu finden, bevor es andere tun und die Lücke durch eines der regelmäßigen Updates geschlossen wird. Und genau hier setzt www.siwecos.de an und zeigt aktuelle Schwachstellen der Systeme auf. Hoffentlich vor einem Hacker!