Schutzprogramme, Sicher & Anonym

Webseiten als Virenschleuder

Webseiten als Virenschleuder
Eine bislang harmlose Webseite kann zur Virenschleuder werden.

Es sind scheinbar harmlose Webseiten, die unbemerkt Schadsoftware auf den Computer laden können. Obwohl sich zahlreiche dieser Websites bisher als harmlos zeigten, werden sie nun zur Gefahr. Was Betreiber von Webseiten und Anwender tun können, um sich und andere zu schützen, hat der Security-Spezialist Juraj Malcho, Chief Technology Officer bei ESET, in nachfolgendem Ratgeber zusammengefasst.

Die Gefahr der „umgedrehten“ Webseite

Um Schadsoftware auf die Computer ihrer Opfer zu schleusen, wenden Cyberkriminelle heute immer geschicktere Methoden an. Für die Anwender wird es zunehmend schwierig, den im Internet aufgestellten Fallen zu entgehen. Denn viele der Attacken laufen über gezielt manipulierte Webseiten, wie lanline.de dazu berichtete.

„Gestern waren diese Webseiten noch sauber und heute infizieren sie den Rechner, während sie gleichzeitig die gewünschten Inhalte bereitzustellen scheinen, die man gesucht hat“,

umreißt Malcho die Gefahr. Die Anwender bemerken davon in der Regel nichts und wissen nicht, dass die zuvor noch sichere Webseite „umgedreht“ wurde und ihren Rechner längst mit gefährlicher Schadsoftware verseucht hat.

Dabei spielt es den Kriminellen in die Hände, dass manche Webseitenbetreiber ihre Internetauftritte oft monate- oder sogar jahrelang nicht aktualisieren und dadurch versäumen, wichtige Sicherheits-Updates aufzuspielen. Deshalb werden immer öfter Sportvereine und kleine Unternehmen mit eigener Seite zum Angriffsziel der Cyberkriminellen. Sie infiltrieren oder kapern die Webseite und infizieren sie mit Schadcode. Der reine Besuch einer solchen Website kann bei nur unzureichend geschützten PCs dann bereits zu einer Infektion mit Schadcode führen.

Oberstes Gebot: updaten

Surfer können also nicht vorsichtig genug sein, um sich keine Schadsoftware einzufangen. Dabei bestehen gute Chancen, nicht in die Falle zu tappen. Elementar ist es, kein Betriebssystem-Update zu verpassen. Das Gleiche gilt auch für die Updates wichtiger Programme, also etwa des benutzten Office-Pakets oder des Internet-Browsers. Kein User sollte außerdem darauf verzichten, eine Sicherheitslösung zu installieren, die manipulierte Seiten sofort beim Aufrufen erkennt. So analysiert Eset Internet Security nach Angaben des Herstellers beispielsweise den gesamten http-Traffic permanent und blockiert das Aufrufen infizierter Webseiten automatisch – und das bereits, bevor der Schadcode den Rechner erreichen kann.

Abwehr von Brute-Force-Attacken

Wer selbst eine Website pflegt, kann mit einigen Sicherheitsmaßnahmen dafür sorgen, dass die Seite nicht gekapert wird. Die meisten Attacken auf Websites werden durch die Brute-Force-Methode durchgeführt: Mit einer entsprechenden Software starten die Angreifer zahllose Login-Versuche, bei denen nach einem Muster von gebräuchlichen Logins und Passwörtern hin zu ungebräuchlichen Kombinationen durchgeprüft werden. Aus diesem Grund ist es hochgefährlich, als Login für das Backend der Site leicht zu erratene Begriffe wie den eigenen Namen, Admin oder Ähnliches zu verwenden.

Gleiches gilt für Passworte: „123456“, Namen, Geburtsdaten oder Prominente erleichtern es Hackern ungemein, eine Webseite mittels Brute-Force-Attacke zu kapern. Der Zugang zum Webseiten-Backend sollte deshalb durch ein sicheres, starkes Passwort erschwert werden, das regelmäßig ausgewechselt werden muss. Hier empfiehlt sich der Einsatz eines Passwortmanagers, der hochsichere Eingabecodes erzeugt.

Darüber hinaus schützt die Verwendung von Login Limitern Websites vor zu vielen, falschen Login-Versuchen. Wenn dann ein Krimineller mit der Brute Force Methode in die Website einbrechen will, wird er nach einer definierten Zahl nicht erfolgreicher Logins blockiert.

Wer immer von der gleichen IP auf sein Web-Backend der Website zugreift, sollte zudem sogenanntes Whitelisting nutzen: alle IPs außer der eigenen blockieren, sodass Unbefugte nicht ins Backend gelangen können. Zusätzliche Sicherheit bietet Zwei-Faktor Authentifizierung: Bei jedem Login ins Backend der Website wird ein Code aufs Smartphone gesendet, mit dem man den Login-Vorgang abschließen muss.

Hochwertige Security-Lösung einsetzen

Eine hochwertige Security-Lösung zählt ebenso zu den wichtigen Schutzmaßnahmen. Für Kleinstunternehmen oder Startups empfehle sich der Einsatz des ESET Small Business Security Packs, das nicht nur PCs und Notebooks, sondern auch Smartphones, Datei- und Mail-Server absichert. Nicht zuletzt gehören regelmäßige Updates auch für kleine Unternehmen ins Pflichtenheft. Die Updates schließen bestehende Sicherheitslücken und verhindern so, dass sich Cyberkriminelle über diese Schlupflöcher unbefugten Zugang verschaffen können.

Für Internetnutzer gilt:

Wenn direkt beim Anklicken von Webseiten die Installation von Schadsoftware unterbunden wird, hat man im Vergleich zu unbedarften Opfern deutliche Vorteile. Neben der Verwendung einer entsprechend leistungsstarken Sicherheitslösung ist auch dabei die Eigenverantwortung wichtig. Wer schwache Passwörter verwendet, Betriebssystem-Updates auslässt und sensible Daten nicht verschlüsselt, handelt grob fahrlässig.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben