Oft wird uns die Frage gestellt, wann ist eine Webseite sicher, was muss ich tun um sicher auf Webseiten zu surfen. Wann ist aber eine Webseite genau sicher? Wie kann man das überhaupt überprüfen?
Anfang der 90er Jahre wurde der Startschuss zum World Wide Web gelegt. Tim Berners-Lee erstellte die erste Webseite, der Inhalt war die Erläuterung der Basis-Funktionen des WWW. Zu diesem Zeitpunkt konnte noch niemand ahnen, dass diese Technologie die gesamte Welt verändern wird. Als 1993 das Internet für die Öffentlichkeit freigegeben wurde, war das Ziel der neuen Technologie, Informationen zwischen Physikern und Universitäten auf der ganzen Welt auszutauschen.
Von diesem Augenblick an wurde unentwegt an dieser Technologie weiterentwickelt. Im Laufe der Jahre wurden aus einfachen textbasierten Webseiten, wunderschöne Kunstwerke. Nicht nur die Technologie, sondern auch die Art wie das Medium WWW verwendet wurderd, änderte sich ständig. Heute ist es eine Plattform um weltweit miteinander zu kommunizieren, um Waren zu verkaufen, Angebote zu bewerben oder einfach um sich die Zeit zu vertreiben.
Mit der Einführung von CMS – Content Management Systemen (bspw. WordPress, Drupal, Typo3) – stieg die Zahl der Webseiten explosionsartig an. 2016 wurde die 1 Milliarden-Marke geknackt. Diese CMS-Systeme ermöglichen jeder Privatperson oder jedem Verein ohne grosses Wissen und Investitionen, eine eigene Webseite aufzuschalten. Dank der grossen Beliebtheit dieser Systeme, hat sich eine Gemeinschaft um diese Systeme gebildet, die eigene Plug-Ins, Erweiterungen oder Shopsysteme entwickeln.
Auf der einen Seite ist es schön, dass jede Person die Webseite bequem verwalten, erweitern und mit neuem Inhalt füllen kann, die Allgemeinheit mit seinen Aktivitäten auf dem Laufenden halten und im eigenen Webshop Produkte zu verkaufen.
Auf der anderen Seite birgt genau diese Einfachheit, diese Vielfalt grosse Gefahren. Stellen Sie sich vor, Sie kaufen in einem Webshop mit Ihrer Kreditkarte Geschenke für Ihre Kinder. Um den Kauf abschliessen zu können müssen Sie für sich ein Kundenkonto bei dem Shop anlegen und auch gleich Ihre Kreditkarten-Daten hinterlegen. Nachdem diese Schritte geschafft sind und den Account mit dem Klick auf einen Link im E-Mail bestätigt haben, bekommen Sie wie im Angebot versprochen 3 – 4 Tage später Post. Vier Monate später bekommen Sie neben den schon fast lästigen Werbemails des Webshops eine E-Mail mit der Information, dass der Shop Opfer eines Hackerangriffs geworden ist. Es wird Ihnen mitgeteilt, dass alle Kunden-Daten gestohlen wurden. Neben dem Namen, Passwort und der Mailadresse: Leider auch Ihre Kreditkarten-Daten.
Genau dieses Szenario ist keine Seltenheit. Woran liegt das?
Einer von vielen Gründen ist die Unwissenheit. Ein CMS wie WordPress ist schnell installiert, muss aber wie Ihr Auto auch gepflegt werden. Jedes CMS wird von Zeit zu Zeit erweitert und weiterentwickelt oder wegen einer gefunden Sicherheitslücke gepatcht. Da ist darauf zu achten, dass solche Updates umgehend installiert und nicht ignoriert werden. Ein weiteres noch grösseres Problem stellen die unzähligen, nicht immer sauber programmierten Module, Plug-Ins oder Erweiterungen dar. Nicht selten wird in einem Modul eine schwerwiegende Sicherheitslücke gefunden, die nie, oder erst sehr viel später, durch die Programmierer gestopft wird. In genau dieser Zeit ist die Webseite durch Hacker angreifbar.
Eine Studie von Melani (Melde- und Analysestelle Informationssicherheit des Bundes) hat gezeigt, dass 70% alles Schweizer WordPress-Installationen ungeschützt sind. Melani zeigte anhand von zwei Sicherheitslücken in WordPress auf, wie wenig die Webseitenbetreiber in Ihre Webseite investieren. Obwohl für beide Lücken, kurz nach deren bekanntwerden, Sicherheitsupdates veröffentlicht wurden, waren die Patches bei 75% der getesteten Seiten nach zwei Wochen noch nicht installiert.
Nicht so schlimm? Die bösen Hacker finden meine Seite sicher nicht! Mein Auftritt ist doch nicht interessant!
Mit Tools, die automatisiert nach unsicheren Webseiten, Sicherheitslücken in Webshops oder CMS-Systemen suchen, ist es für die Kriminellen ein leichtes diese Webauftritte mit Malware oder Viren zu manipulieren. Im schlimmsten Fall erhalten die Angreifen Zugriff auf die Daten, somit könnten Sie als Betreiber sogar erpresst werden!
Wie kann ich denn meine Website schützen?
Es gibt unzählige Plug-Ins, Firewalls und andere Tools, welche eine gewisse Sicherheit anpreisen. Diese Tools sind meistens so programmiert, dass diese einen Grossteil der Angriffe abwehren können oder zumindest Ihnen als Betreiber der Webseite eine E-Mail schicken, sollte ein Angriff stattfinden.
Wer aber ganz sicher sein möchte, dass seine Webseite oder der Webshop sicher ist, kann dies auch von den Experten testen lassen. Die Spezialisten greifen mit Hilfe von spezialisierten Scanner auf Ihre Webseite zu, genauso wie es die Hacker auch tun. Dies jedoch mit dem Ziel, Schwachstellen zu finden. Der ganze Vorgang wird dokumentiert und allfällige Probleme aufgezeigt. Mit diesen Informationen ist es Ihnen möglich Ihre Webseite auszubessern und abzusichern. Also, lassen Sie sich Ihre Webseite in Ihrem Auftrag hacken – nicht im Auftrag eines Unbekannten.