Direkt zum Inhalt wechseln

Hacker werden dich hassen! 13 Tipps für sichere Websites

In Zeiten von steigender Webkriminalität und gezielten Hackangriffen auf allen Ebenen der Netzwelt wird das Bewusstsein für stabile und abgesicherte Weblösungen stärker. Meist reagieren Unternehmen und Institutionen erst nach dem ersten Anlassfall. Vielfach erfolgt dann das böse Erwachen: sensible Daten werden entwendet, ganze Webseiten gekappt, mit Schadcode gefüttert und für organisierte Kriminalität zweckentfremdet.

Oft fehlt das Wissen und das rechtliche sowie technische Know-How wie man sich schützen- und Webpräsenzen sicherer gestalten kann.
Wir zeigen in diesem Beitrag auf, warum die Absicherung der eigenen Webseite wichtig ist und welche Maßnahmen man mit einfachen Mitteln setzen kann.

Viele Website-Redaktionssysteme (CMS) sind als Open Source Lösung kostenlos verfügbar, millionenfach im Einsatz und daher beliebtes Angriffsziel für Hacker. Unsaubere Programmierung in Core-Systemen und Erweiterungen erzeugen eine Unsicherheit, da ordnungsgemäße Qualitäts- und Prüfungsverfahren fehlen.

Hacker nutzen gezielt Sicherheitslücken um Phishing-Seiten einzuschleusen, Datenbank-Zugriff zu erlangen, Viren oder Trojaner zu verbreiten oder den Webserver zum Versand von Spam-Mails und weiteren Hack-Attacken zu missbrauchen.

Inhalt:

  1. Tipp: Halte deine Software aktuell
  2. Tipp: Verstecke die Admin-Oberfläche
  3. Tipp: Verwende sichere Zugangsdaten
  4. Tipp: Verschlüssle deine Website mit SSL
  5. Tipp: Sichere Web-Formulare ab
  6. Tipp: Setze auf hochwertige Server-Hosting
  7. Tipp: Mache regelmäßige Backups
  8. Tipp: Führe Security Checks durch
  9. Tipp: Unterbinde Cross-Site Scripting
  10. Tipp: Vorsicht vor Fremd-Inhalten
  11. Tipp: Rechtssichere Datenschutzerklärung
  12. Tipp: Seite gehackt – was nun?
  13. Tipp: Lasse im Zweifelsfall einen Profi ran

Tipp 1: Halte deine Software aktuell

  • Prüfe regelmäßig ob für deine Software Updates verfügbar sind und spiele diese zeitnah ein. Dadurch können Sicherheitslücken und Systemfehler rasch behoben werden.
  • Für alle gängigen CMS Systeme (zB. TYPO3, Joomla, WordPress, …) gibt es regelmäßig Updates, welche meist angekündigt werden. Diese findest du auf den jeweiligen Produkt-Webseiten. Manche CMS Systeme bieten auch automatisierte Updates an.
  • Achte auch auf Plugin Updates. Module und Funktionen sind oft von Drittanbietern programmiert und haben eigene Update-Zyklen.
  • Setze nur getestete und sauber programmierte Erweiterungen ein.
    Wichtig: Erstelle vor den Updates Backups aller Daten, damit im Problemfall die Website rückgespielt werden kann.
  • Optimalerweise updatest du dein System parallel auf einem Testserver, um den Livebetrieb nicht zu gefährden. Dies sollte bei größeren Webseiten Standard sein. Dazu können Versionierungs-Systeme wie GIT oder SVN nützlich sein.
  • Lese regelmäßig Foren und Fachmagazine – dort werden in der Regel Sicherheitslücken in Modulen und CMS Systemen bekannt gemacht.
  • Setze auf etablierte Enterprise CMS Systeme und lasse dich von einer professionellen Agentur zur Auswahl der geeigneten Systeme sowie zur laufenden Wartung deiner Website beraten.

Tipp 2: Verstecke deine Admin-Oberfläche

Wenn du ein CMS System zur Bearbeitung deiner Website im Einsatz hast, ist dieses mit einer Administrator – oder Redakteuroberfläche ausgestattet. Diese ist meist mit einem eigenen Link – auch Backend genannt – erreichbar. zB. www.meinewebsite.at/typo3. CMS Systeme sind weltweit zigtausendfach im Einsatz und verwenden zu 99% den gleichen Backend-Link. Hacker brauchen nicht lange zu überlegen und gelangen ohne allzu große Anstrengung zumindest bis zu dieser Eingangstür. Bereits an dieser Stelle können viele Login-Hacks vermieden werden:

  • Erstelle einen Zugriffsschutz für den Administrationsbereich via .htaccess (Verzeichnisschutz)
  • Begrenze die Zugriffsversuche auf deine Wartungsoberfläche
  • Ändere den Link zum Backend (zB. /redaktion anstatt /admin). Damit schickst du schon viele Angreifer ins Niemandsland. Eine andere Möglichkeit wäre die Login Seite mit einem Passwort-Schutz zu versehen.
  • Wenn du mutig bist, leite die bisherigen Admin-Aufrufe direkt zur offiziellen FBI Website um. Du wirst sehen, dass sich diese Angreifer so schnell nicht mehr blicken lassen.

Tipp 3: Verwende sichere Zugangsdaten

Passwort-Security ist ein vielbeschriebenes Thema. Mittlerweile ist die Aufklärung zu sicheren, komplexen Passwörtern eine Selbstverständlichkeit. Leider sieht es in der Praxis anders aus: Um sich Passwörter einfach merken zu können werden noch immer zu simple und leicht zu knackende Passwörter verwendet. Hier nochmals zur Auffrischung:

  • Passwörter sollten mindestens 8-12 Zeichen oder mehr haben.
  • Verwende Zahlen, Sonderzeichen, Klein- und Großbuchstaben.
  • Speichere Passwörter nie in offenen Dateien auf deinem PC. Merke es dir am besten auswendig.
  • Verwende unterschiedliche Passwörter für deine zahlreichen Zugänge.
  • Nutze empfohlene Passwort-Verwaltungstools (man muss sich somit nur ein Masterpasswort merken).
  • Verschlüssle dein Passwort, sofern du es auf deinem Rechner nicht speichern möchtest.
  • Gib persönliche Passwörter nicht an Dritte weiter.
  • Versende Passwörter niemals per E-Mail oder WhatsApp. Noch schlechter: gemeinsam mit dem Benutzernamen.
  • Ändere deine Passwörter regelmäßig.
  • Klebe dein Passwort nicht klassisch auf den Bildschirm oder in einem offen zugänglichen Ordner in deinem Büro.
  • Vermeide persönliche Ausdrücke wie die Namen der Kinder oder Wörter, die auch im Duden zu finden sind.
  • Verwende gerne einen Passwortgenerator zur Generierung eines sicheren Passwortes.
  • Vermeide Benutzernamen wie „admin“. Diese sind bei den meisten Systemen standardmäßig angelegt und so ein Angriffspunkt für Hacker.

Tipp 4: Verschlüssle deine Website mit SSL

  • Es gibt verschiedene Produkte (SSL Zertifikate) – diese variieren je nach Hoster und unterscheiden sich in vielen Details und Sicherheits-Stufen. Unbefugten wird somit das mitschnüffeln von ausgetauschten Daten erschwert oder verweigert.
  • Besonders bei der Übertragung von sensiblen Informationen wie Passwörtern, Persönliche Daten in Formularen oder Bankdaten kannst du so die Privatsphäre deiner Besucher:innen schützen.
  • Positiv daran ist auch, dass mit SSL ausgestattete Seiten mit einem Hinweis auf eine „sichere Webseite“, mit einem Logo des SSL Anbieters oder mit vertrauenswürdiger, grüner Farbe im Adressbereich ausgestattet sind.
  • Darüber hinaus hat SSL auch einen Suchmaschinen-technischen Aspekt: Seiten die mit SSL ausgestattet sind erfreuen sich über eine positive Auswirkung in den Google Suchrankings.
  • Die Aktivierung von SSL muss beim Hosting-Provider beauftragt werden und verursacht in der Regel jährliche Kosten. Es gibt aber auch kostenlose Zertifikate, welche bereits in einem Hosting Paket inkludiert sein können.
  • Darüber hinaus muss auch die Website-Technologie SSL-fähig sein
  • Eine mit SSL abgesicherte Website erweckt Vertrauen bei Besucher:innen.
  • Das Risiko von Datendiebstahl und -missbrauch wird vermindert

Die meisten Websites verwenden mittlerweile in der Adresszeile vor der Domain die Bezeichnung „https“.  (Vor einigen Jahren wurde nur die Bezeichnung „http://“ verwendet.) Das zusätzliche „s“ steht für „secure“ und deutet auf eine geschützte Website hin. Das Zauberwort heißt SSL (Secure Socket Layer) und ist ein Netzwerkprotokoll zur sicheren Übertragung von Daten vom Webserver zum PC. Websites sollten mit SSL verschlüsselt sein, und mit einem höheren Sicherheitsstandard ausgestattet werden.

Tipp 5: Sichere Web-Formulare ab

Formulare stellen einen begehrten Angriffspunkt auf deiner Webseite dar, daher ist auf die Absicherung von Web-Formularen ein besonderes Augenmerk zu legen. Kontaktformulare, Anfrageformulare, Buchungsformulare und Gästebücher (wer hat sowas noch?) können ein Sicherheitsrisiko darstellen.

Spam-Anfragen: Oft versuchen Spam-Roboter, Formulare mit automatisierten Werbebotschaften zu belegen und abzusenden. So kann es passieren, dass zahlreiche Spam-Mails von Anfrageformularen im Posteingang landen.

Eine Möglichkeit zur Verhinderung dieser Spamanfragen ist der Einsatz von sogenannten Captchas. Dies sind nur von Menschen lesbare Aufgaben, welche vor dem Senden beantwortet werden müssen. Diese Tests stellen für Menschen kein Problem dar, sind für Roboter jedoch schwer zu bewältigen.

Eine weitere Möglichkeit ist der Einsatz von sogenannten Timestamps. Diese verzögern die Aktivierung des Sende-Buttons um mehrere Sekunden. Spam-Roboter brauchen für Formular-Befüllung und Absendung in der Regel weniger als 1 Sekunde und sind so nicht in der Lage, das Formular abzusenden.

Weiters sind sogenannte Honeypot Felder eine verbreitete Methode. Das sind versteckte Felder, die von Menschen, die das Formular ausfüllen nicht ausgefüllt werden. Kommt jedoch ein Bot auf ein solches Formular und befüllt alle Felder die er im Quellcode findet, wird das Formular nicht abgeschickt. Mittlerweile sind jedoch schon „schlauere“ Bots unterwegs, welche solche Felder erkennen.

SQL Injection – Datenbank-Hack über Web-Formulare

Datenbanken enthalten meist wertvolle Informationen und zählen damit zu den beliebtesten Angriffszielen. Bei einer so genannten SQL-Injection überlistet der Hacker Sicherheitslücken in Formular-Feldern, welche durch die Nicht-Prüfung und ungefilterte Einspielung von Formular-Werten entstehen kann.

Verzichtet man auf entsprechende Vorsichtsmaßnahmen, öffnet man Angreifern umfangreiche Möglichkeiten zur Manipulation der Datenbank bis hin zur Erstellung von Zugangsdaten zum kompletten Wartungssystem. Damit hat der Hacker Hoheit über deine Webseite.

Tipp 6: Setze auf hochwertiges Server-Hosting

Jede Webseite braucht einen Server durch den sie weltweit erreichbar ist. Die Sicherheit deines Server-Platzes ist eine der wichtigsten Aspekte um Hackangriffe zu vermeiden, aber auch um einen Ausfall der Website durch unerwartete Ereignisse zu vermeiden. Das passende Hosting-Paket richtet sich nach Größe und Einsatzbereich des Webauftritts. Generell solltest du aber auf einen verlässlichen und guten Hosting-Partner setzen.

  • Achte bei der Wahl deines Hosting-Anbieters auf Sicherheitsstandards wie etwa geografisch getrennte Daten-Zentren, Videoüberwachung, Sicherheitsschleusen, Stromversorgung (USV), Kühlsystem, Brandfrüherkennungssystem, redundante Rechenzentrums-Anbindung, Guter Support-Level für Notfälle und Anlässe, moderne Hardware, Einsatz von hochwertigen Firewalls, automatischer DDoS-Schutz, RAID-x Festplattenabsicherung, usw.

Webserver-Sicherheitsmaßnahmen

  • Optimiere die Rechtevergabe für deine Dateien und Verzeichnisse: Die Datei- und Verzeichnisrechte deiner Website-Daten müssen mit möglichst restriktiven Datei-Rechten ausgestattet sein um einen Fremdzugriff zu verhindern. Dies kann meist über die Verwaltungs-Oberfläche des Providers, über ein FTP Programm oder über einen sogenannten SSH Zugang erfolgen.
  • Unterbinde die Ausführung von Scripts in bestimmten Verzeichnissen
  • Du solltest das Rootverzeichnis und Unterverzeichnisse so absichern, dass diese nicht durchsucht werden können.
  • Nicht benutze Apache-Module deaktivieren
  • Laufende Server-Softwareupdates durchführen (lassen) und kontrollieren
  • Verwendung von SFTP als Filezugriffs-Tool.
  • Verwendung von sicheren Passwörtern und laufende Änderung dieser
  • 24/7 Monitoring der Systeme mit automatischen Benachrichtigungen bei Auffälligkeiten
  • usw.

Tipp 7: Mache regelmäßige Backups

Die Erstellung einer Website ist oft aufwändig und mit viel Arbeit verbunden – es wäre schade wenn plötzlich alles weg wäre. Daher lohnt es sich über eine geeignete Backup-Strategie nachzudenken und von Zeit zu Zeit zu überprüfen, ob die Sicherungen im Notfall auch rückspielbar sind. Wie oft im Leben kümmert man sich erst im negativen Anlassfall um das Thema Backups und Datensicherung. Besser wäre, schon zum Onlinegang ein vernünftiges und regelmäßiges Backupsystem zu wählen und einzuführen.

  • Grundsätzlich sollten Hoster tägliche Datensicherungen anlegen und diese zumindest eine gewisse Zeitspanne lang archivieren.
  • Von Zeit zu Zeit empfiehlt es sich, Datensicherungen auch lokal zu sichern und entsprechend zu archivieren.
  • Eine Website besteht meist aus 2 Teilen: Daten (Systemfiles, Bilder, usw.) und Datenbank (in dieser sind Informationen über die Website gespeichert). Diese beiden Bestandteile müssen gesichert werden um die komplette Website reproduzieren zu können.
  • Meist stellt der Hoster Tools zur Sicherung der Daten zur Verfügung. Zur Sicherung von MySQL Datenbanken gibt es zudem gute Software als Freeware.
  • Einige CMS Systeme stellen auch Plugins für die Datensicherung zur Verfügung
  • Auf jeden Fall sollte man von Zeit zu Zeit ausprobieren, ob sich die Backups etwa auf einem Testserver wiederherstellen lassen. Im schlimmsten Fall hast du zwar Backups, diese könnten aber fehlerhaft und unreparabel sein.

Tipp 8: Führe Security Checks durch

Es gibt viele Möglichkeiten, Websites zu schützen. Aber selbst die ausgeklügeltsten Maßnahmen können keine 100%ige Sicherheit vor einem Hackangriff bieten.

Oft merken Websitebetreiber gar nicht oder erst zu spät, dass die Website gehackt wurde. Aus diesem Grund sollte man regelmäßig Security- und Sicherheits-Checks durchführen. Im Web gibt es eine ganze Reihe an Tools mit denen du deinen Webauftritt – teils kostenlos – prüfen kannst.

Wenn du auf Nummer sicher gehen möchtest, empfiehlt es sich, einen Profi heranzuziehen. Im Netzwerk des Vereins für Datenschutz und IT Security findest du Expert:innen für Penetrationstests, Server-Sicherheit und Website-Security.

Tipp 9: Unterbinde Cross-Site Scripting

Unter Cross-Site-Scripting versteht man das Nutzen von Sicherheits-Lücken in Webapplikationen. Schädliche Programme (Skripte) werden dabei ins System eingeschleust um anschließend die Systemumgebung der Nutzer:innen anzugreifen. Das können harmlose Werbepopups sein, jedoch können solche Scripte auch vertrauliche Informationen erlangen oder Zugriff auf den Computer des Geschädigten.

Die Folgen sind nicht zu unterschätzen: Man riskiert den Verlust der Daten oder wird quasi als Mittäter missbraucht. Du bist für deine Daten und deren Sicherheit selbst verantwortlich. Daher sollten Website-Betreiber:innen unbedingt Maßnahmen einleiten, um Cross-Site-Scripting zu verhindern.

Die Problemstellungen und Möglichkeiten zur Absicherung sind vielfältig.

Cross-Site-Scripting betrifft vor allem aber auch die lokalen Web-Browser: Etwa das Ausschalten der Javascript Unterstützung im Browser, Abschaltung von Active Scripting oder Browser-Plugins zur Unterbindung von Cross-Site-Scripting sind effektive Lösungsansätze auf dieser Ebene.

Fremden Links solltest du deshalb generell nicht blind vertrauen und vor dem Folgen gründlich prüfen. Meist ist Cross-Site-Scripting nur der Einstiegs-Schritt für breit angelegte Angriffe.

Tipp 10: Vorsicht vor Fremd-Inhalten

Das Einbetten von fremden Inhalten, etwa via JavaScript oder iFrame, ist oft gefordert oder notwendig. Diese Einbindungen können jedoch auch mit Risiko verbunden sein.

Einerseits verliert man dadurch die Kontrolle über die Inhalte, andererseits können dadurch auch ungewünschte Codes eingespielt werden und so die Website missbrauchen.

Binde somit Fremd-Inhalte nur ein, wenn du den Anbieter kennst und vollstes Vertrauen hast. Dies betrifft auch Einbindung von Analyse-Tools wie Google Analytics.

Tipp 11: Rechtssichere Datenschutzerklärung

Auch Datenschutz und entsprechende Datenschutzerklärungen tragen zur Sicherheit der Website bei. Rechtliche Sicherheit, Informationen legal zu verarbeiten sind ebenso wichtig wie technische Sicherheit, Datenklau zu vermeiden.

Wenn du auf deiner Website ein Gewinnspiel betreibst, ein Anfrageformular bereitstellst, eine Newsletteranmeldung zur Verfügung stellst oder einen Registrierungsprozess anbietest, dann verarbeitest du Nutzerdaten. Aber nicht nur dann – ein großer Teil aller Websites verwendet sogenannte Cookies um Besucherverhalten zu analysieren. Auch IP Adresse und Verweildauer usw. werden in der Regel gespeichert.

Jede Website, welche personenbezogene Daten verarbeitet, benötigt eine wasserdichte Datenschutz-Erklärung um einer Abmahnung zu entgehen.

Ziehe im Zweifelsfall Experten zu Rate. Im Verein für Datenschutz und IT Sicherheit findest du spezialisierte Rechtsanwälte zum Thema Datenschutz im Web.

Tipp 12: Seite gehackt – was nun?

Wenn deine Seite plötzlich offline ist, fremde Inhalte (meist mit einer Botschaft versehen) ausgibt oder dein Provider dich auf einen Hackangriff aufmerksam macht, dann solltest du schnell handeln. Ansonsten riskierst du, dass deine Website gesperrt wird und mittelfristig auch aus dem Suchindex fällt.

  • Der erste Schritt ist Schadensbegrenzung. Wenn du Opfer eines Hackerangriffs wurdest, nimm am besten die Seite kurzfristig aus dem Netz.
  • Ändere alle CMS, FTP und Systemzugriffs-Passwörter, damit der Angreifer keinen direkten Zugang zu deinen Daten mehr hat (sofern er sich diesen nicht anderweitig gesichert hat).
  • Versuche die Sicherheitslücke durch die der Hacker eingedrungen ist, auszumachen und zu schließen.
  • Sollte kein Backup vorhanden sein, prüfe alle Dateien und entferne schadhaften Code.
  • Prüfe alle Datei- und Verzeichnisrechte auf deinem Server.
  • Halte Rücksprache mit deinem Hosting-Provider und lege weitere Maßnahmen fest.

Tipp 13: Lasse im Zweifelsfalls einen Profi ran

Die beschriebenen Tipps und Maßnahmen sind einzelne, grundlegende Aspekte und keine vollständige Anleitung für Website-Security. Die Anforderungen sind je nach Projekt/Website unterschiedlich und müssen im Einzelfall evaluiert werden.

Ist deine Website genügend geschützt? Wenn nicht, solltest du den einen oder anderen Tipp konkret umsetzen oder deine Webagentur beauftragen. Erkundige dich, welche Sicherheitsvorkehrungen schon getroffen wurden und welche Maßnahmen zusätzlich sinnvoll sind.

Deine Website ist dein Aushängeschild – lasse sie nicht im Stich!

Das könnte euch auch noch interessieren …

LEMONTEC gewinnt CAESAR 2024
Erfolgreich mit TikTok
Gen Z: Die Zukunft des Marketings verstehen
Werbung früher vs. heute
Typografie im Design
Hacker werden dich hassen