Schutz vor Cyberangriffen: 10 Tipps für Ihre Website

Ein altes, offenes Schloss an einer Tür
Foto: © iMattSmart/unsplash.com

Die Cyberangriffe geschehen automatisiert und in der Regel unbemerkt — bis es irgendwann mal kracht. Die Folgen sind verheerend. Im schlimmsten Fall wird die gesamte Website übernommen, der Inhalt gelöscht oder überschrieben und bisherige Zugänge gelöscht. Neben diesen Ärger entstehen oft juristische Folgeprobleme, wenn Kundendaten dabei in fremde Hände gelangt sind oder Ihre kompromittierte Website selbst Schadsoftware verbreitet.

Diese Angriffsszenarien sind besonders fatal, aber treten auch deshalb immer wieder ein, weil sich im Vorfeld zu wenig mit der Sicherheit der Website auseinandergesetzt wurde. In der unvorstellbaren Breite des Internets halten manche Seiteninhaber:innen ihren eigenen Internetauftritt fälschlicherweise nicht für ein lohnenswertes Ziel von Attacken oder verdrängen mit der Zeit, dass der Schutz eine stetige Aufmerksamkeit erfordert, beispielsweise mit der Installation von Updates.

Bei Full-Service-Agenturen müssen Sie sich nicht selbst um diese Aspekte kümmern. Wenn Sie Zweifel haben, lohnt aber manchmal ein gezieltes Nachfragen, wie es um die Sicherheit Ihrer Website steht.

Auf Nummer sicher gehen

Die Agentur pepper unterstützt Sie bei der Umsetzung einer sicheren und datenschutzfreundlichen Website.

pepper kennenlernen

Tipp 1: Datenaustausch sichern mit einer SSL-Verschlüsselung

Unbedingt ratsam ist eine SSL-Verschlüsselung. Sie ermöglicht einen sicheren Datenaustausch zwischen Client (Browser) und dem Webserver. Auch für Laien ist die Verschlüsselung einfach an dem »s« für »secure« im https:// in der URL zu erkennen. Dank der Initiative »Let’s encrypt« von Mozilla gibt es erforderliche SSL-Zertifikate kostenlos, aber für Online-Shops sind kommerzielle Zertifikate vertrauensfördernder.

Die Verschlüsselung sollte erzwungen werden, womit Anfragen von http:// zu https:// automatisch weitergeleitet werden. Damit ist sichergestellt, dass niemand die Website unverschlüsselt nutzt, obwohl man beispielsweise auf eine alte Verlinkung ohne Verschlüsselung geklickt hat.

Übrigens ist die SSL-Verschlüsselung seit Jahren ein bekannter Ranking-Faktor bei Google. Das heißt, dass sich die Position Ihrer Website in den Suchergebnissen verbessern kann, wenn Sie SSL nutzen. Ein weiterer Grund für SSL ist, dass verschiedene Browser bereits vor unverschlüsselten Websites warnen. In Google Chrome prangt inzwischen ein roter »Nicht sicher«-Warnhinweis neben der URL, sofern die Website nicht verschlüsselt ist. Von allen Sicherheitsrisiken abgesehen: Das ist auch für potenzielle Kund:innen nicht vertrauenserweckend.

Tipp 2: Der Server sollte aktuell gehalten werden

Die Software auf dem Server sollte stets aktuell gehalten werden, denn bei ständiger Weiterentwicklung tauchen in regelmäßigen Abständen auch Sicherheitslücken auf. Deshalb sollten Updates ebenso regelmäßig eingespielt werden. Das übernimmt der Webhoster für Sie. Im Zweifel können Sie ihn nach seiner Update-Routine fragen.

Tipp 3: Das Content-Management-System sowie zugehörige Plugins und Themes sollten aktuell gehalten werden

Grob überschlagen: Je bekannter das Content-Management-System (CMS) ist, desto wahrscheinlicher ist es, dass die Installation kontinuierlich angegriffen wird. Mitunter auch mit Erfolg: Die Liste bekannter Sicherheitslücken von WordPress, dem wohl bekanntesten CMS, ist schließlich lang. Umso wichtiger sind Updates, die diese Sicherheitslücken in der Regel zeitnah schließen. Ein mögliches Einfallstor stellt aber nicht nur das Content-Management-System selbst dar, sondern auch Plugins und Themes. Mit der Anzahl installierter Themes und Plugins steigen auch die Risiken.

Idealerweise wird bereits zu Beginn geklärt, wer diese Aufgaben übernimmt. Bekannte Content-Management-Systeme wie WordPress und zugehörige Plugins lassen sich ohne tiefere Kenntnisse über den Browser aktualisieren. Das geht sogar automatisch. Trotzdem drohen mit jedem Update Inkompatibilitäten zu bestehenden Inhalten, weshalb ein Backup der Daten und der Datenbank ratsam ist.

Tipp 4: Das Backend des Content-Management-System sollte zusätzlich abgesichert werden

Das Backend, je nach Content-Management-System auch »Panel«, »WP-Admin« oder »Administrations-Bereich« genannt, ist für Hacks besonders interessant. Die ersten Angriffe wehrt man bereits ab, wenn man die Zugangsdaten mit Bedacht wählt: Für automatisierte Angriffe eines Users mit dem Standardnamen »admin« hat man immerhin bereits den Namen, jetzt fehlt nur noch das Passwort. Wenn dieses nicht sicher ist, ist die Website schnell von Kriminellen übernommen. Folglich sollte ein individueller Name mit einem sicheren Passwort für den Zugang gesetzt werden:

  • Das Passwort sollte nicht in einem Wörterbuch zu finden sein.

  • Das Passwort sollte keine Zahlen- oder Buchstabenkombination sein, die aus Wiederholungen (aaaaaa) oder Abfolgen bestehen (abcdef, 123456).

  • Das Passwort sollte kein Wort, sondern ein Gebilde aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen sein.

  • Das Passwort sollte mindestens acht Zeichen lang sein. Hier helfen auch Passwortmanager, dank derer man sich das Passwort nicht merken muss.

  • Für jeden Zugang sollte ein eigenes Passwort gewählt werden.

Idealerweise schützt man das Login mit einem zweiten Faktor. Das Content-Management-System Kirby unterstützt eine Zwei-Faktor-Authentifizierung beispielsweise von Haus aus. Damit wird bei jedem Login nicht nur die E-Mail-Adresse und das zugehörige Passwort abgefragt, sondern auch ein Login-Code, der unmittelbar per E-Mail zugestellt wird. Für andere Content-Management-Systeme gibt es oft Plugins mit einer entsprechenden Funktionalität.

Möglich ist oft auch, die URL des Backends zu ändern, womit automatisierte Angriffe ebenfalls erschwert werden. Mitunter ist es auch ratsam, das Backend durch einen zusätzlichen Passwortschutz via HTTP Authentication abzusichern. Dieser Schutz kann aber trügerisch sein, denn oft haben Content-Management-Systeme noch weitere Schnittstellen, über die man in sensible Bereiche gelangen kann. Bei WordPress ist es beispielsweise die XMLRPC-Schnittstelle, die man oft getrost sperren kann. In einem Artikel über die Absicherung von WordPress ist das konkret erklärt.

Tipp 5: Eine Rechteverwaltung im Backend bei mehreren Anwender:innen

Content-Management-Systeme für Websites, die von mehreren Personen gepflegt werden, sollten eine gute Rechteverwaltung besitzen. Anwender:innen sollten nur so viel Befugnisse im Backend besitzen, die sie tatsächlich auch für ihre Tätigkeit benötigen. Administrationsrechte sollten nur auf wenige Personen verteilt werden.

Bevor Zugänge geteilt oder weitergegeben werden, sollte im Content-Management-System ein weiterer Account mit entsprechend begrenzten Rechten angelegt werden.

Tipp 6: Obacht bei Formularen!

Formulare jeglicher Art sind ein beliebtes Angriffsziel:

  • SQL-Injections: In unsicherer Software lassen sich über Formulareingaben Datenbankabfragen in der Structured Query Language (SQL) einbinden. Damit lässt sich die Datenbank — einschließlich aller Inhalte samt Zugänge — manipulieren. Formulareingaben sollten deshalb immer serverseitig validiert werden.

  • XSS-Attacken: Ziel der XSS-Attacken sind meist Formularfelder, über die sich schädlicher JavaScript-Code eingeben lässt, der anschließend durch eigene Website verbreitet wird (Cross-Site-Scripting). Dieses Risiko kann durch eine Validierung der Eingaben ebenfalls auf ein Minimum reduziert werden. Ein Securityheader kann ebenfalls bei der Abwehr helfen.

  • Spam: Jedes zugängliche Eingabefeld ist Ziel von Spambots. Sie versuchen, ungewollte Werbung vor allem über Kontaktformulare und Kommentarbereiche zu verbreiten. Captchas helfen, Bots von echten Besucher:innen zu unterscheiden.

Tipp 7: DNSSEC

Alle Anwender:innen und Websites haben eine IP-Adresse, über die sie im Internet erreichbar sind. Damit sich niemand lange Zahlenkombinationen merken muss, um eine Website aufzurufen, gibt es Domains wie google.com oder pepper.guide. Das Domain-Name-System (DNS) wandelt diese merkbaren Adressen für den Datenverkehr in IP-Adressen um. Problematisch ist, dass Anwender:innen bis dahin keine Möglichkeit haben, zu prüfen, ob die erhaltene Antwort tatsächlich vom befragten Server stammt oder das Domain-Name-System auf dem Weg zwischen Client und Server manipuliert wurde. DNSSEC verschafft Abhilfe und sichert die Authentizität und Integrität der Daten. Der Domainregistrar muss DNSSEC unterstützen und generierte Schlüssel für die Domain auf den Root-Nameservern hinterlegen.

Tipp 8: Security-Header

Neben Daten, die für das Arrangement der Website im Browser erforderlich sind, werden bei allen Anfragen über das HTTP-Protokoll auch Header mitgeschickt. Die haben nichts mit dem Kopfbereich der Website zu tun, sondern befinden sich im Head des HTTP-Response. Sie sind kein Allheilmittel, weil diese Header nur funktionieren, wenn sie von dem Browser unterstützt werden. Bei verschiedenen Angriffsszenarien können sie aber selbst im Falle eines Hacks die Schäden mildern — solange die Header selbst nicht in krimineller Absicht dabei gelöscht werden.

  • »X-Frame-Options«: Dieser Header kann verhindern, dass die Seite als Frame in womöglich schädlichen Websites eingebunden wird. Mit der Einstellung »SAMEORIGIN« erlaubt man die Einbettung der Website in sich selbst.

  • »X-XSS-Protection«: Dieser Header kann dem Browser erlauben, XSS-Angriffe zu erkennen und zu blocken.

  • »Referrer-Policy«: Die Einstellung »strict-origin-when-cross-origin« kann verhindern, dass bei ausgehenden Links sensible Bestandteile der URL weitergegeben werden.

  • »Strict-Transport-Security«: Dieser Header signalisiert dem Browser, dass die Seite über einen bestimmten Zeitraum (mindestens sechs Monate) ausschließlich über HTTPS statt HTTP zu erreichen ist. Unter anderen wird damit einer Man-in-the-Middle-Attacke weitestgehend vorgebeugt.

  • »X-Content-Type-Options«: Dieser Header hindert den Browser unter anderem daran, JavaScript-Code aus Dateien auszuführen, die keinen entsprechenden Mimetype besitzen.

  • »Permissions-Policy«: Dieser Header kann verhindern, dass die Website sensible Berechtigungen auf den Endgeräten der Besucher:innen erlangen kann. Es lässt sich gezielt unterbinden, dass die Website einen Zugriff auf das Mikrofon, die Webcam oder Payment-Schnittstellen einfordern kann. Vor allem im Falle einer bereits geschehenen Übernahme werden die Anwender:innen damit geschützt. Über diesen Header ist auch ein Opt-Out aus der Cookie-Alternative FLoC im Google Chrome-Browser möglich.

  • »Content-Security-Policy«: Dieser Header hat von allen genannten sicher die größte Tragweite, ist aber auch am kompliziertesten. Er kann kontrollieren, welche Datentypen auf der Website erlaubt sind und wenn ja, aus welcher Quelle diese stammen müssen.

Tipp 9: Meiden Sie unsichere FTP-Verbindungen

Leider bieten immer noch viele Webhoster zum Datenupload das unsichere FTP-Protokoll an. Der Datentransfer via FTP ist jedoch gänzlich ungeschützt im Klartext und kann somit relativ abgegriffen und manipuliert werden. Eine Website sollte über SFTP oder FTPS verschlüsselt hochgeladen werden.

Tipp 10: Sichern Sie Ihren eigenen PC!

Nicht zwangsläufig öffnen sich Einfallstore für Kriminelle erst über den Webserver. Wenn ein legitimer Zugang für das Content-Management-System in falsche Hände gelangt, steht es genauso schlecht um die Website. Deshalb sollten Anwender:innen auch Ihren lokalen PC absichern. Wichtig sind regelmäßige Aktualisierungen des Browsers und des Betriebssystems sowie gegebenenfalls ein Virenschutz. Auch außerhalb des Computers sollte man mit den Zugangsdaten sorgsam umgehen und sie nicht an den Monitor heften oder gar an weitere Personen weitergeben.

Fazit

Es gibt viele Möglichkeiten, die Website vor Angriffen zu schützen. Man kann nur versuchen, die Risiken so weit wie möglich zu reduzieren — wer für sich und sein Unternehmen einen Hack ausschließt, wiegt sich in der Regel in falscher Sicherheit. Deshalb sollten Backups regelmäßig angelegt werden, damit sich die Website bei Problemen schnell wiederherstellen ist.

Die Agentur pepper gestaltet Ihre Website passend zu Ihren Unternehmenszielen und setzt diese sicher und datenschutzfreundlich um. Nach einer Kontaktaufnahme per E-Mail an info@pepper.green oder per Anruf an +4915253000270 erstellen wir Ihnen ein Angebot für eine Website, die zu Ihnen passt.

Ähnliche Beiträge

+49 152 53000270

Kontakt per Telefon (Mo. — Fr., 9 — 18 Uhr)

Konzeption, Design und Umsetzung von Websites mit pepper

Mein Angebot umfasst Webdesign, Responsive Design, Barrierefreies Webdesign, Websites mit WordPress oder anderen Content-Management-Systemen, Suchmaschinen­optimierung, Social Media und vieles mehr: Leistungen.

Gerne erstelle ich Ihnen ein Ange­bot. In diesen Zeiten stehe ich Ihnen per E-Mail, Telefon und Video-Chat zu Verfü­gung. Durch meinen Sitz in Falken­see bin ich ansons­ten auch in Berlin und Bran­den­burg (Potsdam, Nauen, Dallgow, Rathenow, …) mobil.