Unter Beschuss

Wenn Sie eine Webseite anbieten oder betreuen, werden Sie täglich angegriffen. Nicht ein-, nicht zweimal sondern mindestens 20-mal .
Spammer, Bots und Personen scannen Ihre Webseite mehrmals am Tag auf bekannte und bislang unbekannte Sicherheitslücken, versuchen sich mit erratenen Passwortkombinationen einzuloggen und Ihre Webseite zu infiltrieren.

Dasselbe gilt für Webservices (z.B. E-Mail, Cloudapps) und diverse Hardware (z.B. VPN, IP-Kamera,Server…), die direkt im am Internet hängen.

Das ist keine paranoide Zukunftsvision, sondern ungeschminkte Realität.

Konkret?

Um das Ganze zu verdeutlichen, haben wir anbei reale Daten von Angriffs- / Zugriffsversuchen auf diese Webseite vom 27. April 2015 zusammengestellt. Diese sind auf einer herkömmlichen Besucherauswertung meistens nicht sichtbar.

Wohlgemerkt – es handelt sich um fehlgeschlagene Versuche im Zeitrahmen von nur einem Tag (!)

Verdächtige Zugriffe auf diese Webseite am 27. April 2015

112 Loginversuche

Personen, die versucht haben sich als “admin” anzumelden.

124 Pluginzugriffe

Versuche, Schwachstellen in Erweiterungen zu finden.

Unauthorisierte Anmeldeversuche
Versuche, sich als "admin" einzuloggen

RevSlider Schwachstelle
Suche nach veraltetem RevSlider Plugin

Schwachstelle Moadmin
Loginversuch per Mooadmin

Schwachstelle Fckeditor
Sicherheitslücke in Plugin FCKEditor

Hat man bei normalen Computern und IT-Systemen meisten noch eine “Gnadenfrist” vom Bekanntwerden der Sicherheitslücke bis zum korrigierenden Update, ist diese im Web durch die hohe Frequenz und starke Automatisation stark verkürzt.

Wer seine Webseite nicht regelmässig oder automatisch “up to date” hält erhöht das Risiko einer infizierten Webseite drastisch!

Konsequenzen

Eine “gehackte” oder infiltrierte Webseite kann mehr Konsequenzen nach sich ziehen, als einem auf den ersten Blick bewusst ist. Eine kurze Auflistung möglicher Folgen.

Imageschaden

Vertrauen ist im Web unschätzbar wertvoll, nicht nur aus Sicht der Besucher und Kunden sondern auch aus Sicht der Suchmaschinen.

Dieses Vertrauen ist nur geliehen und lässt sich sehr schnell verlieren, wenn Ihre Webseite etwa beginnt Schadcode zu verbreiten oder Inhalte verbreitet, die gefährlich oder verboten sind.

Spätestens wenn eine Webseite wie in untenstehendem Bild in den Suchergebnissen erscheint, wird es unangenehm.

Ist die Seite erst einmal negativ aufgefallen, wird es schwierig diesen “Ruf” wieder los zu werden und das Vertrauen zurück zu gewinnen.

Blacklist

Nicht jede Webseite die gehackt wurde, funktioniert nicht mehr. Oftmals wird nur ein kleines Codeschnipsel eingefügt, dass dann beim Aufrufen einer Seite mitgeladen wird und unerwünschte Inhalte auf den Computer des Besuchers herunterlädt.

Auch wenn so auf den ersten Blick keine Gefahr ersichtlich ist, landet man damit ungewollt auf einer sogenannten Blacklist.

Ab diesem Punkt geht es dann recht schnell:

Mails kommen nicht mehr an, da sie im SPAM-Filter hängen bleiben
die Webseite wird in modernen Browsern nicht mehr geöffnet (=Sicherheitsrisiko)
Stilllegung der Webseite durch den Hoster der Ihre Webseite vorsorglich vom Netz nimmt

Das Ganze rückgängig zu machen ist keine leichte Sache und kann nicht in 5 – Minuten erledigt werden.

Schaden und Umtriebe

Eine infizierte Webseite wieder zu säubern ist immer mit Aufwand, Zeit und damit auch Kosten verbunden. Wenn etwa auch noch Kundendaten betroffen sind (z.B. aus einem Webshop, Newsletter) kann es schnell richtig mühsam werden.

Auch wenn anschliessend wieder alles funktioniert, bleibt ein ungutes Gefühl – es könnte ja wieder passieren…

Typische Fehler und Schutz

Man kann sich eine typische Webseite als kleines Einfamilienhäuschen vorstellen; Wenn jemand einbrechen möchte, gibt es viele Möglichkeiten:

Schlüssel stehlen (=Passwort)
Schloss knacken (=Standardpasswörter versuchen)
Als Servicefachmann ausgeben (=Social-Engineering)
Fenster einschlagen (=Brute-Force)

Wenn jemand einbrechen möchte, findet er immer einen Weg. Aber hindert Sie das daran Ihre Haustüre abzuschliessen? In den Ferien die Fenster zu verriegeln? Oder vielleicht sogar eine Alarmanlage einzubauen? Wohl eher nicht.

Es gilt dasselbe wie bereits in einem vorgängigen Beitrag (Erhöhen Sie Ihre IT-Sicherheit) erläutert wurde. Der effektivste Weg das Risiko langfristig zu vermindern ist das Sicherheitsniveau der Webseite gesamthaft zu erhöhen.

Wenn Sie ein Open Source CMS (z.B. WordPress, Joomla, Contao, SimpleCMS, etc…) verwenden, aktualisieren Sie es regelmässig oder automatisch.

Risiken minimieren

Um die Risiken zu minimieren finden Sie in unserem Wiki eine detaillierte Checkliste für Ihre Webseite oder Domain.

Um “auf die Schnelle” zu überprüfen, ob Ihre Webseite aktuell und auf keiner Blacklist steht kann aber beispielsweise auch der Sucuri SiteCheck genutzt werden..

Zur detaillierten Checkliste

Wir haben für Sie eine detaillierte Checkliste zur Überprüfung Ihrer Webseite / Domain erstellt.

Nachtrag

Kurz nach Fertigstellung dieses Artikels erreichte uns die Nachricht, dass mehrere stark verbreitete Erweiterungen des CMS WordPress schwere Sicherheitslücken aufweisen (Details hier). Sofern die entsprechenden Plugins automatisch aktualisiert werden, ist diese Lücke wahrscheinlich schon durch ein Update behoben worden. Andernfalls wäre spätestens jetzt der Zeitpunkt, einen Blick auf Punkt 4 der Checkliste zu werfen…