23.04.2013

10 Tipps für einen sicheren Webauftritt

Kostenloser Webseitencheck hilft Ihnen und anderen

Schnell noch online ein Ersatzteil fürs Auto bestellen oder ein Zimmer im Hotel buchen und dann das: Die Internetseite des Vertrauens installiert heimlich einen Trojaner auf demRechner des Besuchers, der Online-Banking-Daten oder Kreditkarteninformationen ausspioniert. Solche bösartigen Webangriffe sind keine Seltenheit mehr, die Zahl stieg laut Websense 2013Threat Report im Jahresvergleich um 600 Prozent. Das neue daran: 85 Prozent gingen von seriösen Seiten aus. Der Verband der deutschen Internetwirtschaft eco gibt 10 Tipps, damitder eigene Webauftritt nicht zum Sicherheitsrisiko wird.

Erst vor wenigen Tagen warnte das Bundesamt fürSicherheit in der Informationstechnik (BSI), dass es in Deutschland einen Großangriff gab, bei dem Cyberkriminelle die Werbebanner auf viel besuchten Internetseitenmanipulierten. Dazu gehörten Online-Angebote von namhaften Nachrichten- und Lifestyle-Magazinen, Tageszeitungen und Jobbörsen. Eingeschleuster Schadcode nutzte bekannte Schwachstellen aus,um schädliche Programme auf den Rechnern der Webseitenbesucher einzunisten. Dabei mussten die Werbebanner nicht einmal angeklickt werden, um ihre gefährliche Wirkung zu entfalten. Nunkönnen mithilfe der Rechner der ahnungslosen Besucher Viren verbreitet, hunderttausende Spam-Mails versendet oder koordinierte Cyber-Angriffe durchgeführt werden.

Unternehmensseiten im Visier der Cyberkriminellen

Aber nicht nur namhafte große Webseiten sind gefährdet, sondern immer häufiger die Internetauftritte kleiner und mittelständischer Unternehmen. Dieseinvestieren oft am Anfang Zeit und Geld, bis sie eine repräsentative Webseite haben – und haken das Thema gedanklich ab. „Beim Internetauftritt verhält es sich aber wie mit einemAuto: Die einmalige Investition reicht nicht. Erst Pflege und regelmäßige Wartung sorgen dafür, dass man langfristig davon profitiert und es sicher nutzen kann“, mahnt MarkusSchaffrin, Geschäftsbereichsleiter Mitglieder Services bei eco – Verband der deutschen Internetwirtschaft e. V.

Verheerende Konsequenzen

Stattdessen werden die Webseiten durch die Vernachlässigung zur Gefahr für Betreiber, Kunden und Geschäftspartner, was nicht nur ein Sicherheitsproblem darstellt,sondern erhebliche wirtschaftliche Konsequenzen bedeuten kann: Hardwareschäden, Löschung oder Veränderung von Informationen, Preisgabe sensibler Kundendaten oderZerstörung der IT-Infrastruktur können mögliche Folgen sein. Verbreitet eine Webseite schädigende Programme, haftet der Betreiber für Fremdschäden, unddie Webseiten-Besucher können rechtliche Schritte gegen ihn einleiten: Hinzu kommen also auch noch mögliche Strafzahlungen und die eventuelle Abschaltung des Webauftritts. Schlussendlichkann das sogar die Unternehmensexistenz bedrohen.

Kostenfreie Unterstützung

Doch viele Unternehmen haben einfach keine Zeit, sich darum zu kümmern oder nicht genug Ressourcen. Deshalb bietet eco im Rahmen seiner Initiative-S einen kostenfreien Webseiten-Check, bei dem Experten die Internetseiten regelmäßig auf Schadprogramme prüfen und dabei helfen, diese zubeseitigen und nachhaltig gegen neue Angriffe zu schützen. Der Service wird vom Bundesministerium für Wirtschaft und Technologie im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“gefördert.

Besser vorsehen als nachsehen:
10 Tipps für eine sichere Webseite

Effektiver als das Entfernen der Schadprogramme ist natürlich, es gar nicht erst soweit kommen zu lassen: Um dem vorzubeugen, empfiehlt die eco Initiative-S zehn Schutzmaßnahmen:

  1. Betriebssystem und Dienste des Servers aktuell halten und regelmäßig auf Viren überprüfen
  2. Software des Internetauftritts aktuell halten und alte Software vom Server entfernen
  3. Nicht benötigte Serverdienste deaktivieren und Ports schließen
  4. Regelmäßige Backups der Software und Datenbanken durchführen
  5. Web Application Firewall vorschalten
  6. Nicht (mehr) benötigte Benutzerkonten löschen/deaktivieren
  7. Software nur aus vertrauenswürdigen Quellen beziehen
  8. Vertrauliche Daten verschlüsselt übertragen *und* diese dann auch NUR verschlüsselt in Datenbanken speichern
  9. Zugangsdaten zum Server beziehungsweise der Webseite regelmäßig ändern
  10. Webauftritt regelmäßig auf Manipulationen durch Dritte und Schadcode überprüfen