Eine Webseite vor Angriffen zu schützen ist komplizierter, als zum Beispiel einen Arbeitsplatz zu sichern. Schwachstellen zu ermitteln und die nötigen Schutzvorkehrungen umzusetzen, erfordert umfangreiche technische Kenntnisse. Doch die Sicherheit einer Webseite ist ein sehr wichtiges Thema, denn es betrifft nicht nur die Person oder Organisation, die die Seite verwaltet, sondern potenziell alle Benutzer.
Ab dem Zeitpunkt, da eine Webseite personenbezogene Daten sammelt, ist ihr Eigentümer verantwortlich, falls diese Daten kompromittiert werden. Doch was sind die Risiken?
Es handelt sich hauptsächlich um:
All diese Risiken rühren von Bedrohungen her, die seit langem bekannt sind und jährlich im Bericht des OWASP (Open Web Application Security Project) aufgeführt werden. Die luxemburgische OWASP-Niederlassung stellt mehr oder weniger die gleichen lokalen Tendenzen in Bezug auf Bedrohungen fest. Die luxemburgischen Top 3 sind:
Die meisten dieser Bedrohungen können leicht durch das Befolgen einiger Regeln gemildert werden.
Schließlich muss der Zugriff auf den Web-Server geschützt werden, um Angriffsversuche auf die Seite zu verhindern.
Die http-Authentifizierung ist zum Beispiel eine mögliche Schutzmaßnahme für Ihren Web-Server.
Je nachdem, zu welchen Ergebnissen die Risikoanalyse der gespeicherten Daten führt, kann es notwendig sein, diese zukünftig auf Ihren Servern zu verschlüsseln.
Auch die Verbindung muss verschlüsselt sein (SSL), um zu verhindern, dass Daten während der Kommunikation zwischen dem Benutzer und Ihrer Webseite abgefangen werden.
Mit Passwörtern muss besonders sorgfältig umgegangen werden, um sicherzustellen, dass sie nicht geknackt werden.
Ab dem Zeitpunkt, da eine Webseite personenbezogene Daten sammelt, ist ihr Eigentümer verantwortlich, falls diese Daten kompromittiert werden. Doch was sind die Risiken?
Es handelt sich hauptsächlich um:
- Phishing-Angriffe, die Authentifizierungs- und Autorisierungskontrollen abschwächen oder komplett ausschalten können
- Verletzung der Privatsphäre und Identitätsdiebstahl aufgrund von Schwächen im Bereich der Benutzer-Authentifizierung
- System-Kompromittierung, Änderung von Daten oder Datenvernichtung durch Injektion und „Remote File Inclusion“
- Finanziellen Verlust durch nicht autorisierte Transaktionen
- Imageverlust
All diese Risiken rühren von Bedrohungen her, die seit langem bekannt sind und jährlich im Bericht des OWASP (Open Web Application Security Project) aufgeführt werden. Die luxemburgische OWASP-Niederlassung stellt mehr oder weniger die gleichen lokalen Tendenzen in Bezug auf Bedrohungen fest. Die luxemburgischen Top 3 sind:
- Code-Injektion
- Schlechte Sicherheits-Einstellungen
- Veröffentlichung vertraulicher Daten
Die meisten dieser Bedrohungen können leicht durch das Befolgen einiger Regeln gemildert werden.
Updates: Selbstverständlich, und doch...
Als erstes muss man sicherstellen, dass der Webserver, der die Seite hostet, korrekt aktualisiert wird. Wenn Sie auf einen professionellen Web-Host zurückgreifen, ist das sein Job. Falls Sie Ihre Seite selbst hosten, müssen Sie sich um die notwendigen Updates kümmern. Anschließend muss auch das CMS (Content Management System) aktualisiert werden sowie alle Anwendungen, die in die Verwaltung der Webseite eingebunden sind. Einige CMS (wie z.B. Wordpress) erlauben es, Updates sehr einfach selbst durchzuführen. Sie bieten auch eine beeindruckende Menge von Plugins... von denen einige klaffende Sicherheitslücken aufweisen. Sie sollten sich deshalb gut über die Qualität eines Plugins informieren, bevor sie es installieren. Bei Wordpress muss ein kostenloses Plugin im Verzeichnis von wordpress.org aufgeführt sein, wo eine Qualitätsprüfung durchgeführt wird.Backup und Schutz
Für Ihre Webseite gilt, was für alle Ihre Informationen gilt: regelmäßige Backups sind ein Muss! Wie oft sie durchgeführt werden, hängt von der Häufigkeit der Aktualisierung der Webseite ab. Das Backup ist von unschätzbarem Wert, falls Ihre Webseite trotz aller Vorkehrungen eines Tages gehackt wird.Schließlich muss der Zugriff auf den Web-Server geschützt werden, um Angriffsversuche auf die Seite zu verhindern.
Die http-Authentifizierung ist zum Beispiel eine mögliche Schutzmaßnahme für Ihren Web-Server.
Sensible Daten
Wenn Sie sensible Daten sammeln (z.B. personenbezogene Informationen, Passwörter, finanzielle Daten,...) müssen Sie diese besser schützen, als den Rest. Dabei handelt es sich nicht bloß um eine Verpflichtung gegenüber Ihren Benutzern, sondern auch um eine rechtliche Auflage. Wenden Sie sich an die CNPD (luxemburgische Datenschutzbehörde) um Ihre genauen Verpflichtungen in dieser Hinsicht zu erfahren.Je nachdem, zu welchen Ergebnissen die Risikoanalyse der gespeicherten Daten führt, kann es notwendig sein, diese zukünftig auf Ihren Servern zu verschlüsseln.
Auch die Verbindung muss verschlüsselt sein (SSL), um zu verhindern, dass Daten während der Kommunikation zwischen dem Benutzer und Ihrer Webseite abgefangen werden.
Mit Passwörtern muss besonders sorgfältig umgegangen werden, um sicherzustellen, dass sie nicht geknackt werden.
- Sie müssen vor dem Speichern verschlüsselt werden.
- Sie sollten gehasht und gesalzen werden. Vermeiden Sie MD5 und SHA1 und verwenden Sie lieber Algorithmen wie bcrypt oder scrypt, die nur mit sehr großem Aufwand angegriffen werden können
- Die Qualität des Passworts muss an der Quelle geprüft werden (Verpflichtung des Benutzers, ein starkes Passwort auszuwählen)
- Auch die Login-Namen der Benutzer müssen geschützt werden (um zu verhindern, dass sie mit einem gestohlenen Passwort verwendet werden können)
