Es gibt so gut wie keine Unternehmen mehr, die heute im Internet nicht mit einer eigenen Website präsent sind: von der einfachen Visitenkarte mit rudimentären Informationen bis hin zur komplexen Dialogplattform ist alles vertreten. Was viele nicht wissen: Gerade Websites bieten heute Cyber-Piraten exzellente Möglichkeiten, Unternehmen zu infiltrieren. Vor allem dann, wenn diese Websites auf eigenen Servern gehostet werden und mit der Unternehmens-IT verbunden sind.
Das Bundesamt für Informationssicherheit (BSI) warnte jüngst im Handelsblatt vor deutlichen Schwächen beim Schutz von Websites. Die täglichen Vorfälle würden einen gravierenden Nachholbedarf bei oftmals grundlegenden IT-Sicherheitsmaßnahmen aufzeigen.
Mittelständler kommen nicht mehr herum, sich um die Sicherheit der eigenen Web-Präsenz Gedanken zu machen. Um mit IT-Dienstleistern und Sicherheitsexperten auf Augenhöhe argumentieren zu können, empfehle ich ihnen, vor allem auf die folgenden Punkte ein Augenmerk zu legen.
1. Webserver richtig konfigurieren
Wer Protokolle über die Nutzung seiner Websites (Fachbegriff: Logging) erstellen lässt, sollte sicherstellen, dass diese Protokolle und auf dem Server liegende Verzeichnisse nicht für Dritte einsehbar sind. Grundsätzlich sollte nur ein Minimum an Informationen des Webservers für Dritte abzufragen sein.
2. Angriff durch ungeprüfte Eingabe in Webformulare unterbinden
Bis heute prüfen viele Websites nicht den Inhalt von Eingaben in Webformulare, bevor sie die darin eingegebenen Informationen verarbeiten. Beispiel: Einfache Kontakt- oder Bestellformulare. Das kann schnell dazu führen, dass ungeschützt Daten an den Webbrowser gesendet werden, über den Dritte Zugang zu diesen Daten erlangen können (das so genannte Cross-Site-Scripting, XSS).
Ebenso ist es möglich, dass anstatt beispielsweise der Kontaktdaten des Benutzers Schadcode in Form von Programmierbefehlen (SQL) eingegeben wird, die zu einer unmittelbaren Attacke auf die Website führen.
Schutz bietet ein System, das jegliche Eingaben zunächst auf ihre Relevanz prüft und entsprechende Verschlüsselungen vorsieht.
3. Keine Komponenten einbinden, die Zugang zum Backend ermöglichen
Es gibt eine Vielzahl Webapplikationen und -komponenten, die Zugriffe auf das Backend – also die eigentlich für interne Datenverarbeitung genutzten Server – des Anbieters ermöglichen, indem sie zum Beispiel Firewalls umgehen.
Das Wissen um die Sicherheit dieser Komponenten ist häufig nur unzulänglich. Website-Betreiber sollten darum darauf achten, ausschließlich Applikationen einzubinden, deren Sicherheitsstandard sie verstehen.
4. Kommunikation mit zentraler Infrastruktur minimieren
Grundsätzlich gilt es, außen einsehbare Websites und kritische Binnenstrukturen möglichst technisch voneinander zu trennen und auch die Kommunikation zwischen diesen beiden Welten minimal zu halten. Jeder Kommunikationsknotenpunkt ist ein Einfallstor für Cyber-Piraten.
5. Eigene Web-Architektur ständig hinterfragen
Für jedes gestopfte Loch öffnet sich heute an anderer Stelle ein Neues. Auch für vermeintlich Technik-ferne Unternehmen lohnt es sich, diese Veränderungen genau zu beobachten und die eigene IT-Infrastruktur immer wieder danach auszurichten. Ob Kanzleien, Arztpraxen oder mittelständische Unternehmen: Jeder kann heute Opfer von Cyber-Attacken werden und muss für Datenverlust geradestehen. Wer zu wenig investiert, kann später dafür hart bestraft werden.
