Im Interview – Thomas Heinrichsdobler Wie sicher ist ihre Website?
Veröffentlicht im Magazin INNSIDE - Ausgabe 2019
Thomas Heinrichsdobler beschäftigt sich seit zwei Jahrzehnten professionell mit IT-Sicherheit und ist als Mitgesellschafter der Agentur Atelier & Friends unter anderem als Berater für WordPress und Web-Security tätig. Uns hat er ein paar Tipps verraten.
Die Sicherheit im Netz ist gerade ein topaktuelles Thema. Aber wovor und warum müssen sich denn die Betreiber von Websites und besonders Unternehmen überhaupt im Internet schützen?
Personen, die sich durch das Netz bewegen, möchten keine bösen Überraschungen erleben. Es drohen Konsequenzen, die von „MEIN FACEBOOK-ACCOUNT WURDE GEHACKT“ bis zu „MEIN KONTO WURDE LEERGERÄUMT“ reichen. Als Website-Betreiber möchte man nicht, dass über die eigene Website Spam versendet oder sie für Propaganda- oder Phishing-Zwecke missbraucht wird. Für Unternehmen ist der Schutz im Internet – auch der Unternehmens-Website – ein noch viel wichtigerer Punkt. Hier hängen nicht nur individuelle Personen, sondern die ganze Firma und ihre Reputation von der Sicherheit ab. Im schlimmsten Fall wird die komplette Infrastruktur einer Firma oder Behörde von Angreifern übernommen.
Das klassische „mir wird schon nix passieren“ ist hier also fehl am Platz?
Sogar fahrlässig. Einer der wichtigsten Faktoren im Zusammenhang mit der Sicherheit ist immer der Mensch. Würde niemand auf eine Phishing-Mail reagieren, aus Bequemlichkeit ein einfaches Passwort verwenden oder verfügbare Sicherheitsupdates ignorieren, gäbe es weit weniger Zwischenfälle. Sich davor zu schützen beginnt damit, ein Bewusstsein für die Bedrohung zu entwickeln. Wir müssen uns Gedanken über unsere Software und die von den Herstellern zur Verfügung gestellten Updates machen. Wir sollten unsere Passwörter sicherer machen und regelmäßig ändern (und auf keinen Fall bei zwei Anbietern das gleiche Passwort verwenden). Außerdem sollten wir die für uns wichtigsten Daten besonders schützen: Mit einem durchdachten Backup-System.
Kann man ungefähr sagen, wie oft und zu welchen Zeiten im Durchschnitt eine Website angegriffen wird?
Ja, das kann man ziemlich genau sagen: Immer. Jede Seite wird täglich mehrfach attackiert. Die meisten Angriffe auf Websites laufen automatisiert über Bots, also Programme. Deren einziges Ziel ist es, eine Website zu finden, die nicht auf dem aktuellen Update-Stand und somit angreifbar ist. Diese Bots durchsuchen das Netz ständig nach potenziellen Zielen und melden den Hintermännern zurück, wenn sie eine angreifbare Seite gefunden haben. Danach nisten sie sich ins System ein und bereiten die Übernahme des Servers vor. Im Idealfall (für den Angreifer) ohne, dass der Betreiber der Seite etwas davon bemerkt. Die auf den von uns betreuten Seiten installierte Firewall zeichnet diese Zugriffe auf. In Spitzenzeiten hatten wir hier zwischen 50 und 100 Angriffe pro Sekunde.
Reicht dafür eine Antiviren-Software nicht aus?
Nein. Tatsächlich ist es so, dass Antiviren-Software eine Sicherheit vortäuscht, die gar nicht existiert. Im schlimmsten Fall entstehen durch Antiviren-Programme noch zusätzliche Angriffsmöglichkeiten durch Fehler in den Programmen. Nicht ohne Grund wird die Antiviren-Branche mittlerweile als „Schlangenöl-Branche“ bezeichnet.
Warum sollte ich denn Updates machen, wenn ich doch sehe, dass die Website funktioniert?
Wenn die Website mit einem CMS läuft – was in den meisten Fällen so ist –, dann wird diese mit Software betrieben, die vom Webserver ausgeführt wird. Software wird von Menschen geschrieben, was unter anderem bedeutet, dass es Software ohne Fehler nicht gibt. Durch regelmäßige Updates werden die in der Software vorhandenen Fehler nach und nach ausgebessert. Ob ein Fehler jetzt tatsächlich zu einer Sicherheitslücke führt – oder nur den Programmablauf stört – unterscheidet sich von Fall zu Fall. Generell keine Updates zu installieren, öffnet Angreifern jedoch Tür und Tor.
Nehmen wir an, es ist bereits das Schlimmste eingetreten und die Seite wurde gehackt. Wie soll man nun am besten vorgehen?
Zunächst müsste man mitbekommen, dass die Seite übernommen wurde. Stellt sich der Angreifer geschickt an, liefert die Website, ohne dass der Betreiber etwas davon merkt, Spam-Mails und Phishing-Seiten aus, die sich irgendwo im Seitenbaum verstecken. Aber nehmen wir an, es ist aufgefallen, dass die Seite übernommen wurde. Zuallererst sollte die Seite vom Netz genommen werden, um den angerichteten Schaden zu begrenzen. Im nächsten Schritt würde ich empfehlen, ein Backup der Seite im aktuellen Zustand zu machen, um sie später forensisch untersuchen zu können. Dies kann auch für die Ermittlungsbehörden hilfreich sein. Unmittelbar danach sollten sämtliche Passwörter, die mit der Website zu tun haben (also SFTP, Datenbank etc.), geändert werden. Dann kann man sich damit befassen, wie die Angreifer die Seite übernehmen konnten – sprich, in welchem Teil der Website die ausgenutzte Sicherheitslücke vorhanden ist. Die betroffene Komponente sollte aktualisiert werden, um ein erneutes Ausnutzen der Lücke zu verhindern. Zu guter Letzt ist es sinnvoll, den Rest der Seite auf weiteren Schadcode zu überprüfen, um sicherzustellen, dass sich die Angreifer nicht eine Hintertür eingebaut haben, um jederzeit auch auf die mittlerweile aktualisierte Seite zugreifen zu können. Wenn das alles erledigt ist, kann die Seite wieder online gehen. Nur sollte diesmal etwas mehr Zeit für Updates eingeplant werden.
Gibt es aus deiner Sicht ein Fazit oder eine besondere Empfehlung für den Schutz im Internet?
Was die Sicherheit im Internet generell betrifft, ist es empfehlenswert, sich ab und zu Gedanken über den eigenen Umgang mit dem Medium „Internet“ zu machen. Welche Daten gebe ich von mir preis? Welchen Websites und Kommunikationskanälen vertraue ich? Wer profitiert davon, meine Daten zu erhalten? Wie sicher sind meine Passwörter? Mit diesen Fragen im Hinterkopf surft es sich zwar nicht mehr ganz so unbeschwert, aber deutlich souveräner durch das Netz. Für Website-Betreiber ist die regelmäßige Wartung der Website auf jeden Fall etwas, das ich klar empfehle. Nur durch laufende Updates kann ein angemessenes Sicherheitsniveau erreicht werden. Sollten die Kapazitäten dafür im eigenen Unternehmen nicht vorhanden sein, muss man sich professionelle Unterstützung holen.
Am Ende jedes Innterviews steht ja fast schon als Pflicht unsere Flussfrage: Mit welchem Fluss kannst du dich am besten identifizieren und warum?
Ich bin im Rottal aufgewachsen, meine Wahl kann also nur auf die Rott fallen. Mit ihr verbinde ich Heimat und Ruhe – zwei Dinge, die in der heutigen Zeit immer kostbarer werden.