So sichert man eigene Websites
Ein eigener Webauftritt bringt Verantwortung mit sich. Als Inhabende sollten Sie deshalb die Risiken kennen. Erfahren Sie, welche Massnahmen die Sicherheit Ihrer Website und Ihrer Besuchenden gewährleisten und wie Sie im Schadensfall am besten vorgehen.
Eine eigene Website - ein Muss
Ob Sportclub, eigenes Unternehmen oder der Reiseblog - ein Webauftritt ist heutzutage ein Muss. Domain und Hosting sind rasch gekauft oder gemietet und mit ein paar Klicks erhält man einen Webauftritt, der sich sehen lassen kann. Immer häufiger nutzen Kriminelle ungenügend gesicherte Websites, um Malware zu verbreiten oder sie für Phishing zu missbrauchen.
Wenn sich Besucherinnen und Besucher Ihrer Website mit Malware infizieren, sind verärgerte Reaktionen vorprogrammiert. Dasselbe gilt, wenn Kriminelle Ihre E-Mail für den Versand von Spam-E-Mails missbrauchen. Auf wenig Verständnis stossen auch unerreichbare Websites, etwa bei einem DDoS- oder nach einem Ransomware-Angriff. Der Ärger äussert sich meist in Reputationsschäden, einhergehend mit Auftragsausfällen und finanziellen Einbussen. Möglich sind aber auch Strafanzeigen oder die Deaktivierung Ihres Webauftritts auf behördliche Anordnung.
Domain
Die Domain ist der Name einer IP-Adresse. Domains wurden geschaffen, weil wir uns Namen besser merken können als Zahlen.
Jede Domain verweist auf eine IP-Adresse. Eine IP-Adresse ist eine Adresse aus Zahlen und Punkten. Solche Kombinationen können wir uns viel schlechter merken. Auf dem World Wide Web sind die Domains sichtbar. Jede Domain ist ein Bestandteil der URL. Eine URL ist eine genaue Adresse im Internet. iBarry.ch ist zum Beispiel eine Domain.
Hosting
Ein Anbieter, der Server mit unterschiedlichen Dienstleistungen anbietet, z.B. das Verarbeiten der nötigen Daten für den Betrieb einer Website.
CMS
Ein Content Management System (CMS) ist eine Software zum Bereitstellen von Websiteinhalten. Mit einem CMS können nicht nur Programmiererinnen und Programmierer, sondern auch normale Computeranwender und -anwenderinnen Webinhalte erstellen und veröffentlichen.
DDoS-Attacke
Unter DDoS (Distributed Denial of Service = Verweigerung des Dienstes) versteht man einen Angriff auf Computer-Systeme mit dem erklärten Ziel, deren Verfügbarkeit zu stören. Im Gegensatz zur einfachen DoS-Attacke erfolgt der Angriff bei DDoS von vielen verteilten Rechnern aus.
In der Regel werden für solche Attacken sogenannte Bot-Netze (eine riesige Anzahl «gekaperter» Systeme, die vom Angreifer ferngesteuert werden können) verwendet. Die häufigsten DoS-Attacken sind:
- E-Mail-Bombing; Versenden einer grossen Anzahl von E-Mails an einen Empfänger. Ziele der Attacke ist den Empfänger zum Erliegen zu bringen durch sehr lange Wartezeiten, was zum Absturz seines Systems und der E-Mail-Server führt oder durch erhöhte Last, was zum Absturz des E-Mail-Systems führt.
- E-Mail-List Bombing; das Abonnieren zahlreicher Mailinglisten auf eine fremde E-Mail-Adresse.
- Distributed DoS (DDoS); DoS-Attacke, die von vielen Systemen synchronisiert durchgeführt wird. In der Regel werden schlecht geschützte Systeme mit direkter Internet-Verbindung und grosser Bandbreite für solche Attacken genutzt. Kleine Programme, so genannte Agents, werden auf diesen Systemen implementiert und von zentraler Stelle über so genannte Handler koordiniert.
Eine eigene Website bedeutet Verantwortung
Wie sichern Sie Ihren Webauftritt?
Vor den Risiken eines Cyberangriffs und seinen möglichen Folgen können Sie sich und die Besuchenden Ihrer Website bereits mit relativ einfachen Massnahmen schützen. Hostingbetriebe stellen zudem technische Schutzvorkehrungen bereit.
Vertrauenswürdige Anbieter
Bevor Sie sich für einen Anbieter entscheiden, stellen Sie sicher, dass Sie eine seriöse Wahl treffen. Wird Ihnen Unterstützung angeboten? Wirkt der Webauftritt professionell? Überlegen Sie sich zudem, was für Sie selbst wichtig ist, und vergleichen Sie anschliessend verschiedene Anbieter. Als Websitebetreibende können Sie auch mit mehreren Dienstleistern zusammenarbeiten. Ein Angebot aus einer Hand ist allerdings in der Regel effizienter – auch in Bezug auf die Sicherheit. Falls Sie für die Gestaltung Ihres Webauftritts eine Webagentur beauftragen, lohnt es sich, nachzufragen, mit welchen technischen Massnahmen die Sicherheit Ihres Webauftritts unterstützt wird.
Passwörter
Starke Passwörter und 2-Faktor-Authentifizierung schützen vor Zugriff durch Cyberkriminelle. Schützen Sie so insbesondere Ihren Admin-Zugang zu Ihrem CMS und anderen Accounts.
Updates
Zeitnah und regelmässig eingespielte Updates sowohl Ihres Computers als auch des gewählten CMSs helfen dabei, Ihre Website sicher zu halten. Vergessen Sie auch die allenfalls zusätzlich in Ihrem CMS installierten Erweiterungen und Plug-ins nicht – auch diese müssen unbedingt auf aktuellem Stand gehalten werden.
HTTPS - sichere Verbindung
Als Internetnutzer bzw. Nutzerin ist Ihnen das kleine Vorhängeschloss in der Adressleiste des Browsers wahrscheinlich ein Begriff. Dieses Symbol wird Ihnen immer dann angezeigt, wenn die Datenübertragung mit der aufgerufenen Website über eine verschlüsselte HTTPS-Verbindung (Hypertext Transfer Protocol Secure) erfolgt. Aktivieren Sie immer HTTPS auf Ihrer Website, damit sie abhörsicher ist.
Back-up - die Sicherheitskopie
Um verlorene oder beschädigte Daten im Schadensfall wiederherzustellen, benötigen Sie ein möglichst aktuelles Back-up. Sichern Sie deshalb Ihre Website und die allenfalls angehängte Datenbank regelmässig.
Ihre Webseite ist infiziert? Keine Sorge.
Schadensfall - Was tun?
Schadensfall bedeutet: schnell reagieren und Hilfe holen, evtl. die Website abschalten.
Mehr Informationen hier www.saferinternet.ch
Verdachtsfall - Was tun?
Bei Verdachtsfällen scannen Sie die Website und nehmen Sie die Warnungen ernst.
Mehr Informationen hier www.saferinternet.ch
Weitere Informationen
-
Safer Internet: Safer Internet ist die Informationsplattform für Prävention von Domainnamen-Missbrauch
Dieser Beitrag erschien zuerst bei iBarry - die Plattform für Internetsicherheit der Swiss Internet Security Alliance.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.