Website Security

Vorbeugen statt reparieren: Sicherheitsmassnahmen kosten weniger als die Folgen eines Hackerangriffs.

1. Warum Website Security immer wichtiger wird

Die Gefahren durch unsichere Websites sind längst nicht mehr nur ein Problem grosser Unternehmen. Auch kleine oder private Betreiber werden zunehmend das Ziel von Angriffen. Wer seine Website nicht schützt, riskiert unter anderem:

• Kompletter Website-Ausfall: Angreifer können die Seite lahmlegen oder irreparabel schädigen.
• Erpressung: Angreifer können die Website erst nach einer Überweisung wieder zugänglich machen.
• Reputationsverlust: Ein Sicherheitsvorfall untergräbt das Vertrauen von Besuchern und Kunden und kann sich viral verbreiten.
• Schlechtere Platzierung auf Google: Google prüft alle Seiten auf mögliche Sicherheitsrisiken und entfernt Websites mit Gefahrenpotential.
• Datenverlust oder -diebstahl: Kundendaten, Passwörter oder Geschäftsinformationen können in falsche Hände geraten.
• Rechtliche Konsequenzen: Datenschutzverletzungen können Abmahnungen oder Bussgelder nach sich ziehen.

Das Optimieren von Security Headers gehört zu den effektivsten Massnahmen, um die Sicherheit Ihrer Webseite erheblich zu verbessern. Diese HTTP-Header fungieren als erste Verteidigungslinie gegen gängige Angriffe wie Cross-Site-Scripting (XSS), Clickjacking und Man-in-the-Middle-Attacken. Durch die korrekte Implementierung von Headers wie Content-Security-Policy (CSP), Strict-Transport-Security (HSTS) und X-Frame-Options geben Sie dem Browser klare Anweisungen, wie er mit potenziell gefährlichen Inhalten umgehen soll, und schränken dadurch die Angriffsfläche deutlich ein.

Der Aufwand für die Einrichtung optimierter Security Headers steht in einem ausgezeichneten Verhältnis zum Sicherheitsgewinn. Mit relativ geringem Implementierungsaufwand erzielen Sie eine signifikante Erhöhung des Schutzniveaus Ihrer Webseite. Besonders hervorzuheben ist, dass diese Massnahmen nicht nur die Sicherheit erhöhen, sondern auch das Vertrauen Ihrer Nutzer stärken und bei einigen Headers sogar die Performance verbessern können.

Wie steht es um Ihre Website? Testen Sie jetzt die Security Headers mit folgendem Tool:

3.2. Umgang mit Website und Server Zugangsdaten

• Verschlüsselte Kommunikation: Versenden Sie Zugangsdaten ausschliesslich über verschlüsselte Kanäle wie HTTPS, SFTP oder SSH. Vermeiden Sie unbedingt das Versenden von Passwörtern per unverschlüsselter E-Mail.
• Passwort-Manager nutzen: Verwenden Sie eigenständige Passwort-Manager wie Bitwarden, 1Password oder KeePass, anstatt Zugangsdaten in Textdateien oder Browsern zu speichern. Diese Tools generieren auch starke, einzigartige Passwörter.
• Regelmässiger Passwortwechsel: Ändern Sie Ihre Zugangsdaten in regelmässigen Abständen, besonders bei kritischen Systemen wie Datenbanken und Server-Zugängen.
• Sichere Speicherung: Speichern Sie Zugangsdaten nur verschlüsselt. Auch hierzu eignen sich die bereits erwähnten Passwort-Manager.

3.3. Ausloggen aus CMS

Das konsequente Ausloggen aus Content-Management-Systemen (betrifft auch andere Systeme) ist ein oft unterschätzter, aber entscheidender Aspekt der Website-Sicherheit. Wenn Sie eingeloggt bleiben, hinterlassen Sie eine offene Tür für unbefugten Zugriff auf Ihre Administrationsrechte. Aktive Sessions können durch Session-Hijacking abgefangen werden, wobei Angreifer Ihre Berechtigungen übernehmen, ohne Ihre Zugangsdaten zu kennen. Moderne CMS wie WordPress speichern zwar Sessions in verschlüsselten Cookies, doch selbst diese können kompromittiert werden.

Durch das aktive Ausloggen nach jeder Arbeitssitzung reduzieren Sie das Zeitfenster für potenzielle Angriffe erheblich und verhindern, dass Unbefugte Inhalte manipulieren, Schadsoftware einschleusen oder sensible Nutzerdaten abgreifen können.

3.4. Auto-Update Strategie

Wir empfehlen wenn möglich die Auto-Update-Funktionen zu aktivieren. Nur so werden dringliche Sicherheitsupdates sofort installiert und Sie sind immer auf dem neuesten Stand.

Folgende Auto-Update-Funktionen gibt es:

• Updates für das CMS
• Updates für Plugins oder Erweiterungen
• Server-Software über den Hoster (z. B. PHP, MySQL, Node.js)

3.5. Doppelte Backup Strategie

Bei den Backups hingegen reicht eine alleinige Auto-Backup Strategie nicht aus. Folgende Probleme können auftreten:

• Korrupte Backup Files welche nicht wiederhergestellt werden können
• Software für die Wiederherstellung ist nicht mehr mit den Backups kompatibel
• Backups werden nicht lange genug aufbewahrt (Trojaner)
• Lagerung an nur einem Ort

Aus diesem Grund empfehlen wir zusätzlich das Erstellen regelmässiger manuellen Backups aller Files und der Datenbank. Dieses soll auch über lange Zeit und an einem anderen Ort gespeichert bleiben. Denn Schadsoftware wie Trojaner bleiben oft eine lange Zeit auf dem System inaktive unerkannt. Dadurch werden sie beim zurückspielen jüngerer Backups immer wieder mit installiert.

3.6. Schulung und Kommunikation der Massnahmen

Beschlossene Massnahmen nützen wenig, wenn sie nicht bekannt und von allen Beteiligten umgesetzt werden. Website-Security-Massnahmen funktionieren nur, wenn sich alle Beteiligten daran halten. Es ist daher wichtig, dass Mitarbeiter auf das Thema sensibilisiert und informiert werden.

Dazu gehört auch die regelmässige Überprüfung der Sicherheitsmassnahmen und der Training der Mitarbeiter.

4. Schutz vor gezielten Angriffen

Bei besonders gefährdeten Websites empfehlen wir zusätzlich die Verwendung von Cloudflare. Dabei handelt es sich um ein Content Delivery Network (CDN), welches zusätzliche Sicherheitsschichten bietet:

1. DDoS-Schutz: Schützt Websites vor verteilten Denial-of-Service-Angriffen, indem bösartiger Traffic erkannt und geblockt wird, bevor er Ihre Server erreicht
2. Web Application Firewall (WAF): Filtert und blockiert schädlichen Datenverkehr, bevor er Ihre Website erreicht und schützt vor SQL-Injections, Cross-Site Scripting (XSS) und anderen gängigen Angriffsmustern
3. Zero-Trust-Sicherheitslösungen: Verifiziert jeden Zugriffsversuch auf Ihre Webressourcen nach dem Prinzip "Vertraue niemandem" und fordert kontinuierliche Authentifizierung
4. Bot-Management: Identifiziert und blockiert schädliche automatisierte Bots, während legitime Bots zugelassen werden
5. DNS-Schutz: Schützt vor DNS-Hijacking und anderen DNS-basierten Angriffen
6. Rate Limiting: Begrenzt die Anzahl der Anfragen pro Zeiteinheit, um Brute-Force-Angriffe zu verhindern
7. IP-Reputation-Filterung: Blockiert Traffic von bekannten schädlichen IP-Adressen basierend auf globalen Bedrohungsdaten
8. Erweiterte Protokollierung und Analyse: Ermöglicht die Erkennung von Angriffsmustern und bietet detaillierte Einblicke in Sicherheitsvorfälle

5. WordPress & Website Security

WordPress hat bezüglich Security zu Unrecht einen schlechten Ruf. Sicherheitslücken gibt es fast ausschliesslich bei schlechten Plugins. Durch die hohe Verbreitung im unprofessionellen Bereich werden zudem die elementarsten Sicherheitsmassnahmen nicht eingehalten.

Mit den oben erwähnten Sicherheitsmassnahmen können Sie WordPress Websites sehr sicher betrieben werden. Bei neuen Seiten mit Block-Themes und hochwertigen Plugins kann auch die Auto-Update-Funktion zuverlässig eingesetzt werden.

Ein weiterer Beweis, dass professionell betriebene WordPress Websites sicher sind: Die Website der NASA und The White House sind ebenfalls mit WordPress betrieben.

6. Google prüft ihre Website auf Security

Nicht zu unterschätzen ist die Tatsache, dass Google ihre Websites ständig auf Security prüft und über dessen Zustand immer genau informiert ist. Google rankt keine Websites, wenn Sicherheitsrisiken festgestellt werden. Man kann auch davon ausgehen, dass gut umgesetzte Sicherheitsmassnahmen auch eine gute Platzierung auf Google fördern.

In der Google Search Console gibt es dazu einen eigenen Bereich "Sicherheit & manuelle Massnahmen". Spätestens wenn hier ein Problem festgestellt wird sollte dringend gehandelt werden.

7. Ausblick: KI gestützte Angriffe auf Websites

Die rasante Entwicklung künstlicher Intelligenz eröffnet neue Bedrohungsszenarien für Website-Sicherheit. Moderne KI-Systeme können Sicherheitsmassnahmen analysieren und lernen, typische Abwehrmechanismen zu identifizieren. Diese intelligenten Angriffssysteme passen ihre Methoden kontinuierlich an, um Firewalls, Intrusion-Detection-Systeme und andere Schutzmassnahmen zu umgehen, bis sie verwundbare Einstiegspunkte entdecken.

Besonders beunruhigend ist die Fähigkeit von KI, komplexe Muster in Webanwendungen zu erkennen und gezielt Schwachstellen zu finden. Diese Systeme können tausende verschiedene Angriffsvektoren gleichzeitig testen – von SQL-Injection über Cross-Site-Scripting bis hin zu API-Schwachstellen – und dabei ihre Strategien basierend auf den Reaktionen der Website dynamisch anpassen. Was früher Wochen manueller Arbeit erforderte, kann eine KI in Minuten durchführen.

Zur Abwehr dieser neuen Bedrohungen zeichnet sich eine klare Entwicklung ab: Künstliche Intelligenz ist nicht nur Teil des Problems, sondern auch Teil der Lösung. In diesem technologischen Wettrüsten wird wohl letztendlich nur KI in der Lage sein, KI-gestützte Angriffe effektiv zu erkennen und abzuwehren. Sichere Websites der Zukunft werden daher auf intelligente Verteidigungssysteme angewiesen sein, die ebenso schnell lernen und sich anpassen können wie ihre Gegenspieler.