Sicherheit für Webseiten

Den richtigen Webseiten-Schutz auswählen

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

Webseitenbetreiber sind für die Sicherheit ihrer Systeme selbst verantwortlich. Gerade KMUs können diese komplexe Aufgabe aber oft nicht alleine bewältigen.
Webseitenbetreiber sind für die Sicherheit ihrer Systeme selbst verantwortlich. Gerade KMUs können diese komplexe Aufgabe aber oft nicht alleine bewältigen. (Bild: blackboard - stock.adobe.com)

Die Betreiber von Webseiten müssen jederzeit mit Angriffen von Hackern auf ihre Onlinepräsenz rechnen. Gerade kleine und mittelständische Unternehmen haben aber oft selbst nicht ausreichend Knowhow im Haus, um Sicherheitsüberprüfungen durchzuführen und Schutzmaßnahmen zu implementieren. Es gibt zwar Anbieter, die beim Schutz der Unternehmenswebseite vor Hackern und Malware helfen können, aber die Auswahl ist schwer. Ein erster Schritt ist es, den eigenen Bedarf genau zu kennen.

Als der Brite Tim Berners-Lee am Schweizer Forschungsinstitut CERN ab 1989 begann, das World Wide Web zu designen, hätte wohl niemand geahnt, was aus dieser Idee werden würde. Mehr als fünfundzwanzig Jahre später, schätzt man die Anzahl der Webseiten weltweit auf über eine Milliarde. Doch dank Social Media, Smartphones, eCommerce-Angeboten und dem WWW-Zugang für bisherige Schwellenländer wird diese Anzahl noch weiter zunehmen.

Dies sind paradiesische Aussichten für Cyberkriminelle, die in Webseiten Ihre bevorzugten Opfer sehen. Opfer, die oft genug über keinen oder nur einem minimalen Schutz vor Cyber-Attacken verfügen. Die Frage, die man sich als Webseiten-Betreiber stellen muss, lautet daher: Wie und wogegen muss ich meine Webseite Schützen?

Verantwortlich für die Sicherheit der eigenen Webseite

Die gute Nachricht ist, die klassischen Angriffsarten und ihre Auswirkungen auf die Webseite sind bekannt und der Webseitenbetreiber kann diese auch bekämpfen und durch Einsatz geeigneter Techniken vermeiden oder mindestens reduzieren.

Die nicht so gute Nachricht lautet, dass der Webseitenbetreiber durch den Gesetzgeber über das Telemediengesetz auch dazu angehalten ist, dies zu tun (Paragraph 13 Pflichten des Diensteanbieters, Absatz 7 TMG)! So wird gefordert, dass durch technische und organisatorische Vorkehrungen sicherzustellen ist, dass a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, entsprechende Maßnahmen ergriffen werden.

Aktivitäten sollten also mindestens, zu den nachfolgenden Angriffsarten in die Wege geleitet werden:

  • Defacement: Veränderungen von Optik und/oder Wirkungsweise einer Webseite
  • Denial of Service: Überlastung einer Webseite und herbeiführen einer „Nicht-Erreichbarkeit“
  • Code-Replacement: Ausnutzen von System- oder Produkt-Schwachstellen um Programmode der Webseite zu verändern und so z.B. Malware oder BOTs zu platzieren
  • Marketing-Attacken: Setzen einer Website auf Blacklists oder Manipulation der SEO-Werte (Search-Engine-Optimization; Suchmaschienenoptimierung), um das Ranking einer Webseite zu beeinflussen
  • Cybercrime: Erpressung oder Datendiebstahl durch die Ausnutzung von fehlerhaften Berechtigungen für die Webseite oder der angeschlossenen Applikationen

Prinzipiell kann dieser Schutz bis zu einem gewissen Grad auch durch die eigene IT-Abteilung erbracht werden. Doch je tiefer es in die Themen HTML, Content-Management-System (CMS), SEO, Code-Vulnerabilities etc. geht, desto schwieriger wird dies für das eigene IT-Personal. Denn üblicherweise ist ein derartiges Wissen nicht oder nur in geringem Umfang vorhanden. Wer aber keine eigene IT bzw. Web-IT hat, der muss sich am Markt umsehen um dort einen passenden Dienstleister zu finden, der diese Aufgabe für ihn erbringt.

Der Webseiten-Security-Dienstleister (WSD)

Bevor man sich aber in den Markt der Anbieter stürzt, sollte man zunächst als KMU oder Enterprise, die eigenen Bedürfnisse und Rahmenbedingungen kennen. Denn ohne diese kauft man Services doppelt ein oder zu teuer. Die Fünf Top-Fragen sind:

  • 1. Über welches Budget verfüge Sie?
  • 2. Wie viele Webseiten / Domains wollen Sie schützen lassen?
  • 3. Welche Art von WSD bevorzugen Sie? Einen Fully-Managed-Service bei dem man nur noch die Ergebnisse kontrolliert oder selbst als Entscheidungsinstanz Aktivitäten und Maßnahmen des WSD steuert und autorisiert?
  • 4. Was bietet der aktueller Provider bereits inkludiert an?
  • 5. Wie hoch ist das (Unternehmens-) Risiko attackiert zu werden?

Das zur Verfügung stehende Budget und die Anzahl der zu schützenden Domains ergibt den durchschnittlichen Preis, den man je Domain investieren kann. Dieser fällt üblicherweise höher aus, wenn man einen FMS nutzt, der sich von A bis Z um alle Themen kümmert.

Ein Fully-Managed-Service erspart den Webseiten-Anbieter aber nicht die Kontrolle und auch nicht das Management seiner Webseite. Hier ist oft viel Abklärung der Zuständigkeiten und eine genaue Trennung der Verantwortlichkeiten zu erbringen, bevor das FMS-Modell im Sinne des Webseitenbetreibers abläuft. Auch sollte man genau verifizieren, was z.B. ein Hosting-Provider bzgl. Security bereits anbietet und ob man hier Gefahr läuft, doppelte Leistungen einzukaufen. Ein Uptime-Management (Ist die Webseite erreichbar) oder einen periodischen Backup bieten bereits viele Hosting-Provider in ihren Business-Tarifen an. Derartige Leistungen muss man nicht über den WSD einkaufen.

Entscheidend ist aber die Frage Nummer Fünf im Kontext, wie hoch ist das eigenen Risiko attackiert zu werden? Der Kleingartenverein, der jährlich über das Sommerfest seiner Mitglieder berichtet hat ein deutlich geringeres Risiko, als ein Unternehmen über das in der Presse zu dem Verdacht von Umweltverschmutzung berichtet wird.

Um es vereinfacht auf den Punkt zu bringen, je extrovertierter eine Webseite (Firma) ist, je mehr sie im Focus des Interesses steht desto größer ist das Risiko einer Attacke. Ob ein Angreifer die Geschäftspraktiken des Unternehmens anprangern will, einen Industriediebstahl plant oder eine Erpressung durch Offenlegung geheimer Dokumente anstrebt, die Gründe einer Attacke sind vielfältig. Je mehr mögliche Gründe zusammenkommen, desto höher ist das Risiko und umso besser muss der Schutz vor diesen möglichen Angriffen sein!

Grundlegende Verteidigung

Einen Basislevel bieten oft schon die Hosting-Provider an. Wenn nicht, gibt es zahlreiche Anbieter, die sich hierauf spezialisiert haben. Wobei normalerweise auch die eigene IT-Abteilung eine derartige Grundfunktionalität erbringen kann.

  • Uptime-Kontrolle: Ist die Webseite erreichbar oder ist der Server ausgefallen oder steht dieser unter Höchstlast aufgrund einer DDoS-Attacke?
  • Status Zertifikat: Ist das SSL-Zertifikat noch valide und nicht abgelaufen oder ist der Aussteller ggf. inzwischen diskreditiert und das Zertifikat ist nicht mehr überprüfbar?
  • Load-Time: Wie schnell reagiert der Web-Server und liefert den angeforderten Content? Lange Ladezeiten haben einen negativen Einfluss auf die Webseite und der Webseiten-Besucher bricht ggf. die Kommunikation ab.
  • Reputation: Steht die eigene Domain-Adresse ggf. auf irgendwelchen Backlists, bevorzugt bei Google und hat dadurch eine schlechte Reputation.
  • Traffic-Kontrolle: Kontrolle des Web-Traffic, weicht dieser eklatant von den Durchschnittswerten ab, kann dies ein Hinweis auf ein Security-Problem sein (Zunahme durch eine Schadsoftware auf der Webseite).

Dieses Security-Basislevel (Monitoring), dass auch in der Regel Bestandteil bei professionellen Webseiten-Security-Dienstleistern ist, sollte immer genutzt werden!

Fortgeschrittene Sicherheit

Dieses wird meistens recht individuell durch die WSD definiert und gelebt. Ein guter Anhaltspunkt ist hier immer der OWASP-Check (Open Web Application Security Project). Dieser ist aktuell in der 2013er-Version veröffentlicht, aber bereits in der 2017er-Version als „Release Candidate“ geplant. Dieser „OWASP Top-10“ Report definiert die zehn häufigsten Gefährdungen für Webanwendungen (pdf). Für diese sollte ein professioneller WSD etwas in seinem Portfolio haben, um seinen Kunden zu schützen. Die einzelnen Checks sind dabei (basierend auf der 2013er-Version):

A1: Injektions-Schwachstellen via SQL, OS oder LDAP

A2: Fehler bei der Authentifizierung und im Session-Management

A3: Cross-Site-Scripting – ungeprüfte Datenübernahme

A4: Direkte Objektreferenzen auf interne Kontrollstrukturen ohne Zugriffskontrolle

A5: Fehlerhafte Konfigurationen im Security-Framework

A6: Fehlende Schutzmaßnahmen für vertrauliche Daten

A7: Fehlende Autorisierung auf Anwendungsebenen (Nutzung via Parameter „actions“)

A8: Cross-Site-Request-Forgery – Nutzung manipulierter HTTP-Requests

A9: Ausnutzung bekannter Vulnerabilitys

A10: Ungeprüfte Um- und Weiterleitung zu andere Seiten und Diensten

Im Release Candidate der neuen Liste für 2017 findet man einige Neuerungen, so ersetzen „Unterbrochene Zugriffskontrollen“, “Fehlende Sicherheitsüberprüfungen“ und „Unzureichender Angriffsschutz“ bestehende Gefährdungen. „Injections“ sind aber immer noch auf Platz 1 gelistet. In diesem Zusammenhang empfiehlt es sich auch immer, den potentiellen WSD zu fragen, nach welcher Version der OWASP-Top-Ten-Liste er seinen Schutz offeriert. Die Top-Ten aus 2007 oder 2010 wäre längst nicht mehr so sinnvoll.

Während OWSAP (Open Web Application Security Project) auf Web-Komponenten fokussiert ist, setzt beispielsweise das Unternehmen Acunetix sein Augenmerk auf die eigentliche Webseite und die Webanwendungen. Der Report zeigt die Versäumnisse der Web-Designer, der SW-Produzenten auf und zeigt dem Webseitenbetreiber bestehende Schwachstellen auf. Der Acunetix Online-Scanner prüft auf 50.000 Schwachstellen, das 2004 gegründet Unternehmen zählt mit seinem Tool damit zu den Top-Produkten der Branche. Einen kurzen Überblick zu den Leistungen ist in einem PDF-Dokument zusammengefasst. Wer sich einen weitergehenden Einblick verschaffen möchte, kann auch eine reduzierte Test-Version vom Acunetix downloaden und installieren.

Im gleichen Segment ist auch Portswigger mit seiner Burp Suite aktiv. Diese steht ebenfalls als Free Edition zum Download bereit (mit eingeschränktem Leistungsumfang). Da die Burp Suite komplex ist, sollte man bei einem Test durchaus zunächst die Hilfe-Funktion nutzen, um die ersten Konfigurationseinstellungen erfolgreich zu erledigen um die verfügbaren Tests auszuprobieren. Der Burp-Scanner enthält auch einen Check für die bei OWASP definierten Top-Ten Bedrohungen.

Acunetix und die Burp Sweet sind einige der Player am Markt, die entsprechende Security-Überprüfungen anbieten. Man sollte sich aber nicht von der numerischen Anzahl an Checks blenden lassen, sondern immer auch den realen Wert im täglichen Business hinterfragen. Denn was nützt z.B. der Check auf 125 SQL-Schwachstellen, wenn die verifizierte Webseite keine SQL-Datenbank verwendet.

Umsetzen der Sicherheit

Ein Thema, das im zentralen Fokus steht, ist die Art und Weise, wie der WSD seinen Schutz umsetzt. Dazu zählen die folgenden Aspekte:

  • Wird die Dienstleistung in Deutschland (Datenschutzaspekte), durch zertifizierte Partner (z.B. ISO 27001) mit einer entsprechenden Redundanz an Rechenzentren geleistet? Verfügt der WSD über eine ausreichend dimensionierte Datenanbindung an den Internet-Backbone um auch bei DDoS-Attacken handlungsfähig zu bleiben?
  • Wird die Erkennung von Schwachstellen und das Monitoring der Webseite von außen erbracht (View-Mode) oder ist die Implementation einer API, DLL oder anderen Komponenten erforderlich um Manipulationen und Angriffe zu erkennen?
  • Welche Leistungen bietet der WSB bei einer Attacke und steht er 7x24 im Ereignisfall zur Verfügung?
  • Sind größere Änderungen (Domain-Umzug, Rechte-Vergaben etc.) erforderlich, die unter Umständen beim Webseitenbetreiber zu einem hohen Aufwand führen?
  • Gibt es Problemstellungen mit dem Datenschutz oder internen IT-Anforderungen, wenn man sich für das Angebot eines WSD und damit einhergehend, dessen Implantation entscheidet?
  • Welche Schnittstellen stehen zur Verfügung (Daten-Export) und wie erfolgt im Ereignisfall eine Benachrichtigung (E-Mail, SMS etc.)? Gibt es Informationskanäle, die sich in ein eigenes SIEM-System integrieren lassen?

Die „Implantation“ ist ein Thema, das verschiedene Bereiche berührt. Minimal sollten daher die IT, der Datenschutz, die Web-Abteilung, die Revision, und auch der Compliance-Verantwortliche ihre Anforderungen festlegen, um möglichst viele Aspekte berücksichtigen zu können. Denn fehlende Funktionen oder „Krückenlösungen“ können später im Betrieb teuer werden oder nur eine ungenügende Sicherheit gewährleisten.

WSD-Startups

Security-Insider hat im Rahmen seiner Vorstellung von Security-Startups bereits einige Kandidaten präsentiert, die in diesem hart umkämpften Segment aktiv sind. Mit unterschiedlichen Ansätzen und Leistungsangeboten. Die Vorstellungen geben einen Überblick über deren Angebote:

10 Fragen, auf die man Antworten haben muss

Die Auswahl des am besten passenden WSD ist keine leichte Aufgabe. Aber es ist eine „Herausforderung mit Perspektive“, denn löst man sie gut, kann man deutlich entspannter potentiellen Cyber-Angriffen entgegenblicken.

Was es braucht, um eine gute Wahl zu treffen, sind klare Vorgaben und auch eine entsprechende Zeitplanung, um einzelnen Fragen mit den Anbietern zu klären und in Teststellungen zu verfizieren. Out-Of-The-Box-Lösungen kann man erwerben, man muss aber berücksichtigen, das aus der eigenen (Kunden-) Seite auch Nacharbeiten erforderlich sind. Denn wird beispielsweise ein Angriff gemeldet, muss jemand darauf reagieren!

Also beispielsweise Maßnahmen autorisieren, Software-Updates initiieren, einen Situations- und Risiko-Analyse durchführen und einiges mehr – und dies im 7x24 Modus! Denn eine Attacke am Samstag kann nicht unbearbeitet ruhen, bis zum Montagmorgen, wenn der WEB-Administrator wieder im Büro ist!

Bevor Sie den Prozess der Anbieterauswahl starten, sollten Sie daher zwingend die nachfolgenden 10 Fragen für sich geklärt haben.

  • 1. Über wieviel Budget verfügen Sie für interne und externe Ausgaben?
  • 2. Welche Dienstleistungen übernimmt bereits Ihr Web-Provider?
  • 3. Welche Services kann ihre interne IT-Abteilung wahrnehmen?
  • 4. Wissen Sie, wo bei Ihrem Webauftritt bereits Schwachstellen sind?
  • 5. Wogegen wollen Sie sich primär absichern (Ausfall, Defacement, Manipulation, Reputationsschäden)?
  • 6. Gab es bereits Vorfälle innerhalb der letzten 9 Monate?
  • 7. Sind Sie an Normen oder Vorschriften bei der Auswahl gebunden (z.B. nur ein deutsches Unternehmen aufgrund von Datenschutz-Vorgaben)?
  • 8. Wer hat das letzte Wort bei der WSD-Auswahl und erbringt den unterstützenden Tagesbetrieb?
  • 9. Haben sie für einen 7x24 Betrieb entsprechende Personal-Kapazitäten im eigenen Umfeld verfügbar oder können sie einen Dienstleister damit beauftragen?
  • 10. Wie sieht Ihre eigene Qualitätskontrolle aus? Wie wollen Sie die korrekte Umsetzung von Schutz-Maßnahmen und den erforderlichen Tagesbetrieb Ihre Webseite verifizieren?

Zusammenfassung

Ebenso wie der wirksame Schutz der Systeme vor Cyberkriminellen ist auch der Schutz von Webseitenauftritten keine einfache Sache. Denn der Mix aus Browsern, Webanwendungen, HTML-Komponenten, Content-Management-Systemen und verschiedenen Programmiersprachen und dynamischen Aktivitäten schafft eine „interessante Spielwiese“ für Hacker und Kriminelle.

Eine Spielwiese die immer interessanter wird, je besser das ursprüngliche Ziel, die Systeme, geschützt werden. Denn der Schutz der Webseiten hinkt aktuell noch dem der Systeme hinterher … und bekanntlich bevorzugen die Cyberkriminellen das schwächste Glied der Kette, da dies den geringsten Aufwand verursacht!

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44758370 / Intrusion-Detection und -Prevention)