:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Sicherheit für Webseiten Den richtigen Webseiten-Schutz auswählen
Die Betreiber von Webseiten müssen jederzeit mit Angriffen von Hackern auf ihre Onlinepräsenz rechnen. Gerade kleine und mittelständische Unternehmen haben aber oft selbst nicht ausreichend Knowhow im Haus, um Sicherheitsüberprüfungen durchzuführen und Schutzmaßnahmen zu implementieren. Es gibt zwar Anbieter, die beim Schutz der Unternehmenswebseite vor Hackern und Malware helfen können, aber die Auswahl ist schwer. Ein erster Schritt ist es, den eigenen Bedarf genau zu kennen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/5f/f3/5ff3193fe92ca/mimecast.png "mimecast.png (mimecast)")
Als der Brite Tim Berners-Lee am Schweizer Forschungsinstitut CERN ab 1989 begann, das World Wide Web zu designen, hätte wohl niemand geahnt, was aus dieser Idee werden würde. Mehr als fünfundzwanzig Jahre später, schätzt man die Anzahl der Webseiten weltweit auf über eine Milliarde. Doch dank Social Media, Smartphones, eCommerce-Angeboten und dem WWW-Zugang für bisherige Schwellenländer wird diese Anzahl noch weiter zunehmen.
Dies sind paradiesische Aussichten für Cyberkriminelle, die in Webseiten Ihre bevorzugten Opfer sehen. Opfer, die oft genug über keinen oder nur einem minimalen Schutz vor Cyber-Attacken verfügen. Die Frage, die man sich als Webseiten-Betreiber stellen muss, lautet daher: Wie und wogegen muss ich meine Webseite Schützen?
:quality(80)/images.vogel.de/vogelonline/bdb/1248400/1248495/original.jpg "Die OWASP-Webseite mit den zahlreichen Projekten zu Web-Sicherheit. U.a. auch mit der Aufstellung der Top 10 - Bedrohungen.")
:quality(80)/images.vogel.de/vogelonline/bdb/1248400/1248496/original.jpg "OWASP Top 10 – Report mit den einzelnen Bedrohungen und den gefundenen Lücken auf einer Webseite.")
:quality(80)/images.vogel.de/vogelonline/bdb/1248400/1248497/original.jpg "OWASP-Report mit einer Detailbetrachtung zur Lücke „A5 Security Misconfiguration“.")
:quality(80)/images.vogel.de/vogelonline/bdb/1248400/1248498/original.jpg "Die Acunetix-Webseite mit dem Produktportfolio.")
Verantwortlich für die Sicherheit der eigenen Webseite
Die gute Nachricht ist, die klassischen Angriffsarten und ihre Auswirkungen auf die Webseite sind bekannt und der Webseitenbetreiber kann diese auch bekämpfen und durch Einsatz geeigneter Techniken vermeiden oder mindestens reduzieren.
Die nicht so gute Nachricht lautet, dass der Webseitenbetreiber durch den Gesetzgeber über das Telemediengesetz auch dazu angehalten ist, dies zu tun (Paragraph 13 Pflichten des Diensteanbieters, Absatz 7 TMG)! So wird gefordert, dass durch technische und organisatorische Vorkehrungen sicherzustellen ist, dass a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, entsprechende Maßnahmen ergriffen werden.
Aktivitäten sollten also mindestens, zu den nachfolgenden Angriffsarten in die Wege geleitet werden:
- Defacement: Veränderungen von Optik und/oder Wirkungsweise einer Webseite
- Denial of Service: Überlastung einer Webseite und herbeiführen einer „Nicht-Erreichbarkeit“
- Code-Replacement: Ausnutzen von System- oder Produkt-Schwachstellen um Programmode der Webseite zu verändern und so z.B. Malware oder BOTs zu platzieren
- Marketing-Attacken: Setzen einer Website auf Blacklists oder Manipulation der SEO-Werte (Search-Engine-Optimization; Suchmaschienenoptimierung), um das Ranking einer Webseite zu beeinflussen
- Cybercrime: Erpressung oder Datendiebstahl durch die Ausnutzung von fehlerhaften Berechtigungen für die Webseite oder der angeschlossenen Applikationen
Prinzipiell kann dieser Schutz bis zu einem gewissen Grad auch durch die eigene IT-Abteilung erbracht werden. Doch je tiefer es in die Themen HTML, Content-Management-System (CMS), SEO, Code-Vulnerabilities etc. geht, desto schwieriger wird dies für das eigene IT-Personal. Denn üblicherweise ist ein derartiges Wissen nicht oder nur in geringem Umfang vorhanden. Wer aber keine eigene IT bzw. Web-IT hat, der muss sich am Markt umsehen um dort einen passenden Dienstleister zu finden, der diese Aufgabe für ihn erbringt.
Der Webseiten-Security-Dienstleister (WSD)
Bevor man sich aber in den Markt der Anbieter stürzt, sollte man zunächst als KMU oder Enterprise, die eigenen Bedürfnisse und Rahmenbedingungen kennen. Denn ohne diese kauft man Services doppelt ein oder zu teuer. Die Fünf Top-Fragen sind:
- 1. Über welches Budget verfüge Sie?
- 2. Wie viele Webseiten / Domains wollen Sie schützen lassen?
- 3. Welche Art von WSD bevorzugen Sie? Einen Fully-Managed-Service bei dem man nur noch die Ergebnisse kontrolliert oder selbst als Entscheidungsinstanz Aktivitäten und Maßnahmen des WSD steuert und autorisiert?
- 4. Was bietet der aktueller Provider bereits inkludiert an?
- 5. Wie hoch ist das (Unternehmens-) Risiko attackiert zu werden?
Das zur Verfügung stehende Budget und die Anzahl der zu schützenden Domains ergibt den durchschnittlichen Preis, den man je Domain investieren kann. Dieser fällt üblicherweise höher aus, wenn man einen FMS nutzt, der sich von A bis Z um alle Themen kümmert.
Ein Fully-Managed-Service erspart den Webseiten-Anbieter aber nicht die Kontrolle und auch nicht das Management seiner Webseite. Hier ist oft viel Abklärung der Zuständigkeiten und eine genaue Trennung der Verantwortlichkeiten zu erbringen, bevor das FMS-Modell im Sinne des Webseitenbetreibers abläuft. Auch sollte man genau verifizieren, was z.B. ein Hosting-Provider bzgl. Security bereits anbietet und ob man hier Gefahr läuft, doppelte Leistungen einzukaufen. Ein Uptime-Management (Ist die Webseite erreichbar) oder einen periodischen Backup bieten bereits viele Hosting-Provider in ihren Business-Tarifen an. Derartige Leistungen muss man nicht über den WSD einkaufen.
Entscheidend ist aber die Frage Nummer Fünf im Kontext, wie hoch ist das eigenen Risiko attackiert zu werden? Der Kleingartenverein, der jährlich über das Sommerfest seiner Mitglieder berichtet hat ein deutlich geringeres Risiko, als ein Unternehmen über das in der Presse zu dem Verdacht von Umweltverschmutzung berichtet wird.
Um es vereinfacht auf den Punkt zu bringen, je extrovertierter eine Webseite (Firma) ist, je mehr sie im Focus des Interesses steht desto größer ist das Risiko einer Attacke. Ob ein Angreifer die Geschäftspraktiken des Unternehmens anprangern will, einen Industriediebstahl plant oder eine Erpressung durch Offenlegung geheimer Dokumente anstrebt, die Gründe einer Attacke sind vielfältig. Je mehr mögliche Gründe zusammenkommen, desto höher ist das Risiko und umso besser muss der Schutz vor diesen möglichen Angriffen sein!
Grundlegende Verteidigung
Einen Basislevel bieten oft schon die Hosting-Provider an. Wenn nicht, gibt es zahlreiche Anbieter, die sich hierauf spezialisiert haben. Wobei normalerweise auch die eigene IT-Abteilung eine derartige Grundfunktionalität erbringen kann.
- Uptime-Kontrolle: Ist die Webseite erreichbar oder ist der Server ausgefallen oder steht dieser unter Höchstlast aufgrund einer DDoS-Attacke?
- Status Zertifikat: Ist das SSL-Zertifikat noch valide und nicht abgelaufen oder ist der Aussteller ggf. inzwischen diskreditiert und das Zertifikat ist nicht mehr überprüfbar?
- Load-Time: Wie schnell reagiert der Web-Server und liefert den angeforderten Content? Lange Ladezeiten haben einen negativen Einfluss auf die Webseite und der Webseiten-Besucher bricht ggf. die Kommunikation ab.
- Reputation: Steht die eigene Domain-Adresse ggf. auf irgendwelchen Backlists, bevorzugt bei Google und hat dadurch eine schlechte Reputation.
- Traffic-Kontrolle: Kontrolle des Web-Traffic, weicht dieser eklatant von den Durchschnittswerten ab, kann dies ein Hinweis auf ein Security-Problem sein (Zunahme durch eine Schadsoftware auf der Webseite).
Dieses Security-Basislevel (Monitoring), dass auch in der Regel Bestandteil bei professionellen Webseiten-Security-Dienstleistern ist, sollte immer genutzt werden!
Fortgeschrittene Sicherheit
Dieses wird meistens recht individuell durch die WSD definiert und gelebt. Ein guter Anhaltspunkt ist hier immer der OWASP-Check (Open Web Application Security Project). Dieser ist aktuell in der 2013er-Version veröffentlicht, aber bereits in der 2017er-Version als „Release Candidate“ geplant. Dieser „OWASP Top-10“ Report definiert die zehn häufigsten Gefährdungen für Webanwendungen (pdf). Für diese sollte ein professioneller WSD etwas in seinem Portfolio haben, um seinen Kunden zu schützen. Die einzelnen Checks sind dabei (basierend auf der 2013er-Version):
A1: Injektions-Schwachstellen via SQL, OS oder LDAP
A2: Fehler bei der Authentifizierung und im Session-Management
A3: Cross-Site-Scripting – ungeprüfte Datenübernahme
A4: Direkte Objektreferenzen auf interne Kontrollstrukturen ohne Zugriffskontrolle
A5: Fehlerhafte Konfigurationen im Security-Framework
A6: Fehlende Schutzmaßnahmen für vertrauliche Daten
A7: Fehlende Autorisierung auf Anwendungsebenen (Nutzung via Parameter „actions“)
A8: Cross-Site-Request-Forgery – Nutzung manipulierter HTTP-Requests
A9: Ausnutzung bekannter Vulnerabilitys
A10: Ungeprüfte Um- und Weiterleitung zu andere Seiten und Diensten
Im Release Candidate der neuen Liste für 2017 findet man einige Neuerungen, so ersetzen „Unterbrochene Zugriffskontrollen“, “Fehlende Sicherheitsüberprüfungen“ und „Unzureichender Angriffsschutz“ bestehende Gefährdungen. „Injections“ sind aber immer noch auf Platz 1 gelistet. In diesem Zusammenhang empfiehlt es sich auch immer, den potentiellen WSD zu fragen, nach welcher Version der OWASP-Top-Ten-Liste er seinen Schutz offeriert. Die Top-Ten aus 2007 oder 2010 wäre längst nicht mehr so sinnvoll.
Während OWSAP (Open Web Application Security Project) auf Web-Komponenten fokussiert ist, setzt beispielsweise das Unternehmen Acunetix sein Augenmerk auf die eigentliche Webseite und die Webanwendungen. Der Report zeigt die Versäumnisse der Web-Designer, der SW-Produzenten auf und zeigt dem Webseitenbetreiber bestehende Schwachstellen auf. Der Acunetix Online-Scanner prüft auf 50.000 Schwachstellen, das 2004 gegründet Unternehmen zählt mit seinem Tool damit zu den Top-Produkten der Branche. Einen kurzen Überblick zu den Leistungen ist in einem PDF-Dokument zusammengefasst. Wer sich einen weitergehenden Einblick verschaffen möchte, kann auch eine reduzierte Test-Version vom Acunetix downloaden und installieren.
Im gleichen Segment ist auch Portswigger mit seiner Burp Suite aktiv. Diese steht ebenfalls als Free Edition zum Download bereit (mit eingeschränktem Leistungsumfang). Da die Burp Suite komplex ist, sollte man bei einem Test durchaus zunächst die Hilfe-Funktion nutzen, um die ersten Konfigurationseinstellungen erfolgreich zu erledigen um die verfügbaren Tests auszuprobieren. Der Burp-Scanner enthält auch einen Check für die bei OWASP definierten Top-Ten Bedrohungen.
Acunetix und die Burp Sweet sind einige der Player am Markt, die entsprechende Security-Überprüfungen anbieten. Man sollte sich aber nicht von der numerischen Anzahl an Checks blenden lassen, sondern immer auch den realen Wert im täglichen Business hinterfragen. Denn was nützt z.B. der Check auf 125 SQL-Schwachstellen, wenn die verifizierte Webseite keine SQL-Datenbank verwendet.
Umsetzen der Sicherheit
Ein Thema, das im zentralen Fokus steht, ist die Art und Weise, wie der WSD seinen Schutz umsetzt. Dazu zählen die folgenden Aspekte:
- Wird die Dienstleistung in Deutschland (Datenschutzaspekte), durch zertifizierte Partner (z.B. ISO 27001) mit einer entsprechenden Redundanz an Rechenzentren geleistet? Verfügt der WSD über eine ausreichend dimensionierte Datenanbindung an den Internet-Backbone um auch bei DDoS-Attacken handlungsfähig zu bleiben?
- Wird die Erkennung von Schwachstellen und das Monitoring der Webseite von außen erbracht (View-Mode) oder ist die Implementation einer API, DLL oder anderen Komponenten erforderlich um Manipulationen und Angriffe zu erkennen?
- Welche Leistungen bietet der WSB bei einer Attacke und steht er 7x24 im Ereignisfall zur Verfügung?
- Sind größere Änderungen (Domain-Umzug, Rechte-Vergaben etc.) erforderlich, die unter Umständen beim Webseitenbetreiber zu einem hohen Aufwand führen?
- Gibt es Problemstellungen mit dem Datenschutz oder internen IT-Anforderungen, wenn man sich für das Angebot eines WSD und damit einhergehend, dessen Implantation entscheidet?
- Welche Schnittstellen stehen zur Verfügung (Daten-Export) und wie erfolgt im Ereignisfall eine Benachrichtigung (E-Mail, SMS etc.)? Gibt es Informationskanäle, die sich in ein eigenes SIEM-System integrieren lassen?
Die „Implantation“ ist ein Thema, das verschiedene Bereiche berührt. Minimal sollten daher die IT, der Datenschutz, die Web-Abteilung, die Revision, und auch der Compliance-Verantwortliche ihre Anforderungen festlegen, um möglichst viele Aspekte berücksichtigen zu können. Denn fehlende Funktionen oder „Krückenlösungen“ können später im Betrieb teuer werden oder nur eine ungenügende Sicherheit gewährleisten.
WSD-Startups
Security-Insider hat im Rahmen seiner Vorstellung von Security-Startups bereits einige Kandidaten präsentiert, die in diesem hart umkämpften Segment aktiv sind. Mit unterschiedlichen Ansätzen und Leistungsangeboten. Die Vorstellungen geben einen Überblick über deren Angebote:
- Nimbusec aus Österreich
- Patronus.io aus Berlin
- Net Wächter aus Ostfildern
10 Fragen, auf die man Antworten haben muss
Die Auswahl des am besten passenden WSD ist keine leichte Aufgabe. Aber es ist eine „Herausforderung mit Perspektive“, denn löst man sie gut, kann man deutlich entspannter potentiellen Cyber-Angriffen entgegenblicken.
Was es braucht, um eine gute Wahl zu treffen, sind klare Vorgaben und auch eine entsprechende Zeitplanung, um einzelnen Fragen mit den Anbietern zu klären und in Teststellungen zu verfizieren. Out-Of-The-Box-Lösungen kann man erwerben, man muss aber berücksichtigen, das aus der eigenen (Kunden-) Seite auch Nacharbeiten erforderlich sind. Denn wird beispielsweise ein Angriff gemeldet, muss jemand darauf reagieren!
Also beispielsweise Maßnahmen autorisieren, Software-Updates initiieren, einen Situations- und Risiko-Analyse durchführen und einiges mehr – und dies im 7x24 Modus! Denn eine Attacke am Samstag kann nicht unbearbeitet ruhen, bis zum Montagmorgen, wenn der WEB-Administrator wieder im Büro ist!
Bevor Sie den Prozess der Anbieterauswahl starten, sollten Sie daher zwingend die nachfolgenden 10 Fragen für sich geklärt haben.
- 1. Über wieviel Budget verfügen Sie für interne und externe Ausgaben?
- 2. Welche Dienstleistungen übernimmt bereits Ihr Web-Provider?
- 3. Welche Services kann ihre interne IT-Abteilung wahrnehmen?
- 4. Wissen Sie, wo bei Ihrem Webauftritt bereits Schwachstellen sind?
- 5. Wogegen wollen Sie sich primär absichern (Ausfall, Defacement, Manipulation, Reputationsschäden)?
- 6. Gab es bereits Vorfälle innerhalb der letzten 9 Monate?
- 7. Sind Sie an Normen oder Vorschriften bei der Auswahl gebunden (z.B. nur ein deutsches Unternehmen aufgrund von Datenschutz-Vorgaben)?
- 8. Wer hat das letzte Wort bei der WSD-Auswahl und erbringt den unterstützenden Tagesbetrieb?
- 9. Haben sie für einen 7x24 Betrieb entsprechende Personal-Kapazitäten im eigenen Umfeld verfügbar oder können sie einen Dienstleister damit beauftragen?
- 10. Wie sieht Ihre eigene Qualitätskontrolle aus? Wie wollen Sie die korrekte Umsetzung von Schutz-Maßnahmen und den erforderlichen Tagesbetrieb Ihre Webseite verifizieren?
Zusammenfassung
Ebenso wie der wirksame Schutz der Systeme vor Cyberkriminellen ist auch der Schutz von Webseitenauftritten keine einfache Sache. Denn der Mix aus Browsern, Webanwendungen, HTML-Komponenten, Content-Management-Systemen und verschiedenen Programmiersprachen und dynamischen Aktivitäten schafft eine „interessante Spielwiese“ für Hacker und Kriminelle.
Eine Spielwiese die immer interessanter wird, je besser das ursprüngliche Ziel, die Systeme, geschützt werden. Denn der Schutz der Webseiten hinkt aktuell noch dem der Systeme hinterher … und bekanntlich bevorzugen die Cyberkriminellen das schwächste Glied der Kette, da dies den geringsten Aufwand verursacht!
(ID:44758370)
:quality(80)/p7i.vogel.de/wcms/93/17/9317d267541ee976360693c7c7ec267c/0114633338.jpeg "Die wichtigste Rolle beim API-Schutz fällt nach wie vor den Entwicklern zu, denn Security-Lösungen können immer nur ein beschränktes Spektrum an Sicherheitsproblemen lösen. (Bild: Maximusdn - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/04/c904bf7dc0be07350005f7dba734f6ff/0113097994.jpeg "Die kostenlose Open-Source-Lösung Matomo bietet ähnlichen Funktionsumfang wie Google Analytics. (Bild: T.Joos)")