Security-Ticker als Awareness-Tool für die eigene Webseite

Risiko Informationen in Echtzeit

Seite: 3/3

Security-Informationen ohne Ticker per Twitter und RSS

Wer keinen passenden Ticker findet, kann auch auf Alternativen ausweichen. Eine mögliche Alternative ist es, die Tweets eines geeigneten Informations-Anbieters auf der Webseite einzubinden.Dazu benötigt man nur einen Twitter-Account über den man per “Einstellungen, Widgets, Neu erstellen“ ein Script zur Anzeige von Tweets auf der eigenen Webseite zu generieren.

Wählt man dann als Informationsquelle @secinsiderde aus, erhält man alle veröffentlichten Informationen von Securty-Insider.de. Sind dann alle Einstellungen getroffen, wählt man <Widget erstellen> aus und kann den generierten Code in seine eigene Webseite einbinden.

Bildergalerie
Bildergalerie mit 7 Bildern

RSS-Feeds einbinden

Ebenso wie Twitter kann man auch einen RSS-Feed auf der eigenen Webseite als Security-Ticker einbinden. Üblicherweise benötigt man dafür nur einen RSS-Parser, also ein Konvertierungstool, welches aus RSS-Feeds einen darstellbaren Text generiert. Im Web ist dazu eine Vielzahl von Tools verfügbar – ggf. kann auch Ihr Web-Designer ein Werkzeug empfehlen.

Eine schnelle Umsetzung, um z.B. den RSS-Feed von Security-Insider.de auf der eigenen Webseite darzustellen bietet Feed2JS (Feeds To JavaScript).

Bei diesem Tool gibt man auf der „Build-Seite“ die gewünschte RSS-Eingabequelle an, einige optionale Parameter und erhält dann nach einem Mausklick auf „Generate JavaScript“ auf der rechten Bildschirmseite sein fertiges JavaScript.

Dieser Code kann dann wieder in die eigene Webseite eingebaut werden. Feed2JS ist ein zuverlässiges Werkzeug, allerdings gilt hier, wie bei Twitter, sollten die Services nicht zur Verfügung stehen, erfolgt auch keine Anzeige von Informationen. Wer dieses Risiko minimieren will, sollte daher mittelfristig eine Lösung einbauen, die von Dritten unabhängig funktioniert.

Tweets oder RSS-Informationen sind, abhängig vom Lieferant, ggf. nicht so spezifisch wie ein Security-Ticker, erfüllen aber prinzipiell auch den Informationsbedarf.

Sicherheitsbedenken

Die vorgestellten Security-Ticker erfordern mindestens zwei Dinge um zu funktionieren. Zum ersten eine JavaScript-Unterstützung durch den Browser und zweitens Vertrauen in den Betreiber des Ticker-Systems.

JavaScript ist inzwischen meistens aktiviert, weil viele Webseiten ohne JavaScript gar nicht mehr funktionieren. Wie es um das Vertrauen in den Betreiber aussieht, muss jeder für sich selbst entscheiden.

Generell bindet man Programmcode von einer fremden Quelle in die eigene Seite ein. Heute ist es ein guter Code, aber in einem Monat könnte dieser durch eine Cyber-Attacke ausgetauscht werden und völlig andere Inhalte liefern oder andere Aktivitäten ausführen (weiterleiten auf eine Phishing-Seite etc.). Ein derartiges Szenario ist nicht exklusiv mit einem Security-Ticker verbunden, sondern betrifft zahlreiche Fremd-Komponenten, die man einbindet.

Wer dieses Risiko minimieren will, muss entweder auf Fremd-Komponenten verzichten oder versuchen, die Fremd-Komponenten in seinem eigenen Umfeld zu betreiben. Dies wäre z.B. möglich, indem man eigene Skripte verwendet oder Fremdinhalte „mietet“ und diese dann selbst zur Verfügung stellt.

Fazit

Richtig ausgewählt und eingesetzt, können Security-Ticker dazu beitragen, Sicherheitsinformationen zu vermitteln und damit die Security-Awareness von Mitarbeitern und/oder Webseiten-Besuchern zu verbessern.

(ID:42455557)

Über den Autor