Security-Ticker als Awareness-Tool für die eigene Webseite Risiko Informationen in Echtzeit

Autor / Redakteur: Ralph Dombach / Peter Schmitz

Egal ob es sich um die Abwehr von Schadsoftware, dass Patchen von Schwachstellen oder die Überwachung von Internet-Verbindungen handelt, man muss sich stetig darum kümmern. Gleiches gilt auch für Security Awareness! Eine effektive und aufwandsarme Methode ist es, einen Security-Ticker auf eigenen Webseiten einzubinden.

Security-Ticker können dabei helfen, den eigenen Mitarbeitern Sicherheitsinformationen näher zu bringen und damit deren Bewußtsein gegenüber Cyber-Gefahren zu verbessern.
Security-Ticker können dabei helfen, den eigenen Mitarbeitern Sicherheitsinformationen näher zu bringen und damit deren Bewußtsein gegenüber Cyber-Gefahren zu verbessern.
(Bild: Sergey Nivens - Fotolia.com)

Ein Security-Ticker auf der eigenen Intranet-Webseite präsentiert den Anwendern Risiko-Informationen, Handlungstipps und interessante Neuigkeiten zu IT-Sicherheit. Der Anwender erhält so relevante Informationen, ohne ihn mit Newslettern zu bombardieren oder eine monatliche Security-Pflichtveranstaltung abzuhalten.

Bei einem Security-Ticker handelt es sich i.d.R. um ein kurzes JavaScript-Programm, das im HTML-Code der eigenen Webseite eingebunden ist. Ruft man dann per Browser die Webseite auf, wird das Script ausgeführt und zeigt eine Information und/oder Grafik innerhalb der Webseite an.

Bildergalerie
Bildergalerie mit 7 Bildern

Diese Security-Information bietet sich bei Webseiten an, die im Umfeld IT Sicherheit aufgestellt sind und tagesaktuelle News zur Verfügung stellen. Auch bei Intranet-Seiten, auf denen der CISO Informationen über IT Sicherheit für die Mitarbeiter präsentieren möchte, ist ein Security-Ticker eine gute Wahl.

Bei jedem Aufruf oder Reload der Webseite wird der Security-Ticker einen aktualisierten Inhalt darstellen. Damit ist das Thema „Sicherheit“ stets im Blickfeld des Anwenders. Ein nützlicher Nebeneffekt ist, dass der Anwender die Informationen auch in seinem eigenen Umfeld anwenden kann. Damit wird langfristig auch die private Sicherheit verbessert, was letztendlich auch einem Unternehmen zugutekommt. Denn oft findet Schadsoftware über den privaten PC oder USB-Speicherstick den Weg in das Unternehmen.

Ticker-Inhalte mit Security-Bezug

Hinter einem Security-Ticker steht ein Betreiber, der die Nachrichten auswählt, aufbereitet und zur Verfügung stellt. Je nach Geschäftsmodell und Ausrichtung des Betreibers gibt es bei den Ticker-Anbietern unterschiedliche Informationsschwerpunkte. Für den DACH-Raum gibt es dabei ein überschaubares Angebot, welches aber erfreulicherweise ein breites Spektrum an Informationen abdeckt.

Informationen zu Malware bieten das „Avira Alert Panel“ der deutschen Antivirus-Firmen Avira. Auch Kaspersky Lab bietet mit seinem „VirusInformer“ relevante Informationen zu Malware.

Die neuesten Computerviren und die Top-Bedrohungen stehen dabei bei beiden Tickern im Mittelpunkt. Beide Ticker-Scripts präsentieren die Nachrichten mit Links zu Detailinformationen. Die Informationen selbst werden in einem Rahmen mit einem Hersteller-Header angezeigt.

Informationen zu Security-Updates bietet die „securityNews-Box“ vom „Marktplatz Sicherheit“ via it-Sicherheit.de. Dieser optisch ansprechende Ticker bietet Informationen zu den drei neuesten Security-Updates für verschiedene Betriebssysteme und eine Einschätzung der aktuellen Bedrohungslage. Per Link gelangt man auf die Webseite des Betreibers und erhält das ganze Set an Informationen, aus dem der Ticker nur eine kleinen Teil präsentiert.

Die securityNews-Box kann nicht für die eigenen Bedürfnisse angepasst bzw. konfiguriert werden. Das PHP-Script, welches die Informationen liefert, wird per <iframe> in der eigenen Webseite eingebunden.

Informationen zur Online-Sicherheit bietet DSiN (Deutschland sicher im Netz) mit seinem „Sicherheitsbarometer“. Eine Grafik, die mit einer Ampelfarben-Symbolik das aktuelle Risiko darstellt vermittelt ist der zentrale Bestandteil des Tickers. Die Informationsgrafik kann wahlfrei senkrecht oder waagrecht abgebildet werden, wie es besser für die Einbindung in die eigene Webseite passt.

Informationen zu Sicherheit allgemein offeriert „SecuTipp“. SecuTipp bietet kurze Texte, die ein Thema ansprechen und auf eine Lösung verweisen, wie z.B.: „Zu viele Passworte – nutzen Sie eine Passwort-Verwaltungsprogramm (Empfehlung Produktlink)“. SecuTipp gibt nur Text aus, so dass dieser passend zur Webseite (z.B. per CSS-Design) angepasst werden kann.

Informationen zu Fachbegriffen bietet das Wiki Secupedia. Dieses Nachschlagewerk unterstützt auch per „Secupedia Embedding“ einen Ticker-Mechanismus, der Inhalte aus diesem Wiki anzeigt. Dabei können alle Fachwörter als Anzeigebasis genutzt werden oder ein von drei Kategorien. Wählt man „IT-Security“, werden nur Begriffe aus diesem Themenbereich angezeigt und keine aus „Brandschutz“ oder „Security“.

Wie alle unterschiedlichen Security-Ticker auf einer Webseite aussehen, können Sie auf einen Blick auf der SecuTeach Beispiel-Webseite sehen.

Security-Informationen ohne Ticker per Twitter und RSS

Wer keinen passenden Ticker findet, kann auch auf Alternativen ausweichen. Eine mögliche Alternative ist es, die Tweets eines geeigneten Informations-Anbieters auf der Webseite einzubinden.Dazu benötigt man nur einen Twitter-Account über den man per “Einstellungen, Widgets, Neu erstellen“ ein Script zur Anzeige von Tweets auf der eigenen Webseite zu generieren.

Wählt man dann als Informationsquelle @secinsiderde aus, erhält man alle veröffentlichten Informationen von Securty-Insider.de. Sind dann alle Einstellungen getroffen, wählt man <Widget erstellen> aus und kann den generierten Code in seine eigene Webseite einbinden.

RSS-Feeds einbinden

Ebenso wie Twitter kann man auch einen RSS-Feed auf der eigenen Webseite als Security-Ticker einbinden. Üblicherweise benötigt man dafür nur einen RSS-Parser, also ein Konvertierungstool, welches aus RSS-Feeds einen darstellbaren Text generiert. Im Web ist dazu eine Vielzahl von Tools verfügbar – ggf. kann auch Ihr Web-Designer ein Werkzeug empfehlen.

Eine schnelle Umsetzung, um z.B. den RSS-Feed von Security-Insider.de auf der eigenen Webseite darzustellen bietet Feed2JS (Feeds To JavaScript).

Bei diesem Tool gibt man auf der „Build-Seite“ die gewünschte RSS-Eingabequelle an, einige optionale Parameter und erhält dann nach einem Mausklick auf „Generate JavaScript“ auf der rechten Bildschirmseite sein fertiges JavaScript.

Dieser Code kann dann wieder in die eigene Webseite eingebaut werden. Feed2JS ist ein zuverlässiges Werkzeug, allerdings gilt hier, wie bei Twitter, sollten die Services nicht zur Verfügung stehen, erfolgt auch keine Anzeige von Informationen. Wer dieses Risiko minimieren will, sollte daher mittelfristig eine Lösung einbauen, die von Dritten unabhängig funktioniert.

Tweets oder RSS-Informationen sind, abhängig vom Lieferant, ggf. nicht so spezifisch wie ein Security-Ticker, erfüllen aber prinzipiell auch den Informationsbedarf.

Sicherheitsbedenken

Die vorgestellten Security-Ticker erfordern mindestens zwei Dinge um zu funktionieren. Zum ersten eine JavaScript-Unterstützung durch den Browser und zweitens Vertrauen in den Betreiber des Ticker-Systems.

JavaScript ist inzwischen meistens aktiviert, weil viele Webseiten ohne JavaScript gar nicht mehr funktionieren. Wie es um das Vertrauen in den Betreiber aussieht, muss jeder für sich selbst entscheiden.

Generell bindet man Programmcode von einer fremden Quelle in die eigene Seite ein. Heute ist es ein guter Code, aber in einem Monat könnte dieser durch eine Cyber-Attacke ausgetauscht werden und völlig andere Inhalte liefern oder andere Aktivitäten ausführen (weiterleiten auf eine Phishing-Seite etc.). Ein derartiges Szenario ist nicht exklusiv mit einem Security-Ticker verbunden, sondern betrifft zahlreiche Fremd-Komponenten, die man einbindet.

Wer dieses Risiko minimieren will, muss entweder auf Fremd-Komponenten verzichten oder versuchen, die Fremd-Komponenten in seinem eigenen Umfeld zu betreiben. Dies wäre z.B. möglich, indem man eigene Skripte verwendet oder Fremdinhalte „mietet“ und diese dann selbst zur Verfügung stellt.

Fazit

Richtig ausgewählt und eingesetzt, können Security-Ticker dazu beitragen, Sicherheitsinformationen zu vermitteln und damit die Security-Awareness von Mitarbeitern und/oder Webseiten-Besuchern zu verbessern.

(ID:42455557)

Über den Autor