Hackerangriffe auf Websites sind zur Normalität im Internet geworden. In den vergangenen zwei Jahren hat nahezu jedes dritte Unternehmen in Deutschland Angriffe auf seine IT-Systeme verzeichnet, so eine repräsentative Umfrage des Hightech-Verbands Bitkom. Für kleinere als auch größere Unternehmen birgt die stetig steigende Internet-Kriminalität viele Risiken. Beispielsweise droht der Verlust von Geschäftsgeheimnissen (Datenklau) oder der Spam-Versand. Mit einer regelmäßigen Wartung können Sie sich jedoch gegen Angriffe und Datenklau absichern und sich vor immensen Schäden schützen, auch finanzieller Art. In diesem Blogeintrag stellen wir Ihnen wichtige Maßnahmen vor, wie Sie eine sicherere Website erstellen und damit Sie sich und Ihre Nutzer schützen können.
Auswahl des CMS und des Webhosters
Der erste Schritt zur Ihrer sicheren Website sollte schon bei der Entwicklung Ihres Internetauftritts erfolgen. Dabei spielt sowohl die Wahl des richtigen Content-Management-Systems (CMS), als auch die Qualitätssicherung von eventuell eigen-entwickelten Erweiterungen eine große Rolle.
Sorgen Sie dafür, dass Sie die Web-Applikations-Firewall und alle anderen Sicherheitsfeatures Ihres CMS installieren bzw. aktivieren. Auch das Einrichten eines eigenen Anti-Malware-Schutzes auf dem Webserver ist sinnvoll. Gute Webhoster haben zudem eine Software zum Erkennen von Angriffen (Angrifferkennungssystem oder Intrusion Detection System, IDS) vorinstalliert. Wenn Sie sich nicht sicher sind, ob das bei Ihrem Anbieter der Fall ist, fragen Sie nach.
Die drei Säulen einer sicheren Website
1. Sichere Kennwörter
Eine der häufigsten Schwachstellen einer Website sind einfache Standardpasswörter, die nicht geändert wurden. Verwenden Sie ausschließlich eigens generierte sichere Kennwörter. Nutzen Sie dabei nicht Wörter, die im Wörterbuch stehen, sondern stattdessen verschiedene Kombinationen von Buchstaben, Zahlen und Zeichen.
Nutzen Sie niemals ein Passwort doppelt! Wenn Sie sich die Passwörter nicht merken können, ist ein Passwort-Manager eine gute Investition. Diese Programme speichern alle Logins sicher und Sie brauchen sich nur noch einen einzigen Login merken.
Seien Sie auch vorsichtig bei der Weitergabe Ihrer Passwörter. Wenn Sie Passwörter weitergeben wollen, sollte dies nicht per E-Mail oder über ein Chat-Programm erfolgen. Auch wenn es etwas umständlicher ist: Telefonieren Sie und buchstabieren Sie die Login-Daten lieber.
Generell gilt: Tauschen Sie Ihre Passwörter mindestens einmal pro Jahr aus. Wenn jemand anderes als Sie an Ihrer Website arbeitet, sollten Sie demjenigen lieber einen Gast-Account einrichten. Sie können dabei bestimmte Zugriffsrechte einschränken und den Account löschen, wenn er nicht mehr benötigt wird.
2. Automatisierte Backups
Sichern Sie Ihre Daten regelmäßig, häufig und vollständig – spätestens vor jedem Update. Richten Sie dazu automatisierte Backups ein. Und testen Sie, ob Sie mit Ihrem Backup Ihre Website wieder herstellen können.
3. Sicherheitsbezogene Updates
Installieren Sie insbesondere Sicherheitsupdates immer zeitnah und halten Sie sich mit sicherheitsbezogenen Newslettern auf dem Laufenden. Sie können sich zusätzlich auf der Webseite der Webanwendung oder bei der dazugehörigen Community informieren. Die Sicherheitsupdates lassen sich meist einfach und fast vollautomatisch installieren. Erstellen Sie vor den Updates ein vollständiges Backup Ihres CMS (Dateien und Datenbank).
Zusammenfassung
Eine sichere Website ist keine Zauberkunst. Stellen Sie das Thema Wartung nicht hinten an, sondern kümmern Sie sich intensiv und ständig um die Sicherheit Ihrer Website:
- Wählen Sie ein sicheres Content-Management-Systems (CMS) aus
- Aktivieren Sie alle Sicherheitsfeatures des CMS
- Setzen Sie eine Firewall und ein Angriffserkennungssystem ein
- Testen Sie Ihre Webseite auf Sicherheitslücken
- Abonnieren Sie sicherheitsbezogene Mailinglisten, Nachrichtenquellen und Blogs ausgewählter Sicherheitsspezialisten
- Verwenden Sie sichere Passwörter und tauschen Sie sie regelmäßig aus
- Installieren Sie zeitnah Sicherheitsupdates
- Richten Sie einen automatischen Backup-Prozess ein
- Schützen Sie Ihr Backend vor Zugriff mittels zusätzlichem Verzeichnisschutz
- Nutzen Sie verschlüsselte Verbindungen (SSL) zu Ihrem Server
Was sind Ihre Erfahrungen? Welche Maßnahmen setzen Sie um? Wir freuen uns über Ihre Tipps und Tricks in den Kommentaren!