Rütteln am digitalen Sicherheitsgefühl

Alle meine Kunden haben eine eigene Website. Manche auch mehrere. Und zumindest fast alle meine Kunden hatten damit schon einmal mehr oder minder große Sicherheitsprobleme. Mir geht es da nicht anders. Die Website, auf der Sie im Moment lesen, erlebt seit etwa anderthalb Tagen die bislang massivste Angriffswelle mit fast ständigen, zumindest teilweise koordiniert wirkenden Einbruchsversuchen. Besonders ungewöhnlich: Anders als sonst kommen die Angriffe nicht überwiegend oder fast ausschließlich aus klassischen Hacker-Staaten, sondern von Rechnern aus allen Teilen der Welt (herausfinden lässt sich das ganz einfach, z. B. hier).

Solche Angriffe zu erkennen, abzuwehren und im Idealfall schon im Vorfeld unmöglich zu machen, kostet Mühe. Und gerade weniger internetaffinen Menschen auch Nerven. Kein Wunder – die sogenannte Internetkriminalität scheint allgegenwärtig und fast unbesiegbar zu sein. „Rund die Hälfte der mittleren und großen Unternehmen in Deutschland wird einmal pro Woche von Cyberkriminellen attackiert“, so das Magazin „Markenartikel“. Und auch wenn nichts Ernsthaftes passiert, beschleicht viele ein mulmiges Gefühl. Gut nachempfinden lässt sich das mit der Echtzeitweltkarte der Cyberbedrohung des russischen IT-Sicherheitsspezialisten Kaspersky: Ständig blitzen da rund um den Globus Spuren von Viren, Spam-Mails, Phishing-Manövern oder DDoS-Attacken auf. Aber was tun?

Der erste Schritt, zu dem ich jedem Website-Betreiber dringend rate, ist für viele zugleich der schwerste: Sich von dem Wunschtraum völliger Sicherheit im Internet verabschieden und die Bedrohung realistisch einschätzen! Der zweite Schritt: Vorkehrungen treffen! Denn „die Kosten des Nichtstuns sind weitaus höher als die Kosten des Handelns“, wie es die EU-Kommissarin für die Digitale Agenda, Neelie Kroes,  einmal formulierte. Hier sind die nach meiner Erfahrung wichtigsten Empfehlungen, bei denen ich mich im Zweifel wegen der hohen Verbreitung auf WordPress-basierte Websites beschränke:

  1. Auf den richtigen Hosting-Anbieter achten. „Der Hosting-Provider kann server- und netzwerkseitige Risiken und damit einen Großteil der Gefährdungen abfedern“, heißt es dazu auf Security-Insider.de. Das kann auch heißen, dass man gelöschte oder korrumpierte Daten einigermaßen leicht wiederherstellen kann.
  2. Bei allen Administratoren und Autoren für ein sicheres Passwort sorgen. Und immer schön für sich behalten!
  3. Nur bewährte und möglichst wenige WordPress-Plugins nutzen, und die stets aktuell halten.
  4. Für alle Fälle regelmäßig Sicherungen anlegen, z. B. ganz simpel mit dem Plugin BackUpWordPress.
  5. Viren und Schadsoftware abfangen, z. B. mit Wordfence Security.
  6. Bei Chats und Kommentarfunkltionen eine Spam-Abwehr aktivieren, z. B. mit Akismet.
  7. Unerwünschte Besucher und potenzielle Hacker draußen halten und bei Bedarf zeitweise sperren – mein Favorit: Limit Login Attempts („Zu viele ungültige Anmeldeversuche“). Dann rüttelt zwar jemand an meiner digitalen Tür, aber bekommt sie nicht auf und muss abziehen ohne Schaden anzurichten, wie es ein erfahrener Forumsteilnehmer beschrieben hat.
  8. Hartnäckige Einbrecher stoppen und per IP-Adresse ganz von der Seite verbannen, z. B. mit IP Ban.

Nach meinem Dafürhalten sollten man die Sicherheit der eigenen Website nicht auf die leichte Schulter nehmen und immer wieder systematisch nachbessern. Verrückt machen lassen sollte man sich aber auch nicht. „Es gibt keine Sicherheit, nur verschiedene Grade der Unsicherheit“, so der russische Impressionist Tschechow. Und spätestens seit Epiktet wissen wir doch: „Es sind nicht die Dinge an sich, die uns beunruhigen, sondern das, was wir über die Dinge denken.“