Sicherheit spielt (k)eine Rolle

Immer dreister und cleverer sei das Vorgehen der Hacker, und die Cybercrime-Kosten würden förmlich explodieren, meldete das Magazin „Focus“ im April 2018. Allein der deutschen Wirtschaft entstünden durch Internetkriminalität jährlich Kosten in Höhe von 55 Milliarden Euro. Die Lage hat sich seither nicht gebessert – eher im Gegenteil. Seitdem ich 1995 meine erste Website entwickelt und damals auch noch komplett selbst programmiert habe, sind die Themen Internetsicherheit, Datenschutz und Cyberverbrechen meine ständigen Begleiter. Wie so viele Kollegen fühle ich mich manchmal wie in einem Hase-und-Igel-Wettlauf: Kaum schließt man eine Sicherheitslücke, haben die Online-Kriminellen eine neue Masche ausgeheckt oder ein neues Einfalltor errichtet. Die Diskussion um die europäische DSGVO sowie die jüngsten Berichte über gigantische Datenlecks haben längst auch die breite Öffentlichkeit aufgeschreckt, auch wenn die erforderlichen Gegenmaßnahmen meist aus Bequemlichkeit oder Unvermögen leider unterbleiben.

Meine vielen Websites und sonstigen internetgestützten Projekte waren zwar schon unzählige Male das Ziel von Attacken, größerer Schaden jedoch wurde bislang zum Glück nicht angerichtet. Die Website, auf der Sie gerade diesen Text hier lesen, wurde im vergangenen Spätherbst tagelang jeweils zigtausendfach von vornehmlich russischen IP-Adressen aus zu knacken versucht, aber die getroffenen Sicherheitsvorkehrungen bewährten sich. Ein Kunde mit einer extrem kostengünstig auf Basis eines alten WordPress-Themes erstellten Website wurde vor knapp zwei Jahren Opfer eines mutmaßlichen Hackers aus Nordafrika, aber auch dort hielt sich der Schaden in Grenzen: Bis die Lücke entdeckt und geschlossen wurde, konnte der oder die Übeltäterin über ein veraltetes Skript fast drei Tage lang die Überschriften von Blogbeiträgen manipulieren, beschränkte sich dabei aber jedes Mal auf einen freundlichen Gruß mit Nennung des Namens „Alex“ – ihm oder ihr ging es offenbar nur um die Selbstbestätigung oder ein wenig Ruhm in der Szene. Es hätte deutlich schlimmer kommen können – zum Beispiel hätten die Überschriften ein angebliches Insolvenzverfahren oder Bestechungsvorwürfe behaupten können (und ich hatte mich schon auf einen entsprechenden Erpressungsversuch eingestellt).

„Viele Unternehmen sind für Cyberkriminelle leichte Beute“, so heißt es denn auch in einem Beitrag im „Handelsblatt“. Ich habe mit Experten gesprochen, die davon ausgehen, dass man bei jedem fünften Unternehmen die Datenbanken mit einer letztlich simplen Internet-Suchanfrage (sogenannte SQL-Injektionen) für Stunden unbrauchbar machen oder manipulieren kann – schlimm, wenn das „nur“ die Datenbank mit den Außendienstkontaktangaben ist, eine mittelschwere Katastrophe, wenn es den kompletten Online-Shop lahmlegt.

Aber auch bei massiver Gegenwehr gibt es leider keinen 100-prozentigen Schutz. Für das Geschäft eines meiner Hauptkunden sind bestmöglicher Datenschutz und eine hochsichere IT-Infrastruktur von zentraler Bedeutung. So heuerte er ein renommiertes Cyber-Security-Beratungshaus an, um die von mir konzipierte und redaktionell betreute Unternehmenswebsite im Rahmen eines sogenannten Penetrationstests auf Herz und Nieren, besser: auf Sicherheitsmängel und -risiken, zu testen. An zwei zufällig ausgewählten Tagen versuchten zertifizierte ethische Hacker, in unseren Administrationsbereich einzudringen und kleinere Programme einzuschleusen. Ich war über den Test informiert, wusste aber freilich nicht, wann und in welcher Form die Angriffe stattfinden würden. Auf die Ergebnisse war ich unglaublich gespannt.

Mitte Januar wurden uns die Resultate und der 36-seitige Abschlussbericht präsentiert, und mein Kunde und ich konnten insgesamt zufrieden sein: „Das Sicherheitsniveau der getesteten öffentlichen Website ist ausreichend; es wurden keine schwerwiegenden oder kritischen Schwachstellen entdeckt“, hieß es. Stets geht es dabei um fünf Schlüsselfaktoren: Wie häufig kommt die Schwachstelle vor („Prevalence“), wie leicht ist sie festzustellen („Detectability“), wie einfach lässt sie sich ausnutzen („Exploitability“), welchen Schaden kann sie ausrichten („Impact“) und wie hoch ist der Aufwand, um den Schaden wieder gutzumachen und zum Beispiel verloren gegangene Daten wiederherzustellen („Expenditure for Recovery“). Als durchaus wirksam hatten sich bei dem Test unsere Mechanismen erwiesen, um derartige Einbruchsversuche zu erkennen und zu melden („Intrusion Detection Mechanisms“). Dennoch habe ich einiges dazugelernt und die meisten Empfehlungen zur Erhöhung der Sicherheit unserer Website sind längst umgesetzt. Die wenigen Anfälligkeiten rührten übrigens fast komplett von alten Plug-ins her, die wir schon seit langer Zeit nicht mehr nutzten und die dadurch aus dem Blickfeld gerutscht waren.

Wer seine eigene Website sicherer machen will und dabei kein Budget für externe Bearter und Sicherheitsspezialisten hat, sollte umso mehr auf die Einhaltung aller Standards achten. Eine gute Übersicht (auf Englisch) findet sich in einem Beitrag auf der Kreativen-Plattform „Creative Bloq“ – die sechs in meinen Augen wichtigsten Tipps:

  • Software/CMS auf dem neuesten Stand halten
  • SQL-Injektion verhindern (parametrisierte Abfragen verwenden)
  • Sichere Passwörter verwenden (mindestens acht Zeichen, Großbuchstaben, Zahlen, Sonderzeichen – ein tolles Programm, um ganz bequem, schnell und kostenfrei die Sicherheit eigener Passwörter zu testen, gibt es hier bei Experte.de)
  • Datei-Uploads durch Nutzer vermeiden
  • Sicherheitswerkzeuge einsetzen (z. B. empfohlene/geprüfte WordPress-Plug-ins)
  • Und sowieso: HTTPS verwenden!

Ein guter prinzipieller Rat kommt von den Spezialisten der Garchinger HvS-Consulting AG: „Eines der Grundprinzipien bei der Sicherung von Infrastruktur und Anwendungen ist das ‚Muss-man-wissen‘-Prinzip. Je weniger ein Angreifer weiß, desto schwieriger ist es für ihn, Dienste zu identifizieren, Schwachstellen zu lokalisieren und auszunutzen oder den Angriff an das Ziel anzupassen. Obwohl es die Schwachstellen selbst nicht mindert, besteht die Möglichkeit, dass ein Angreifer sie nicht erkennt oder zumindest mehr Zeit für die Ausnutzung benötigt. Dies erhöht im Gegenzug auch noch die Chance, laufende Angriffe zu erkennen.“ Das betrifft den Aufbau von E-Mail-Adressen und Passwörtern ebenso wie auslesbare Skripte, die Programmbausteine oder Sicherungselemente verraten könnten, und letztlich geht es eben vor allem darum, Hackern das Handwerk schwer zu machen.

Im Zweifel empfehle ich, es mit Goethe zu halten und lieber auf Nummer sicher zu gehen: „Glaube dich nicht allzu gut gebettet, ein gewarnter Mann ist halb gerettet.“ Für die gewarnte Frau gilt das selbstverständlich auch. Wer es gerne etwas moderner hat, für den lasse ich Stéphane Nappo, Global Head Information Security der Société Générale, sprechen: „Eines der größten Cyber-Risiken besteht darin, zu glauben, dass es sie nicht gibt. Die andere ist, zu versuchen, alle potenziellen Risiken zu behandeln. Behebe das Grundlegende, schütze zuerst, was für dein Unternehmen besonders wichtig ist, und sei ansonsten bereit, angemessen auf relevante Bedrohungen zu reagieren.“ Schwer genug, aber mit Sicherheit der richtige Weg.