Better safe than sorry – Regeln für sichere Websites

Veröffentlicht am 17. Februar 2011 in der Kategorie IT & Technik von

Themen: , , , ,

Eine Internetpräsenz ist oft das zentrale Aushängeschild von Unternehmen und Organisationen. Störungen können hier fatale Folgen haben. Verliert ein Unternehmen 20% seiner Daten führt das in 60% der Fälle zur Insolvenz.

Das Eindringen in fremde Webseiten ist zudem nicht mehr ein Hobby von Freizeithackern, sondern wurde mittlerweile zu einem wirtschaftlich genutzten Kriminalitätsfeld. Immerhin gelang es Hackern im Mai 2010, sogar in die Internetpräsenz des Finanzministeriums der Vereinigten Staaten  einzudringen und sie zu manipulieren. Jüngst ist sogar eine Liste mit Zugängen zu Militär- und Behörden-Websites aufgetaucht. Diese Informationen standen zum Verkauf. Vermutlich hatten Hacker einen automatischen Scan auf SQL-Injection Schwachstellen durchgeführt und danach diese mittels eines automatisierten Exploits geknackt.

Doch ist es relativ einfach, diese Gefahren abzuwehren, wenn man einige Punkte berücksichtigt.  Zunächst muss man sich bewusst sein, dass ein wirksamer Schutz in der ständigen Wachsamkeit liegt. Einmal etablierte umfassende Maßnahmen können schon nach kurzer Zeit veraltet sein. Daher müssen die Betreiber einer Webseite die Schutzmaßnahmen immer auf Aktualität prüfen.

Maßnahmen für mehr Sicherheit

Doch welche Schritte kann ein Betrieb konkret unternehmen, um die eigene Präsenz im Internet so sicher wie möglich zu machen? Der erste Ratschlag klingt banal: Wachsamkeit. Oft kündigen sich Angriffe durch atypisches Verhalten der Webseite an. Daher ist bei jedem noch so geringem Verdacht sofort zu reagieren und das System auf Angriffe zu überprüfen. Ein Ansprechpartner hierfür sind spezialisierte Berater wie beispielsweise dem Cert.

Dem folgt eine kontinuierliche Datensicherung. Dabei ist zu beachten, dass einige Generationen von Backups vorliegen. Damit ist sichergestellt, dass die Systemverantwortlichen auch spät erkannte Bedrohungen durch eine Wiederherstellung tilgen können. Eine Rückkehr zu einem älteren, nicht infizierten Stand ist damit möglich.

Eine wichtige Rolle spielt die ständige Aktualisierung der Systeme. Da Angriffe oft seine Schwachstellen ausnutzen, führt ein regelmäßiges Fahren von Updates zu einer Minimierung der Risiken durch dieses Einfalltor. Softwarehersteller reagieren zeitnah auf bereits bekannte Bedrohungen und veröffentlichen regelmäßig Aktualisierungen ihrer Plattformen und Anwendungen.

Log-Files geben Aufschluss über unternommene Angriffe. Deswegen ist es ratsam, die Systemaufzeichnungen regelmäßig zu überprüfen. Je nach Art der Attacke kann man Rückschlüsse auf verwundbare Stellen ziehen. Da sie bei der Abwehr und der anschließenden Reinigung des Systems gute Dienste leisten, sollte man Log-Files vollständig archivieren.

Der nächste Ratschlag betrifft den Einsatz von Integritäts-Kontrollwerkzeugen. Diese helfen dem Systemadministrator bei der Überprüfung der Konsistenz seiner Daten. Sie bieten außerdem Aufschluss über Manipulationen an systemrelevanten Dateien. Diese Werkzeuge sind entweder im Content Management System integriert oder als externe Applikationen verfügbar.

Zusätzlich zu den ohnehin schon im CMS eingebauten „Bordmitteln“ sollte man zu einem Intrusion Detection System (IDS) greifen. Seine Aufgabe ist es, Angriffe aufzuzeigen, vor denen man sich durch ein Intrusion Protection Systems (IPS) abwehren kann.

Selbstverständlich müssen die Firewall der Webapplikation sowie alle Sicherheitsfeatures des CMS aktiviert sein. Diese umfassen beispielsweise Einmal-Passwörter, IP-basierte Authentifizierung oder Abnormal Activity Blocker.

Neben dem eigenen Know-How hilft die Hinzuziehung externer Berater, die die eigene Web-Präsenz auf Sicherheitslücken überprüfen. Dieser Prozess sollte regelmäßig stattfinden. Hinzu kommt, das Befolgen von Best-Practice und Webhygiene-Regeln.

Zu guter Letzt sollte noch darauf geachtet werden, dass man viele Probleme bei der Auswahl der richtigen Software von vornhinein ausschließen kann. Die verwendeten Web-Applikationen sollten bereits unter Beweis gestellt haben, stabil zu laufen. Betaprodukte gehören nicht in den operativen Betrieb.

Womit sollte sich ein Administrator täglich befassen? Zunächst muss er sich über die Nachrichtenlage informieren. Sicherheitsbezogene Nachrichtenquellen und Blogs ausgewählter Sicherheitsspezialisten bieten Hinweise über Zero-Day-Sicherheitslücken und andere kritische Schwachstellen. Anschließend gehört ein Blick auf die IDS/IPS Log-Files zum täglichen „Rundgang“. Danach geben die Login-Logfiles Aufschluss über eventuelle Einwahlversuche von unberechtigten IP-Adressen aus. Die Installation von Updates für Software und Plugins schließt die tägliche Routine ab.

Maßnahmen im Ernstfall

Wie erkennt man nun, ob das eigene System infiziert ist? Hier gibt es eine Reihe von Indikatoren, die die Alarmglocken schrillen lassen sollten. Unbekannter Code auf den HTML-Seiten ist ein untrügliches Zeichen dafür. Oft sind es unsichtbare oder kleine iFrames bzw. Javascript-Code. Ein weiteres Indiz ist es, wenn der Integritätsscanner mitteilt, dass jemand die Seite ohne das Wissen der Systemverantwortlichen verändert hat. Plötzlich ansteigende Aktivität auf den Seiten oder eine Rückmeldung des IDS/IPS erfordert ebenfalls schnelles Eingreifen. Letzteres deutet darauf hin, dass Angreifer die Webseite austesten und bereits bis zum IDS/IPS vorgedrungen sind. Malware befällt meistens die Startseite. Wenn im HTML-Code ein unbekanntes Javascript oder iFrame-Tag Daten von einer chinesischen Website lädt, ist zu 99% von einer Infektion auszugehen. Gleiches gilt, wenn von anderen Systemen Rückmeldungen kommen. Hier ist auf das Feedback von Besuchern und anderen Website-Betreibern zu achten.

Was tun, wenn es doch passiert ist? Zunächst sollte man einen Anti-Virus bzw. Anti-Rootkit Scanner mit maximaler Untersuchungsintensität über die Webseite laufen lassen. Oft kann man so die Bedrohung durch den Scanner bekämpfen. Falls das aufgrund der Architektur des Betriebssystems nicht möglich ist, hilft eine manuelle Reinigung. Dazu muss man zunächst die Eigenheiten des Virus kennen. Beschreibungen in öffentlichen Datenbanken wie beispielsweise der Kaspersky Enzyklopädie (www.viruslist.de) helfen bei der Analyse. Eine Integritätskontroll-Funktion erspart es dem Administrator, alle Dateien manuell nach Schadcode durchsehen zu müssen. Wahlweise kann man auch ein Integritätsprüfungswerkzeug des CMS verwenden – falls vorhanden. Ein solches Werkzeug sollte daher Bestandteil der Kriterien Liste zur Auswahl eines CMS sein.

Da damit zu rechnen ist, dass die Bedrohungen aus dem Internet eher zu- als abnehmen, sollte die Sicherheit der eigenen Web-Präsenz nicht auf die leichte Schulter genommen werden. Neben dem Imageschaden kann ein Ausfall bzw. Störung auch harte Euro kosten und in besonders schweren Fällen dem Unternehmen nachhaltig Schaden zufügen. Außerdem sind auch rechtliche Konsequenzen möglich, wenn durch einen Angriff der Datenschutz verletzt wird.

(Bild: © Dark Vectorangel - Fotolia.com)