Website-Sicherheit: ein wichtiges Thema für kleine Unternehmen

Gestern lief „Stirb langsam 4.0“ im Fernsehen. Da soll Bruce Willis einen Hacker zur Vernehmung zur Homeland Security bringen. Dieser Hacker hat einen Code geschrieben, mit dem die Kriminellen in Systeme einbrechen und diese für ihre Zwecke missbrauchen. Es ist ein Kinofilm und (hoffentlich) fern jeder Realität. Aber Du solltest auf keinen Fall unterschätzen, wie gefährlich Cyberangriffe auf Deine Website sind. Nicht nur bekannte Unternehmen werden zum Ziel zu werden. Auch Deine Website ist in Gefahr!

Viele Angriffe erfolgen heutzutage automatisiert mit komplexen Algorithmen und Anwendung von Künstlicher Intelligenz. Es kommt zu Massenattacken auf populäre und verbreitete Content-Management-Systeme (CMS), wie zum Beispiel WordPress. Dabei sucht ein Bot Deine Website nach Schwachstellen ab und nutzen diese, um in das System einzudringen und Schaden anzurichten.

Mein Ziel ist es, Dein Bewusstsein zu schärfen und Dir Möglichkeiten aufzeigen, wie Du Deine Website sicherer machst.

Warum ist Sicherheit so wichtig?

Keine Website ist gegen Hackerangriffe immun. Allerdings haben einige ein besseres Immunsystem (Sicherheitsnetz) als andere. In den letzten Jahren haben Cyberangriffe stark zugenommen. Die Sicherheit Deiner Website ist also wichtiger als jemals zuvor. Bereits ein kleines Datenleck kann für Dein Unternehmen schwerwiegende Folgen haben, wie:

• Hohe Kosten und großer Aufwand, um verursachte Schäden zu beseitigen.
• Verlust von Daten wie z.B. E-Mail-Adressen und Zahlungsinformationen Deiner Kunden.
• Produktivitäts- und Umsatzausfälle durch eine nicht funktionierende Website oder Webshop.
• Imageschaden durch den Ausfall Deiner Website.
• Verlust Deines SEO-Rankings, weil Deine Seite von Google als nicht mehr sicher eingestuft wird.

Im schlimmsten Fall drohen Dir zusätzlich zivilrechtliche Klagen. Besonders, wenn Informationen über Kreditkartendaten oder Kontonummern in falsche Hände geraten. Laut Datenschutzgrundverordnung hast Du als Website-Betreiber*in eine Sorgfaltspflicht: Du musst sensible Nutzerdaten ausreichend schützen!

 

Welchen Angriffsmöglichkeiten kann Deine Seite ausgesetzt sein?

Es gibt zahlreiche Angriffsvarianten, denen Deine Website ausgesetzt sein könnte. Laufend kommen neue dazu. Cyberkriminelle sind sehr kreativ und erfinderisch. Wenn Du eine Website hast, ist die Wahrscheinlichkeit hoch, dass sie bereits Ziel von einem der folgenden Angriffe geworden ist:

Brute-Force-Attacken
Hier versuchen Hacker, eine typische Schwachstelle von Internet-Usern auszunutzen

→ schwache Passwörter und Benutzernamen

Viele Menschen sind unvorsichtig, wenn es um die Wahl ihrer Passwörter geht. Sie wählen ein „typisches“ Passwort, das von Computerprogrammen schnell erraten werden kann. Ist der Benutzername des Administrators einer Website dann auch noch „Admin“, haben Hacker ein leichtes Spiel. Bei einer typische Brute-Force-Attacke versucht der Bot zigfach, sich mit diesen typischen Anmelde-Daten in eine Website einzuloggen.

Leider sind sehr viele dieser Attacken erfolgreich. Dadurch können Hacker ohne Probleme mit der Administratoren-Rolle auf einer Seite wüten.

Maleware
Das ist kein Angriff, sondern das Ergebnis eines geglückten Hack-Versuchs. Hacker schleusen in Deine Website ein toxisches Stück Code ein. Das passiert meist, ohne dass Du es merkst. Es liegt im Interesse des Hackers, so lange wie möglich unbemerkt zu bleiben. In den häufigsten Fällen wird hier ein wirtschaftliches Interesse verfolgt. Der Schaden für Dein Unternehmen kann enorm sein. So ein schadhafter Code kann zum Beispiel Folgendes bewirken:

SEO-Spam

Hacker implementieren Links auf Deiner Website, ohne dass Du es merkst. Das geschieht vor allem auf Seiten die in Suchmaschinen gut ranken. Diese Links führen häufig zu unseriösen Seiten. Die Folge: Du verlierst nicht nur Besucher und Kunden, sondern auch Dein hart erarbeitetes SEO-Ranking. Google straft unsichere Seiten rigoros ab.

Backdoor

Hacker verschaffen sich dauerhaften Zugang als Administrator auf Deiner Website. Sie platzieren Malware, treiben Unfug mit Design und Texten oder sperren Dich aus Deiner eigenen Seite aus.

Mailer

Ein Mailer ist ein Skript, das E-Mails von Deiner Website versendet, ohne dass Du zugestimmt hast. Die typischen Spam-Schutzmechanismen greifen dabei nicht. Diese Form der Maleware wird häufig für Phishing-Attacken verwendet.

Defacement (Verunstaltung)

Deine Website wird unberechtigt verändert. Dabei werden von Hackern beispielsweise die CSS-Dateien infiziert, um das Layout Deiner Website zu verunzieren.

E-Commerce-Maleware / Kreditkarten-Stealers

Diese Form der Angriffe hat vor allem in den letzten Jahren massiv zugenommen. Dabei werden Kreditkarten- oder Kontodaten von Kunden in Online-Shops ausgelesen und für betrügerische Zwecke missbraucht. Der finanzielle Schaden für die Betroffenen kann groß sein. Entgegen den anderen Angriffsformen wird hier individuell gearbeitet und die betroffenen Webshops werden gezielt ausgesucht.

 

Cross-Site-Scripting (XXS)
Hier wird ein Skript, das auf der Programmiersprache Javascript basiert, auf Deiner Website eingefügt. Es fängt die Daten der Besucher ab. Landet ein Besucher auf einer mit Cross-Site-Scripting infizierten Seite, können Angreifer jene Daten auslesen, die der Internetnutzer in seinem Browser gespeichert hat. Das können Kreditkartendaten, Benutzernamen und Passwörter sein. Wie groß der angerichtete Schaden ist, hängt davon ab, wie sensibel die geklauten Daten sind.

Quiz: Mitarbeiterin des Monats oder Büroschläferin?

Teste doch mit einem Quiz, wie gute Deine Website bereits für Dich arbeitet. Ist sie die Top-Performerin oder eher die Schlaftablette der digitalen Welt.

Lass Dich überraschen und erfahre mehr über Deine Mitarbeiterin. Mit dem Ergebnis erhälst Du ein paar Tipps, wie Du Deine Website zur echten   Wonder Woman machst.

 

Wie stellst Du fest, ob Deine Website betroffen ist?

Nach allem, was Du hier gelesen hast, möchtest Du nun sicherstellen, dass Deine Website noch nicht gehackt wurde? Ich erkläre Dir, wie Du am besten vorgehst.

Die schnellste und einfachste Möglichkeit, Deine Website auf Schwachstellen und Maleware zu überprüfen, ist die Nutzung eines Online-Scanner-Tools. Du gibst Deine URL in das dafür vorgesehene Feld ein und das Tool scannt Deine Website. So können häufige Probleme identifiziert werden. Da Du dafür keine eigene Software oder ein Plugin benötigst, ist es mega bequem und easy. Es gibt im Internet zahlreiche Online-Scanner zur Auswahl. Einfach in der Handhabung ist zum Beispiel Sucuri Sitecheck.

Sollte beim Scannen Deiner Website Maleware oder Schwachstellen entdeckt werden, wendest Du Dich am besten an einen Profi, um Deine Seite säubern zu lassen.

Wie schützt Du Deine Website gegen Cyberangriffe?

Vermeide all den Ärger und Zeitaufwand, den eine gehackte Website mit sich bringt. Schütze Deine Seite von Anfang an so gut wie möglich. Wie Du das am besten machst, verrate ich Dir jetzt. Da WordPress das gängigste CMS auf dem Markt ist, beziehen sich manche Tipps speziell auf dieses System.

Hosting

Auf einige Sicherheitsmaßnahmen hast Du nicht viel Einfluss, da sie auf Server-Ebenen vorgenommen werden müssen. Hier ist die wirkungsvollste Maßnahme, einen sicheren Hostinganbieter zu nutzen. Zum Ersten solltest Du nur einen Anbieter verwenden, der seine Server in der EU (vorzugsweise in Deutschland oder Österreich) stehen hat. Das ist schon aus datenschutzrechtlichen Gründen relevant.
Zum Zweiten solltest Du sicherstellen, dass Dein Hostinganbieter folgende Features mitbringt:

• SSL-Verschlüsselung
• Automatische Back-ups
• Malware Scan
• Virenscanner und Spamfilter

Mein Tipp: Wenn Du Dein Hosting über Deine Webdesignerin beziehst, frag nach, mit welchem Anbieter sie arbeitet und was es alles beinhaltet. Möchtest Du Dein Hosting selbst bei einem Anbieter kaufen, dann überprüfe, wo die Server stehen und ob die oben genannten Features inkludiert sind.

Passwörter

Ein schwaches Passwort macht es leicht, mit Brute-Force-Programmen in Deine Website einzubrechen. Es mag Dir mühsam vorkommen, sich ein kompliziertes Passwort zu merken, aber denk daran: Es ist erheblich unangenehmer und aufwendiger, eine gehackte Seite wieder herzustellen.

Mein Tipp: Verwende ein Passwort aus einer Kette mit zufälligen Zeichen. Es sollte Groß- und Kleinbuchstaben sowie Satz- und Sonderzeichen enthalten. Wenn Du es nicht selbst erstellen möchtest, gibt es Passwort-Manager, die ein entsprechendes generieren.

SSL-Zertifikat

Ein SSL-Zertifikat ist ein Netzwerkprotokoll zur sicheren Übertragung von Daten. Es verschlüsselt Daten, die zwischen zwei Systemen übertragen werden. So können Dritte diese nicht auslesen oder manipulieren. Es bestätigt auch, dass der Server, auf dem die Website gehostet wird, vertrauenswürdig ist.

Mein Tipp: Stell sicher, dass Dein SSL-Zertifikat aktiv und aktuell ist. Das erkennst Du entweder am durchgestrichenen Schloss neben Deiner URL in der Kopfzeile oder Du überprüfst es mit einem SSL-Zertifikats-Checker.

Updates

Für Dein CMS (z. B. WordPress), das verwendete WordPress-Theme und die Plugins gilt: Sicherheitsupdates sind wichtig. Der Vorteil von so bekannten Lösungen wie WordPress ist die große Internet-Community. Sie entwickelt das CMS laufend weiter und erkennt Sicherheitslücken rasch. Du kannst von diesem Vorteil aber nur profitieren, wenn Du Dein System immer auf dem neuesten Stand hältst.

Mein Tipp: WordPress bietet Dir die Funktion „automatische Aktualisierungen aktivieren“ an. Wenn Du nicht täglich in Deinem Backend nachsehen möchtest, ob Updates verfügbar sind, kannst Du diese Einstellung aktivieren. Nimmt das System eine Aktualisierung vor, erhältst Du eine Information per E-Mail.
Achtung: Wenn Deine Seite mit einem Page Builder wie Elementor oder Gutenberg arbeitet, solltest Du diese zwei Plugins nicht automatisch aktualisieren lassen, sondern es manuell durchführen.
Wieso? Es besteht ein Risiko, dass es nach dem Update zu Fehlern kommt. Zum Beispiel, weil sich zwei Plugins in die Quere kommen. Bevor Du diese Plugins updatest, solltest Du auf jeden Fall ein Backup machen.

Back-ups

Du solltest regelmäßig Back-ups Deiner Website machen. Das ist aus mehreren Gründen ratsam.

  • Sollten es Hacker doch auf Deine Website schaffen, überschreiben oder löschen sie manchmal ganze Datenbanken, um ihre Spuren zu verwischen. Hast Du die wichtigsten Inhalte gesichert, erleichtert es die Wiederherstellung.
  • Bei einem Standard-Update kann es passieren, dass individuell angepasste Systemdateien überschrieben werden.
  • Sollte Deine Seite, oder Teile davon, nicht mehr funktionieren, musst Du nicht alles neu erstellen, sondern kannst das Back-up einspielen.

Mein Tipp: Versichere Dich, dass Dein Hosting-Anbieter regelmäßige Back-ups von Deinen Daten macht. Zusätzlich installierst Du ein Plugin in WordPress (ich verwende „Duplicator“) und machst vor jedem Standard-Update, nach jeder Änderung auf Deiner Website und nach jedem Update eines Plugins (Du wirst ja per Mail benachrichtigt) ein Back-up Deiner Website. So bist Du gegen alle unangenehmen Überraschungen abgesichert.

Log-in-Daten

Dass Zugangsdaten sicher sind, sollte selbstverständlich sein. Doch in der Realität sieht das leider anders aus. Zu den beliebtesten Passwörtern zählt immer noch die Zahlenfolge „123456“. Zudem übernehmen viele Nutzer den vom System vorgeschlagenen Benutzernamen „Admin“ oder „Administrator“. Dieser Faktor in Kombination mit einem schwachen Passwort öffnet Hackern Tür und Tor.

Mein Tipp: Achte auf einen individuellen Benutzernamen und ein starkes Passwort. Du kannst bei Deinem Benutzernamen kreativ sein. Er er sollte aber nie offensichtlich mit Dir in Zusammenhang stehen.

Zwei-Faktor-Authentifizierung (2FA)

Diese Methode kennst Du sicher schon von Deinem Online-Banking. Dabei wird ein weiterer Anmeldeschritt hinzugefügt. Nach der üblichen Anmeldung im jeweiligen System mit Benutzernamen und Passwort muss der Log-in noch durch ein unabhängiges Gerät (z. B. ein Smartphone) bestätigt werden. Das kann

  • ein Zusatzcode sein, der auf Dein Handy geschickt wird;
  • eine E-Mail, mit der Du Dich verifizieren musst, oder
  •  eine Information, die nur Du kennst.

Mein Tipp: Wenn Du eine Website oder einen Online-Shop hast, der sensible Daten speichert, installiere ein entsprechendes Plugin auf Deiner WordPress-Seite. So kann sich selbst dann niemand unbefugt Zugriff zu Deiner Website verschaffen, wenn Passwort und Benutzernamen doch mal in falsche Hände geraten

Fazit

Ein absolut sicheres IT-System gibt es nicht. Grundsätzlich ist WordPress ein sehr verlässliches CMS, da es laufend weiterentwickelt wird und Sicherheitslücken geschlossen werden. Jedoch ist es aufgrund seiner Bekanntheit auch ein beliebtes Ziel für Cyberkriminelle. Unabhängig davon, wie bekannt und groß Dein Unternehmen ist.

Wenn Dir die Sicherheit Deiner Website wichtig ist (und dass sollte sie sein) dann hast Du viele Möglichkeiten, sie vor unerlaubten Zugriffen zu schützen. Hacker gehen meist den Weg des geringsten Widerstandes. Je schwerer Du es ihnen machst Deine Seite zu knacken, desto eher suchen sie sich ein neues, leichteres Ziel. Und glaub mir, solche finden sie im „www“ zu Hauf!

Kurz zusammengefasst:

  • Wähle einen Hosting-Anbieter, der auf Sicherheit Wert legt.
  • Beauftrage eine Webdesignerin mit dem Erstellen Deiner Website, die auch den Sicherheitsaspekt ausreichend berücksichtigt.
  • Kümmere Dich nach Übergabe der Website um regelmäßige Updates, oder gibt die Verantwortung an einen Profi ab.

Manchmal ist es nicht die beste Wahl, den günstigsten Anbieter zu wählen. Sowohl beim Hosting als auch beim Webdesign. Vergewissere Dich, dass die Sicherheit Deiner Website gewährleistet ist. Sonst kann eine günstige Website am Ende sehr teuer werden.

Illustration einer Fee mit dunklen kurzen Haaren einem pinken Kleid Feenstab

Noch Fragen? - Dann los 🙂

Deine Daten behandle ich selbstverständlich streng vertraulich. Nähere Informationen zur Datenverarbeitung sind in meiner Datenschutzerklärung im Kapitel „Kommunikation“ zu finden.