In 7 Schritten zur sicheren Website

7schritte-sicherer-website

Würdest du dein Auto in einem „hoch-kriminellen“ Viertel stehen lassen? Würdest du Windows ohne aktuellem Antiviren-Programm verwenden?

Wahrscheinlich nicht. Leider ist uns dieses Sicherheits-Bewusstsein für unsere Website fremd. Dabei ist das Internet die Plattform mit den meisten kriminellen Machenschaften. Die meisten von uns beachten nichtmal die einfachsten und notwendigsten Punkte zur Website-Sicherheit. Gerade als Agentur ist es besonders wichtig, dass die Websites der eigenen Kunden perfekt laufen und es keine Sicherheitsprobleme gibt.

Wie schlecht steht es wirklich?
Was passiert bei einem Hacking?

Diese 7 Sicherheits-Maßnahmen solltest du beachten!

Diese Fragen möchte ich nun hier klären …

 

Wie schlecht steht es um die Sicherheit - Fakten

Die Sicherheit von Websites wird derzeit noch sehr auf die leichte Schulter genommen. Jedes Monat werden unzählige Websites gehackt. Oft auch mit großen Schaden für Betroffene.
Folgende Zahlen verdeutlichen, wie stark hier der Nachholbedarf ist:

86% aller Website haben mindestens eine ernstzunehmende Sicherheitslücke.
66% aller Websites können immer noch das Ziel von SQL injections  und cross-site-scripting werden.
73% aller WordPress Seiten sind aufgrund mangelnder Updates und veralteter Extensions gefährdet.
30 Minuten nachdem eine neue Wordpress Seite online geht, versuchen Hacker diese zu attackieren.

 

Was passiert bei einem Hacking

hacking

Die Folgen eines Hackings können vielseitig sein. Es entsteht aber zu 99% ein Schaden - und nicht nur weil vielleicht jemand klagt oder etwas verloren geht - nein auch der Aufwand zur Behebung muss berücksichtigt werden. Meist können solche Schäden nur sehr schwer und mit viel Aufwand behoben werden. Unzählige Dateien müssen kontrolliert und auf Schad-Code durchsucht werden.

Was aber passiert bei einem Hacking wirklich? Ein solches Hacking passiert ja meist durch eine Person bzw. einem Programm, welches von einer Person (Hacker) geschrieben wurde. Die Folgen eines Hackings können vielseitig sein - eine der häufigsten Folgen sind:

  • Website Elemente bzw. Inhalte werden gelöscht. Dies kann je nach Daten und Ausmaß einen großen Schaden verursachen.
  • Die Website wird lahmgelegt - d.h. der Server wird durch (DDoS-Attacken) so stark ausgelastet, dass dieser in die Knie geht und die Website nicht mehr erreichbar ist.
  • Die Website leitet nur mehr auf andere Websites um. Dabei wird dann aber meist auf Glückspiel-Seiten oder anderen dubiosen Websites weitergeleitet. Das heißt jeder Website Besucher bekommt nicht die eigentliche Website zu Gesicht.
  • Am Webserver (Hosting) werden Schadsoftware-Programme installiert. Diese führen dann verschiedenste Aufgaben am eigenen Webserver durch. Zum Beispiel das versenden von tausenden Werbemails über diesen Server. Dies kann für die eigene Website und den eigenen Server (somit auch für den Hoster) sehr negative Konsequenzen nach sich ziehen.

 

7 Maßnahmen für die „Sichere Website“

 

1. Wähle den richtigen Hoster

Hosting-Anbieter gibt es wie Sand am Meer - es gibt aber nicht „den einen Richtigen“. Viele Hoster machen es genau richtig - viele Hoster aber auch absolut falsch.
Woher weisst du aber nun, bei welchem Hoster du deine eigene und deine Kunden-Websites hinlegen sollst, und was sollte dieser erfüllen?

Wichtig ist, dass du vor allem folgende Punkte mit deinem „Wunsch-Hoster“ abklärst:

 

  • Führt der Hoster regelmäßig Prüfung auf Hackings oder Viren durch? Dies ist wichtig, da man selbst oft nicht mitbekommt, wenn etwas gehackt wurde.
  • Benachrichtigt der Hoster dich dann auch sofort darüber? Im Idealfall reagiert der Hoster dann sofort und benachrichtigt dich darüber. So kannst du sofort reagieren und eventuell über ein Backup den Schaden eingrenzen.
  • Unternimmt der Hoster etwas gegen DDoS Attacken? Es gibt verschiedene Möglichkeiten, diese zu verhindern. Dein Hoster sollte dir wenigstens eine die er im Einsatz hat, nennen können.
  • Das Wichtigste: Kümmert sich der Hoster auch um regelmäßige Backups? Und bewahrt er diese auch lange genug auf (nicht nur eine Woche oder ein paar Tage)? Auch wenn du dich selber um regelmäßige Backups kümmern solltest, ist es von großem Vorteil, wenn auch der Hoster das macht. Und dann vielleicht auch noch abklären, ob du vollen Zugriff auf diese Backups hast (bei Bedarf). Oftmals erkennt man erst etwas später, dass ein Hacking vorhanden ist - dann ist es von Vorteil, wenn der Hoster noch ein älteres Backup parat hat (auch mal 1-3 Monate alt).

 

2. Sorge für ein aktuelles CMS

CMS
CMS Systeme sind extrem praktisch - haben aber auch einen Nachteil, und zwar können diese zum Problem werden, wenn diese nicht aktuell sind. Nicht aktuelle Content Management Systeme weisen meist große Sicherheitslücken auf und sind so das perfekte und einfachste Ziel für Hackings. Vor allem, wenn man ein bekanntes CMS (Wordpress, Joomla, Typo3, etc.) im Einsatz hat.
Deshalb ist es verdammt wichtig, dass man Updates zeitnah und regelmäßig durchführt. Wie man das CMS Joomla! aktuell haltet, liest du in unserem Blogeintrag: Joomla aktuell und sicher halten

Gerade als Agentur möchte man dem Kunden auch die Möglichkeit geben, die eigene Website selbst zu warten. Dafür eignen sich CMS bestens. Der Kunde muss über diese „Problematik“ gut aufgeklärt werden. Oder man übernimmt das für den Kunden. Wichtig ist nur, dass man es macht - schwierig ist es bei diesen Systemen meist nicht. Es nimmt nur ein klein wenig Zeit in Anspruch - dafür ist man auf der sicheren Seite.
Damit man selbst keine Updates verpasst, empfiehlt es sich, News dazu zu abonnieren (ob in einem Sozialen Netzwerk oder per Newsletter ist egal. CMS Systeme wie Joomla! schicken zB. sofort eine Mail, wenn ein Update verfügbar ist.

 

3. Kenne die Risiken fertiger Templates und von Extensions

Das tolle an CMS Systemen sind ja auch all die Extensions und Templates die man dafür herunterladen und kaufen kann. So lassen sich Websites relativ einfach um neue Funktionen erweitern. Der Nachteil daran - diese Extensions und Templates können genauso Sicherheitslücken aufweisen. Kümmert sich der Programmierer nicht darum und vernachlässigt diese, dann ist die Website in Gefahr. Hat die Extension oder das Template nichts gekostet (gibt ja auch genug kostenlose), dann kann man hier auch nicht viel Entgegenkommen und Hilfe vom Programmierer erwarten. Nur selten, werden diese auch wirklich absolut regelmäßig aktualisiert.
Deshalb wähle deine fertigen Templates bzw. Extension sehr gut - informiere dich darüber, ob diese regelmäßig oder automatisch aktualisiert werden. Informiere dich über Support-Möglichkeiten. Da dürfen diese auch gerne schonmal was kosten - immerhin kümmert sich dann meist auch wirklich jemand darum.
Über eine Sicherheitslücke in einer Extension können Hacker genauso ihre Attacken durchführen und dir (oder deinem Kunden) mehr oder weniger Schaden zufügen. Informiere dich also sehr gut im Vorhinein und frage bei Bedarf nach.

Kostenloser E-Mail Kurs:

In 5 Schritten zu mehr Website Traffic

Diese 5 Profi-Tipps verhelfen dir zur Optimierung deines Website-Traffics!
In diesem kostenlosen E-Mail Coaching bekommst du von mir 5 Tage lang Profi-Tipps für eine enorme Steigerung deiner Website-Zugriffe.
Klicke jetzt hier und hole dir diesen Kurs.

 

 

4. Kläre ab, wer für regelmäßige Updates und Backups zuständig ist

Wenn es sich um deine eigene Website handelt, dann ist klar, wer für Updates und Backups zuständig ist und wer bei einem Hacking-Schaden haftet. Wie schaut das aber bei Kunden-Websites aus?

Hier ist es besonders wichtig, dass man den Kunden über die möglichen Risiken aufklärt. Dieser sollte sich bewusst sein, was passieren kann, wenn man Updates und Backups vernachlässigt.
Ein Vergleich mit der AntiViren Software bei Windows oder dessen Updates kommt hier immer gut und verdeutlicht oftmals schnell die Notwendigkeit.
Ob man nach der Aufklärung die Updates dem Kunden überlässt oder sich selbst drum kümmert, das ist dann die eigene Entscheidung. Eine Option ist es, dem Kunden zu zeigen, wie Updates und Backups gemacht werden (zB. gleich im Anschluss der Einschulung für die Website-Wartung) und hier auch gleich aufklärt, wie wichtig diese sind. Anschließend bietet man dem Kunden an, dass man dies für ihn übernehmen kann (ob kostenlos oder gegen Gebühr bleibt einem selbst überlassen).

Wir bieten für unsere Kunden eigene Sicherheits-Pakete an. Bucht der Kunde diese bei uns, kümmern wir uns um alle Updates und Backups und greifen bei Bedarf ein. Der Kunde muss sich also um die Sicherheit seiner Website keinen Kopf zerbrechen.

Sobald der Kunde über dieses Thema aufgeklärt wurde - egal ob er selbst die Website aktuell halten will oder ob du das übernehmen sollst - heißt es die Haftung zu klären. Lasse dir am besten vom Kunden unterschreiben, dass du ihn über dieses Thema aufgeklärt hast und er die volle Haftung bei Hackings übernimmt. Ausnahme wäre hier der Fall, wenn der Kunde diese Arbeit von dir erledigen lässt.

 

5. Die Zugänge kontrollieren

Zugang

Informiere dich genau darüber, wer auf die Website aller Zugriff hat (FTP Benutzer, CMS-Benutzer, etc.). Nicht mehr notwendige Benutzer sollten gelöscht werden. Bei Benutzer, bei denen unklar ist, wer aller dessen Zugangsdaten hat, am besten die Kennwörter ändern.
Je weniger Personen Zugriff haben, desto geringer ist die Chance dass etwas passiert, oder die Zugänge an Dritte gelangen.
Und wenn wir schon beim Thema Zugänge sind: Bitte wählt sichere Kennwörter! Das Thema wird zwar eh ständig überall kommuniziert, ist aber immer noch nicht zu allen durchgedrungen. Das Kennwort besteht im Idealfall aus Buchstaben, Zeichen, Sonderzeichen und Großbuchstaben. Die Länge sollte mindestens 6 Zeichen betragen. Folgendes Tool könnte dabei helfen: Passwort-Generator

 

6. SSL Zertifikat verwenden

Wenn es um die Sicherheit einer Website geht, dann sollte man auch immer über eine sichere Übertragung der Daten nachdenken. Einem SSL Zertifikat. Dieses kann beim Hoster für die Domain der Website beantragt werden (kostet meist ca. 50 € pro Jahr). Dieses Zertifikat ermöglicht eine Verbindung über „https“. Ob eine Website ein solch ein Zertifikat besitzt, erkennt man am Schloss vor dem Domain-Namen im Browser.
Besonders wenn man auf der Website Daten verarbeitet (Formulare, Bezahldienste, etc.) dann sollte darauf nicht verzichtet werden. In Deutschland ist in solch einem Fall das SSL Zertifikat sogar schon Pflicht. Die eingegeben Daten werden so nach dem Absenden verschlüsselt gesendet und können nicht mehr abgefangen und verarbeitet werden. Mehr dazu in unserem Blog "Warum Websites ein SSL Zertifikat besitzen sollten"

 

7 . Backups, Backups, Backups

Als letzter Punkt kommt auch einer der wichtigsten. Und ich kann es nicht oft genug sagen - macht bitte Backups - so oft wie möglich. Diese können bei Bedarf Gold wert sein.

Stell dir vor es tritt folgende Situation ein:

Die Website deines Kunden wird gehackt, da es eine Sicherheitslücke gab, die der Hacker nutzte um Schadsoftware einzuspielen. Es passiert vorerst nichts, auch an der Website erkennt man nichts auffälliges. Dann nach einem Monat wird die Software vom Hacker gestartet. Die Website verschickt nun täglich tausende E-Mails an verschiedenste Empfänger. Dein Hoster merkt dies und sperrt die komplette Website. Natürlich registriert dies auch dein Kunde und wendet sich wütend an dich. Du schaust dir die Dateien am Server an und merkst, dass hier unzählige Änderungen vom Hacker vorgenommen wurden. Der Aufwand all diese Dateien wieder in den Ursprungs-Zustand zu bringen, wäre enorm. Du fragst sofort beim Hoster nach, ob es ein Backup gibt. Dieser behält Backups maximal 1 Woche auf und stellt das älteste davon wieder her. Du checkst die Dateien nun sofort wieder und stellst fest, dass sich nichts gebessert hat. Ein älteres Backup hat dein Hoster nicht mehr - und du hast nie Backups gemacht … Wie erklärst du jetzt dem Kunden dieses Problem?


Deshalb ist es sooooo wichtig, dass du regelmäßig Backups machst. Es muss ja nicht immer das Hacking sein, dass den Schaden verursacht. Manchmal kommt es auch vor, dass man versehentlich Bereiche oder Inhalte löscht. Hat man dann ein aktuelles Backup zur Hand ist der Schaden schnell behoben.

Wir sichern Websites 1x pro Woche und speichern die Backups bei uns am Server. Bei Bedarf können wir auch auf ältere Backups zurückgreifen.

Wie du in Joomla! Backups erstellst, liest du hier: Backups in Joomla leicht gemacht

 

Fazit

Das Thema Sicherheit für Websites wird noch viel zu stark vernachlässigt. Die Folgen werden auf die leichte Schulter genommen. Betroffene haben meist mit hohen Schäden zu rechnen.
All das lässt sich verhindern - regelmäßig updaten und sichern sollte zur Routine werden. Das spart viel Ärger und Zeit.

 

 

Bleibe immer up-do-date! Über unseren Newsletter erfährst du immer als erster, wenn wir wieder neue Beiträge veröffentlichen.
 

Melde dich jetzt für unseren Newsletter an!

 

Oder folge uns auf Facebook:
Lackner Media auf Facebook
Jetzt Facebook-Fan werden

 

1
Warum Websites ein SSL Zertifikat besitzen sollten...
Gewinnspiele auf Facebook Do's and Don'ts
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Gäste
Dienstag, 11. Dezember 2018

Kostenloser Kurs:

Website Traffic Optimierung E-Mail Kurs

In 5 Schritten zu mehr Website Traffic
Die 5 effektivsten Wege zur Optimierung der eigenen Website-Performance!
Diese 5 Profi-Tipps verhelfen dir zur Optimierung deines Website-Traffics!

Jetzt E-Mail Adresse eintragen und starten: