Strengere Pflichten für die eigene Homepage
Das neue Internet Sicherheitsgesetzt bringt auch Betreiber einer eigenen Homepage weitere Pflichten mit sich.
Aufgeschlossenen Menschen war bislang bereits klar und deutlich: Computersicherheit macht nicht bei der eigenen Webseite halt. Denn extrem viele Internetseiten - insbesondere wenn in CMS wie Joomla oder Wordpress zum Einsatz kommt - unterliegen einem extremen Beschuss von Hackerattacken, heutezutage komplett vollautomatisiert und im verborgenen stattfindent. Dann kaum jemand macht sich die Mühe, einmal nachzuschauen, was eigentlich in den Homapge Logfiles oder Errorlogs so alles ans Licht kommt: "Logfiles, was ist das ?"
Dabei geht der Gesetzgeber nun endlich einen Schritt in die richtige Richtung, um dem Missbrauch von Serverkapazitäten - und nichts anderes ist ein Hackerabgrifff heute - mehr Hürden entgegen zu stellen. Man kann's kaum fassen.
Denn kaum bekannt ist eine u.a. eine erhebliche Änderung, die das IT-Sicherheitsgesetz nun mit sich gebracht hat.
Sie betrifft alle "Betreiber von Telemedien" und damit nahezu alle Anbieter von Websites in Deutschland. Nach dem neu geschaffenen Paragrafen 13 Absatz 7 des Telemediengesetzes (TMG) sind diese Anbieter gesetzlich dazu verpflichtet, dem Stand der Technik angemessene IT-Sieherheitsgrundlagen umzusetzen.
Alle Website-Betreiber müssen dem Gesetz zufolge also sicherstellen, dass „kein unerlaubter Zugriff auf die ftir ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist“.
Nach der Gesetzesbegründung soll „das unbemerkte Herunterladen allein durch das Aufrufen einer dafür von Angreifern präparierten Website (sogenannte Drive-byDownloads)“ verhindert werden. Schon das „Einspielen von Sicherheitspatches“ könne dies verhindern. In der Praxis konstruiert der Gesetzgeber hier wohl eine Pflicht zum Einspielen von Patches.
Was heisst das für den Betreiber eines online Shop oder z.B. einer Webseite unter einem CMS (Joomla, Wordpress, Modx, Drupal etc. ausgenommen statische Websites) ?
Na, einfach eine Sorgfaltspflicht zum Updaten.
Aus unserer Sicht führt ohnehin kein Weg daran vorbei, will man nicht Gefahr laufen, nach einem Hackerangriff die komplette Webseite neu zu erstellen. Denn eine Konsistenz der Daten ist keinesfalls mehr gewährleistet. Zu tief nisten sich die Trojaner in bestehende CMS ein. Kaum ein Mensch könnte diese aufsprüren, geschweige denn ein Virenscanner, denn oft sind diese mit modernen Methoden verschlüsselt implementiert. (Glauben Sie mir, wir wissen wovon wir sprechen, denn häufig genug haben wir verzweifelten Kunden hier schon helfen können. Sprechen Sie uns an wg. Updates)
Weiter im Artiken von c't:
Technische Einrichtungen müssen außerdem gegen „Verletzungen des Schutzes personenbezogener Daten“ gesichert werden. Möglich sei dies durch Einsatz eines „als sicher anerkannten Verschlüsselungsverfahrens“. Darunter fallen solche Verfahren, die den aktuellen technischen Richtlinien des BSI entsprechen.
Wer gegen diese Pflichten verstößt, riskiert ein Bußgeld bis zu 50.000 Euro. Unangenehm könnte es für viele Unternehmen werden, wenn Gerichte in ihrer künftigen Rechtsprechung diese Vorschrift als sogenannte Marktverhaltensregel bewerten. Dann nämlich könnte jeder Mitbewerber mangelhafte Updates bei seinen Konkurrenten kostenpflichtig abmahnen, was zu einer erheblichen Rechtsunsicherheit führen würde. [...]
Und wie lösen Sie das Technik Problem ohne unsere Hilfe ?
Zum Schluss ist jeder selbst gegenüber dem Gesetzgeber verantwortlich, dafür zu Sorge zu tragen.
Unsere Webserver bieten aktuellste Verschlüsselung wie z.B. das derzeit (Stand 8.2016) als einzig für sicher geltende Verfahren TLS 1.2.
- Nutzen Sie SSL Verschlüsselung (SSL Zertifikat https:// ) bereits für Ihre Startseite der Webseite. (Sogar Google empfiehlt und honoriert dieses)
- Nutzen Sie anschliessend auch Tools zur Prüfung der Webserver Sicherheit, wie z.B. das extrem genaue Tool: https://www.ssllabs.com/ssltest/. Wird hier nicht wenigstens TLS 1.2 als unterstützt angezeigt, kenen Sie davon aus, keine Sicherheit zu haben.
- Testen Sie den Inhalt Ihrer Webseite mit Virenscannern. Entweder laden Sie den kompletten Inhalt herunter und lassen einen guten Virenscanner darüber laufen oder nutzen online Virenscanner, welche z.B. für Wordpress / Joomla, etc. als Plugin angeboten werden. Gute Provider (wie www.onsite.org , setzen online schon auf den Servern Tools zur Erkennen von Exploits ein und warnen die Kunden entsprechend)
- Und wieder das Mantra: Updates, Updates, Updates und wieder Updates. Selbst ein (hoffentlich in regelmäßige Abständen) erstelltes Backup zurückzu spielen hilft ggf. nur bedingt und kurzfristig: Wissen Sie denn ganue, dass zum Zeitpunkt des Backup keine Schadsoftware bereits integriet wurde ?
Und wenn es doch passiert ist: Ihre Webseite ist gehackt worden
Nutzen Sie die Gelegenheit für einen kompletten Neuanfang, einen Webseiten Relaunch. Wenn Sie noch ein Webseiten Backup haben, können wir häufige daraus die reinen Inhalte, also die Texte und Bilder extrahieren. Somit lässt sich der Schaden begrenzen.
Wir setzen ein aktuelles System auf, Installieren Ihr Wunschdesign und das alles ggf. sogar nur statisch, denn damit haben Sie die Gewissheit, dass wenn ein Hackerangriff stattfinden sollte, er gewiss nicht aus einem CMS kommen konnte. Sprechen Sie uns an, wir helfen Ihnen gern.
Quelle: c't 20.8.2016 (18) S. 140