Mittwoch, 21. Januar 2015
Internetsicherheit wird von Unternehmen und Nutzern unterschätzt
In der letzten Zeit ist in der Fachpresse wieder immer häufiger zu lesen, dass Unternehmen, auf die Gefahren die im Internet lauern, nach wie vor schlecht vorbereitet sind. Immer häufiger werden ungepachte Sicherheitslücken bei gängiger Software ausgenutzt um Webseiten und Internet-Nutzer zu kompromittieren. Dieses Problem wird von den meisten Unternehmen unterschätzt.
Welche Bedrohungen gibt es für Ihre Internetseiten?
Ein zu 100% sicheres Computersystem gibt es natürlich nicht. Mit einigen wenigen Maßnahmen lassen sich ein lokaler Rechner und ein Webserver dennoch wesentlich sicherer machen.
Ein Rechner öffnet sich dem Internet, wenn er dort aktiv ist. Standardmäßig öffnet ein Rechner aber meist mehr Türen (sog. Ports), als im Hinblick auf die Sicherheit sinnvoll ist. In der Praxis setzt man eine Firewall ein, um diese Türen zu schließen. Hacker verwenden einen Portscanner um nach Öffnungen zu suchen, durch welche sie Anweisungen absetzen und so in ungeschützte Systeme eindringen kann.
Außerdem gefährlich sind ungepatchte Lücken in Programmen, wie z.B. Java, Flash sowie bei HTML- oder Datenbankanwendungen und Content-Management-Systemen. Diese Lücken können von potentiellen Angreifern ausgenutzt werden um in Systeme einzudringen und dort Schadcode auszuführen. Insbesondere Plugins für den Webbrowser wie Java oder Flash sind besonders gefährdet und sollten besser garnicht benutzt werden. Wir berichtetet in der letzten Zeit schon öfters von diesen Problemen.
Ein weiterer möglicher Angriffspunkt, insbesondere für Webserver und Internetseiten, ist eine sogenannte "Denial of Service-Attacke (DoS)". Hierbei wird ein Webserver so lange mit sinnlosen Seitenabrufen bombardiert, bis er in die Knie geht. Diese Art von Angriff ist am schwersten zu parieren und führt im Normalfall zum Totalausfall einer Internetseite. Ein Patentrezept dagegen gibt es bis jetzt leider noch nicht.
Wie steht es mit der Sicherheit beim Hoster und Web-Dienstleister?
Wenn Sie Webspace bei einem Hoster gemietet haben, sollte dieser sich um die Sicherheit und Aktualität seiner Server-Systeme kümmern.
Sollten Sie einen eigenen Webserver bei einem Hoster betreiben, kommt es darauf an, ob es sich um einen "gemanageten" Server handelt wird oder nicht. Bei einem gemanageten Server kümmert sich der Hoster regelmäßig darum, dass dieser gewartet und aktualisiert wird. Sollte das nicht der Fall sein, müssen Sie sich selbst um Aktualisierungen kümmern.
Sollten Sie keinen IT-Spezialisten im eigenen Haus haben, der sich um die Aktualisierungen kümmern kann, ist es sinnvoll, die Verwaltung des Webservers einem professionellen Dienstleister wie uns zu überlassen.
Wenn Sie ein Content-Management-System, einen Blog oder selbst programmierte Webanwendungen einsetzen, müssen Sie diese ebenfalls aktuell halten und den Applikationsserver auf dem die Anwendung läuft entsprechend absichern.
Bei Content-Management-Systemen wie Modx, Wordpress, Joomla usw. gibt es in regelmäßigen Abständen Sicherheitspatches und Updates, die Sie unbedingt einspielen sollten.
Für schon längerfristig erhältliche Webanwendungen sollte der Hersteller regelmäßig Sicherheitsupdates bereitstellen.
Für selbst programmierte Webanwendungen tragen Sie selbst die Verantwortung, dass Sicherheitslücken entfernt werden und die Anwendung entsprechend abgesichert wird. Gehen Sie nicht davon aus, dass die Entwickler sicher programmiert haben. In jedem System können Sicherheitslücken stecken.
Wie sicher ist die Programmierung?
Wie wichtig eine sichere Programmierung ist, zeigen unsere regelmäßigen Blogs zu neuen Sicherheitslücken. Davon betroffen sind natürlich nicht nur Open-Source-Systeme. Sicherheitslücken werden dort an die Öffentlichkeit kommuniziert. Auch kommerzielle Systeme haben Fehler in der Programmerung, wie man bei Windows sehen kann. Die häufigsten Sicherheitsmängel bei einer Internetseite sind auf eine unsichere Programmierung zurückzuführen.
So sollte z.B. auf einen clientseitigen Passwortschutz mit JavaScript verzichtet werden. Das Passwort muss im Scriptcode der Webseite hinterlegt werden und kann von einem böswilligen Angreifer mit wenig JavaScript-Kenntnissen leicht ausgelesen werden.
Außerdem sollte eine Zugriffskontrolle nicht auf URL-Basis erfolgen. Nur weil eine URL (die Internet-Adresse) einer Webseite nicht bekannt ist, ist sie nicht automatisch auch nicht zu erreichen.
Ein einfaches Beispiel:
Nehmen wir an, Sie haben einen Shop entwickelt und jeder Nutzer kann seinen Warenkorb bearbeiten.
Die URL für den Nutzer ist: http://www.shop.xy/bearbeiten.php?wid=51
Denken Sie jetzt einmal böswillig, was würden Sie als Erstes testen?
Genau, Sie ändern einfach mal den Wert des URL-Parameters: http://www.shop.xy/bearbeiten.php?wid=50
Gibt es auf dieser Seite keine vollständige Sicherheitsüberprüfung, ob Sie überhaupt die Berechtigung haben, darauf zuzugreifen, dann sind Sie direkt im Warenkorb von einem anderen Kunden.
Diese Beispiele zeigen, dass allzu oft viel zu "blauäugig" an die Problemlösung gegangen wird. Immer noch werden Webseiten von sog. Internet-Profis und Designern programmiert, die sich mit einer sicheren Programmierung nur unzureichend auskennen oder sich erst gar keine Gedanken über das Problem machen.
Bei den Internet-Lösungen von onSite.org werden Sie solche Anfängerfehler nicht finden! Wir haben für alle Aufgaben die richtigen Spezialisten parat, im Haus oder als freiberufliche Mitarbeiter. Wir haben kompetente Mitarbeiter für das Design und für die Programmierung.
Unsere Empfehlung
Folgen Sie den ...
Bedenken Sie, ...
- das größte Sicherheitsproblem ist immer noch der Nutzer selbst, davor kann man sich nicht schützen