IT-Sicherheit – Ein Interview

Das Bundesamt für Informationssicherheit (BSI) spricht in einer aktuellen Pressemitteilung eine „abstrakt erhöhte Bedrohungslage für Deutschland“ durch russische Hacker-Angriffe aus. Umso entscheidender ist es, die wichtigsten Maßnahmen im Bereich IT-Sicherheit umzusetzen. Wir haben mit unserem Entwickler Daniel Obieglo über das Thema gesprochen.

Daniel, wie trägt PixelProduction zur Sicherheit der Internetseiten unserer Kunden bei beziehungsweise welche Maßnahmen ergreifen wir?

In aller Regel reicht es bei etablierten Content Management Systemen regelmäßig die Updates durchzuführen und die Website turnusmäßigen Sicherheitskontrollen zu unterziehen. Wir bieten hierfür auch eigene Wartungsverträge an. Natürlich informieren wir uns auch über die aktuelle Entwicklung im Bereich der IT-Sicherheit. Manchmal reicht dies aber leider nicht alleine aus. Bei WordPress müssen wir beispielsweise zusätzlich die installierten Plugins überprüfen und lassen zudem regelmäßig einen Sicherheitsscanner über die Seiten laufen.

Welche Rolle spielt in diesem Zusammenhang das Hosting der Seiten?

Natürlich kommt einem vertrauenswürdigen und zuverlässigem Hosting für die Datensicherheit eine entscheidende Rolle zu. Wir arbeiten deswegen mit einem großen und im Markt etablierten Hoster zusammen, der ein besonderes Augenmerk auf die IT-Sicherheit legt. Das mag zwar etwas teurer sein als manch günstiger Anbieter, aber grundsätzlich raten wir unseren Kunden dennoch dazu, das Hosting über uns laufen zu lassen, da wir dann auch schneller reagieren können.

Was sollten die Kunden selbst im Bereich der Informationssicherheit beachten?

Die Frage lässt sich pauschal schwer beantworten, weil es sehr viele Angriffsvektoren gibt, die zudem von Mitarbeiter zu Mitarbeiter verschieden sind. Wichtig ist es in diesem Kontext vor allem, starke Passwörter zu nutzen und diese nicht im Klartext zu speichern oder zu verschicken. Was aber immer Regel Nummer 1 ist und bleibt: Nachdenken und Hinterfragen! Warum sollte mir der Chef eine Mail schreiben und mich nach den Logindaten fragen? Ist die Bewerbung oder Rechnung, die ich bekommen habe, wirklich echt oder versucht mir jemand Malware unterzuschieben?

Welche Risiken drohen, wenn die oben genannten Maßnahmen nicht umgesetzt werden?

Aufgrund der DSGVO bringt vor allem der Diebstahl der Kundendaten ein hohes finanzielles Risiko mit sich. Ansonsten besteht natürlich auch immer die Gefahr, dass der Server selbst zum Malware-Verteiler wird oder in ein Botnetz für Angriffe aufgenommen wird.

Ist eine Seite, die nach den oben genannten Empfehlungen aufgebaut und verwaltet wird, absolut sicher vor Cyber-Kriminellen?

Leider nicht, da es immer noch Schwachstellen gibt, die sich nicht im Vorfeld schließen lassen.

Woran liegt das?

Das hat viel mit der steigenden Komplexität von Software und den Versäumnissen in der Vergangenheit zu tun. Sicherheitslücken können über Jahre unerkannt bleiben, bis jemand zufällig oder ganz bewusst auf eine Schwachstelle stößt. Ein gutes Beispiel dafür ist der Heartbleed-Bug vom OpenSSL Projekt und “goto fail” von Apple, die für mehrere Jahre unerkannt waren. Zudem haben die Hardware-Schwachstellen Meltdown und Spectre gezeigt, dass die Gefahr selbst von Chips ausgehen kann, die wir als vermeintlich sichere Komponenten bereits seit Jahren ohne Zwischenfall genutzt haben.

Wie gehen wir vor, wenn eine Seite trotz aller Bemühungen doch gehackt wurde?

Zunächst ändern wir alle Zugangsdaten und die deaktivieren die Seite vorübergehend. Danach versuchen wir herauszufinden, wie die Attacke ablief und um was für einen Angriff es sich konkret handelt. Dann wird entweder ein Backup der Seite eingespielt, welches wir ihm Rahmen der Wartungsverträge erstellt haben, oder die Seite wird von Hand “desinfiziert”. Zuletzt muss geprüft werden, ob irgendwelche Indexierungen von Suchmaschinen gemacht wurden, die das Ranking der Seite verschlechtern.