29. Oktober 2012 - Online-Datenschutz

Best Practice für sichere Websites

Websites gehören zu den häufigsten Angriffswerkzeugen der Datendiebe. Möglich wird dies, weil viele Website-Betreiber immer noch Schwachstellen bei ihren Webinhalten und Webservern zulassen. Dabei ist die Zahl der zentralen Maßnahmen zur Steigerung der Website-Sicherheit durchaus überschaubar.

best-practice-fur-sichere-websites.jpeg
Datendiebstahl ist immer noch im Trend: Treffen Sie rechtzeitig die richtigen Maßnahmen und beseitigen Sie Schwachstellen (Bild: Thinkstock)

Unsichere Websites sind ein Dauerbrenner

Anders als BYOD (Bring your own Device) oder unsichere Tablets scheinen Websites gute, alte Bekannte der oder des Datenschutzbeauftragten zu sein.

Leider hat die jahrelange Beschäftigung mit der Sicherheit von Webinhalten nicht dazu geführt, dass der Datenschutz in diesem Bereich gesichert wäre, im Gegenteil. Der IBM X-Force 2012 Mid-Year Trend and Risk Report sieht den Trend, dass Datendiebe über verseuchte Webseiten angreifen, als steigend an. Eine Umfrage von Forrester hat ergeben, dass die Hälfte aller Unternehmen Sicherheitsprobleme mit ihren Webinhalten hat.

Mangelnde Website-Sicherheit kann teuer werden

Sichere Websites sind nicht nur wichtig für den Online-Datenschutz der Nutzer, die sich beim Besuch unsicherer Webseiten schnell einen Trojaner oder Keylogger einfangen können, der ihre Daten stehlen will.

Die Unternehmen als Betreiber der Websites erleiden selbst einen massiven finanziellen Schaden, wenn sie nicht genug für die Website-Sicherheit tun. 18 Prozent der von Forrester befragten Unternehmen haben einen Schaden von mehr als 500.000 US-Dollar erlitten, weil sie Sicherheitslücken in ihren Webapplikationen hatten, die ausgenutzt wurden. Die Unternehmen nannten auch Gründe für ihre mangelhafte Sicherheit im Bereich der Websites.

Zeit, Budget und Werkzeuge für Websicherheit fehlen

So fehlt vielen Unternehmen die Zeit, die sich ständig ändernden und weiter entwickelnden Webinhalte sicherer zu machen (79 Prozent), sie haben nicht genug Budget für die Sicherheitsmaßnahmen (71 Prozent der von einer Online-Datenpanne betroffenen Unternehmen), und ihnen fehlen die richtigen Sicherheitswerkzeuge (71 Prozent). Es ist also sehr wichtig, möglichst einfache, aber effektive Sicherheitsmaßnahmen zur Steigerung der Website-Sicherheit zu finden.

Kostenloser Webseiten-Check als Schritt 1

Um den Stand der eigenen Website-Sicherheit prüfen zu können, bieten sich kostenlose Webseiten-Checks an, wie sie zum Beispiel die neue Sicherheitsinitiative „Initiative S“ (www.initiative-s.de) anbietet. Externe Sicherheitsscans können aber natürlich nur Hinweise geben, ob Sicherheitslücken auffallen. Ohne Sicherheitsmaßnahmen am eigenen Webserver, die grundlegend für die Sicherheit der eigenen Website sind, geht es nicht.

Entscheidende Schritte für mehr Website-Sicherheit

Dabei müssen die notwendigen Maßnahmen nicht einmal besonders kompliziert sein oder externe Beratungsleistung erfordern. Zu den häufigsten Schwachstellen, die in der Forrester-Umfrage genannt wurden, gehören Standardpasswörter, die nicht geändert wurden, und Sicherheitseinstellungen, die vom Hersteller empfohlen, vom Betreiber aber nicht umgesetzt wurden.

Wer also die Einstellungen am Webserver vornimmt, die der Anbieter des Webserverprogramms nennt, und die Standardpasswörter des Herstellers, die jeder im Internet nachlesen kann, gegen eigene Passwörter austauscht, hat schon einiges für die Sicherheit von Webserver und Website getan. Ein eigener Anti-Malware-Schutz sollte auch auf dem Webserver nicht fehlen. Wenn dann noch unnötige Funktionen des Serverbetriebssystems und der Webserver-Software deaktiviert werden, die Websysteme also gehärtet werden, wird es noch schwieriger für die Datendiebe, die Website des Unternehmens zu missbrauchen.

Weitere Maßnahmen für die Website-Sicherheit finden Sie in der aktuellen Checkliste.


Download:


Tipp: Aktuelle Sicherheitshinweise und Arbeitshilfen zu allen wichtigen Themen der Datensicherheit finden Sie in der Praxislösung „IT-Know-how für den Datenschutzbeauftragten“.

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln