Sicheres WebhostingWie Sie Ihre Homepage vor Hackern schützen

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) steigt die Zahl der ausgenutzten Sicherheitslücken. Wer einige grundlegende Regeln beachtet, minimiert das Risiko von Datenklau & Co. aber enorm.

Haben Sie schon einmal Ihre Homepage besucht und sich über unbekannten Inhalt gewundert? Nein? Glück gehabt, denn die Zahl der gehackten Webseiten nimmt aufgrund der schnelleren Ausnutzung von Sicherheitslücken zu.

Prominentes aktuelles Beispiel für einen erfolgreichen Hack-Versuch: die Homepage des deutschen Kinderschutzbundes (DKSB). Aufgrund einer Sicherheitslücke verschafften sich Unbekannte Zugriff auf die Homepage des Vereins und modifizierten den Inhalt der Startseite, auf der dann für einige Stunden kritisch auf das zuvor beschlossene Gesetz gegen Kinderpornografie Bezug genommen wurde. Das brachte dem Kinderschutzbund nicht nur negative Berichterstattung über die Absicherung seiner Webseite, sondern auch unvorbereiteten Wartungsaufwand mit einem mehrstündigen Ausfall der Webseite. Dieser unangenehme Vorfall hätte mit Beachten einiger Regeln vermieden werden können.

Ein Muss: Software-Updates

Typo3, Joomla & Co. sind vielen Homepage-Besitzern direkt ein Begriff, bieten die Software-Pakete doch die Möglichkeit schnell und professionell ohne Programmierkenntnisse im Internet eine Homepage aufzubauen oder zu ergänzen. Die oftmals kostenfreie Software hat jedoch einen Haken: Aufgrund des frei verfügbaren Codes bietet Sie Hackern eine Möglichkeit, Sicherheitslücken im Code zu identifizieren und auszunutzen.

Warum es gerade für Hacker so interessant ist, eine Lücke in einer weitverbreiteten Software zu finden, liegt dabei auf der Hand. Sie schaden durch das Ausnutzen einer Lücke nicht nur einer Person, sondern können weitere Webseiten, die die gleiche Version einsetzen, mit schadhaftem Code infizieren und Ihre Macht demonstrieren.

Achten Sie daher stets darauf die neueste Version zu installieren und besuchen die Webseite des Herstellers der eingesetzten Software mindestens einmal pro Woche. Hersteller der Software-Pakete reagieren in der Regel sehr schnell auf Sicherheitslücken und bieten Updates oder Workarounds an. Dank vorgefertigter Update-Scripts können auch Laien die Aktualisierungen schnell verarbeiten.

Sichere Passwörter

Verwenden Sie ausschließlich sichere Passwörter! Grundsätzlich gilt hierbei die Devise: Umso länger und kryptischer, desto sicherer ist das Passwort. Nutzen Sie keine Eigennamen, Geburtsdaten oder triviale Tastaturzeichenfolgen (zum Beispiel „asdf123“). Wählen Sie stattdessen Fantasie-Wörter, fügen Sonderzeichen und Nummern hinzu und nutzen sowohl Klein- als auch Großschreibung. Passwort-Generatoren können die Suche nach einem geeigneten Passwort erleichtern.

Frei verfügbare Web 2.0 Software wird immer beliebter, kann sie doch einfach per Mausklick installiert werden. Die Beliebtheit birgt allerdings auch Gefahren und Risiken.

PHP Safe-Mode

Standardmäßig ist normalerweise bei einem Webhosting-Anbieter der PHP Safe-Mode aktiviert. Diese Einstellung erfolgt zum Schutz des Webaccounts, da hierdurch Datei-Funktionen und systemnahe Funktionen eingeschränkt und ein möglicher Schaden minimiert werden kann. Oftmals können PHP-Anwendungen jedoch nur dann installiert werden, wenn der PHP Safe-Mode deaktiviert wurde.

Als Homepage-Betreiber befinden Sie sich hier nun in der Zwickmühle, ob Sie das Risiko der Abschaltung eingehen wollen oder sich für eine andere Software entscheiden. Grundsätzlich ist die zweite Variante zu bevorzugen, bieten viele Anwendungen doch mittlerweile auch die Möglichkeit ohne die Deaktivierung betrieben werden zu können. Agieren Sie bei der Rechteverwaltung (chmod) nach dem Grundsatz: so viel wie nötig, so wenig wie möglich.

Apropos: Die Deaktivierung des Safe-Mode stellt nicht nur eine Gefahr dar, sondern wird mit der kommenden PHP Version 6 auch gänzlich wegfallen. Die Programmierer sind somit ohnehin gezwungen Ihren Code zu überarbeiten

Ist der Webhoster auch fit?

Alle Maßnahmen sind letztendlich jedoch nichts wert, wenn der Server, auf dem Ihre Homepage-Daten liegen, selbst Opfer einer Hack-Attacke wird. Insofern Sie einen eigenen Server betreiben, achten Sie darauf auch die Server-Software (Kernel, Apache, SSH, PHP & Co.) aktuell zu halten. Managen Sie Ihren Server aber nicht selbst, ist dies Aufgabe des zuständigen Anbieters. Fragen Sie daher vor der Anmietung nach der Aktualität der Server-Software, die er einsetzt und wie schnell auf Lücken oder neue Versionen reagiert wird. Als seriöser Anbieter wird er Ihnen diese Fragen beantworten können und eine garantierte Reaktionszeit zusichern.

Vorsicht vor Fremdinhalten

Das Einbinden von Fremd-Inhalten ist reizvoll, kann es doch die Attraktivität einer Webseite enorm steigern oder sogar Geld damit verdient werden. Das Problem besteht allerdings darin, dass Sie die Kontrolle über die Inhalte an Dritte abgeben. Binden Sie somit Inhalte nur ein, wenn Sie den Anbietern der Fremd-Inhalte hundertprozentig vertrauen. Besteht ein Zweifel, verzichten Sie lieber darauf. Sonst mutiert Ihre Webseite durch schadhaften Code von einer privaten Homepage ganz schnell zu einer bösartigen Webseite, die von Google, Firefox & Co. dann auch als gefährliche Seite eingestuft und nicht einmal mehr angezeigt wird.

Vorsorgen: Backup-Strategie

Wird die Homepage doch einmal gehackt, sind die Daten meist überschrieben. Treffen Sie daher eigene Vorkehrungen und sichern Sie sich präventiv ab. Achten Sie bei der Auswahl des Webhosting-Anbieters darauf, dass dieser mindestens einmal täglich Ihre Webseite und Datenbank auf externen Backup-Servern sichert. Erkundigen Sie sich vorab, wie Sie das Backup in einer Notsituation erhalten können. Machen Sie zusätzlich selbst nach jeder wichtigen Änderung eine Sicherung Ihrer Webseite (und Datenbanken) auf Ihrer lokalen Festplatte. Unterstützung finden Sie hier oftmals bereits im Administrationsmenü der eingesetzten Software. Das ist zwar mühsam, im Ernstfall aber Gold wert.

Fazit: Daten sind Vertrauenssache

Seien Sie misstrauisch und gehen nicht sorglos mit Ihren Daten um! Nicht jede Person oder Homepage, die Ihnen auf den ersten Blick etwas Gutes suggeriert, ist auch vertrauenswürdig. Versuchen Sie die Hintergründe zu verstehen und hinterfragen diese bei Bedarf. Achten Sie deshalb auch bei der Auswahl Ihres Webhosting- oder Serveranbieters auf seine Garantien und seine Einstellungen hinsichtlich der Serversicherheit. Eine gute Vorab-Recherche wird Ihnen womöglich eine Menge Ärger ersparen.

Links und Literatur

BSI Lagebericht IT-Sicherheit 2009

WinFuture: „Netzsperren: Kinderschutzbund aus Protest gehackt“

Passwort-Generator

[Bild: Fotolia.com]