Sicherheit geht vor: So schützt du Websites vor einem Hackerangriff

23. Juli 2015 von Sebastian Maier

Wie ihr euch vor Hackerangriffen schützt und was zu tun ist, wenn es doch passiert

Websites werden immer wieder zur Zielscheibe von Hackerangriffen. Bei diesen Angriffen wird gezielt nach Sicherheitslücken gesucht, teils mit schwerwiegenden Folgen. Das Auslesen von Kreditkarteninformationen bei Magento beispielsweise hat mit Sicherheit zu realen monetären Verlusten bei zahlreichen Internetnutzern geführt. Auch bei Wordpress werden immer wieder neue Sicherheitslücken entdeckt.

Doch selbst wenn der Angriff keinen Klau so sensibler Daten zum Ziel hat, geht er immer mit einem wirtschaftlichen Risiko in ganz unterschiedlicher Form einher. Damit ihr diesem Risiko entgegenwirken könnt, zeigen wir euch im Folgenden, was bei einem Hackerangriff genau passieren und was man dagegen tun kann.


Was passiert bei einem Hack? Wie kann dieser mir schaden?

Bei einem Hack wirkt eine fremde, nicht berechtigte Person oder deren Tool auf eine Website ein. Diese vier Arten von Hackerangriffen sind generell am häufigsten zu beobachten:

    1. Der Content einer Website wurde durch Kauderwelsch ersetzt. 
      Der eigentliche Inhalt der Website ist nicht mehr zu sehen – stattdessen wird ein sinnloses Text-Kauderwelsch angezeigt. Man könnte dies als harmlosen Scherz abtun. Doch jeder potentielle Kunde, der dadurch irritiert wird und eine Website wieder verlässt, kann einen finanziellen Verlust darstellen.

    2. Über die E-Mail-Adresse wird SPAM versendet.
      E-Mail-Konten werden gehackt, um über deren E-Mail-Adressen SPAM-Mails zu versenden – an die Kontaktliste oder auch an wildfremde Menschen. An sich hört sich das nicht soo schlimm an. Allerdings landet man durch den Versand von zu vielen gleichzeitig versendeten E-Mails schnell auf SPAM-Listen, auch wenn man gehackt wurde und gar nicht die Schuld daran trägt. Auf diese Listen greifen die diversen E-Mail-Provider zu und wissen somit, welche Sender-E-Mail-Adressen sie automatisch in den SPAM-Ordner verschieben sollten.

      Wenn man auf so einer SPAM-Liste landet, ist die Chance also hoch, dass die eigenen E-Mails von den Empfängern gar nicht mehr gelesen werden. Ärgerlich ist das natürlich sehr, wenn dies wichtige E-Mails wie beispielsweise ein Angebot an einen Kunden betrifft.

    3. Es werden Daten ausgelesen.
      Eine Sicherheitslücke kann auch dazu genutzt werden, Kundendaten auszulesen. Ob Kreditkarteninformationen oder Passwörter – das Ziel der Hacker sind in der Regel sensible Daten, mit denen sich ein gewisser Schaden anrichten lässt.

    4. Es werden Viren und Trojaner verbreitet.
      Viren und Trojaner werden normalerweise auf zwei verschiedene Arten in Websites eingeschleust:
      _Internetnutzer rufen unabsichtlich eine verseuchte Website auf, von der das Virus oder der Trojaner direkt auf den Rechner geladen wird. Dies schadet nicht nur dem Besucher der Website, auch der Betreiber kommt nicht ohne Weiteres davon. Die Google-Bots scannen Websites nach Malware und verweigern deren Aufruf in den Suchergebnissen, wenn sie eine Kontamination feststellen. Dadurch kann es je nach Bedeutung der Website für den Vertrieb zu teils drastischen Gewinnausfällen für ein Unternehmen kommen.
      _Man erhält eine E-Mail mit einem Link auf solch eine verseuchte Website. Oft locken diese E-Mails mit besonders günstigen Angeboten oder anderen Verheißungen. Doch mit einem Klick auf diesen Link hat man sich nichts als einen Virus oder einen Trojaner eingefangen. Eine tolle Sache, nicht wahr :/?


    Wie kann man sich vor Hackerangriffen schützen?

    Die einzige Möglichkeit, sich vor einem Hack zu schützen, sind regelmäßige Updates. Wobei hier gesagt werden muss, dass auch Updates Sicherheitslücken beinhalten können. Dies ist gerade bei Open-Source-Systemen wie bei Wordpress der Fall, bei denen jeder beliebige Internetnutzer ein Plugin oder ein Add-On zur Verfügung stellen oder updaten kann.

    Wie ihr möglicherweise wisst, haben wir bei smooster unter anderem aufgrund der Sicherheit ein “geschlossenes” System. Zwar basiert auch unser CMS auf Open-Source-Technologien wie Ruby on Rails, aber gleichzeitig zu einem Großteil auf von uns selbst entwickelten Softwareelementen. Jedes Update – ob von uns geschrieben oder nicht – unterläuft strengen Kontrollen, bevor es auf unsere Server aufgespielt wird.

    Updates und sichere Passwörter sind also das A und O gegen Hackerangriffe. Updates sollten so regelmäßig und so zeitnah wie möglich eingespielt werden. Auch wenn diese häufig (anders als bei smooster) manuell durchgeführt werden müssen, sollte diese Aufgabe nicht im Alltagsgeschäft untergehen.


    Meine Seite ist gehackt worden, was kann ich tun?

    Falls das Kind aber schon in den Brunnen gefallen ist, könnt ihr Folgendes tun: Zunächst die Website offline nehmen und Passwörter des CMS, des FTP, von Zahlungsanbietern, etc. ändern. Dann entweder den Schadcode finden und entfernen oder ein Backup einspielen, das vor der Zeit des Hacks gesichert wurde. Und wenn auf E-Mails nicht geantwortet wird, besser nochmals beim Empfänger nachfragen.

    Dies sind die wichtigsten Notfalltipps, aber falls ihr euch nicht auskennt, solltet ihr im Zweifelsfall auf einen Profi zurückgreifen. Manche Hackerangriffe sind so fies, dass man sie mit Waffen jenseits des Standardrepertoires bekämpfen muss.


    Wie schützt ihr euch vor Hackerangriffen? Oder seid ihr schon einmal gehackt worden? Ich freue mich auf eure Kommentare.



    (Headerbild: Foto von indigo_girl, flickr.com/Creative Common Licence)

    zurück
    comments powered by Disqus