Web­si­cher­heit: 10 Experten zur aktuellen Lage der Internet-Security

Mit der fort­schrei­ten­den Eta­blie­rung des Internets in nahezu allen Bereichen des öf­fent­li­chen und privaten Lebens vermehren sich auch die Si­cher­heits­ri­si­ken in der On­line­welt. Gezielte Cy­ber­at­ta­cken auf Un­ter­neh­men, Or­ga­ni­sa­tio­nen und Website-Betreiber werden bei­spiels­wei­se mit Methoden wie SQL-Injection (SQLI) oder (Dis­tri­bu­ted) Denial of Service bzw. (D)DoS durch­ge­führt. Darüber hinaus können Malware wie Com­pu­ter­vi­ren und -würmer, Trojaner, Spyware etc. sowie Angriffe per Cross-Site-Scripting (XSS) oder Brute Force nicht nur bei Dienst­leis­tern, sondern auch bei Anwendern große Schäden anrichten. Ge­fah­ren­quel­len im Netz exis­tie­ren somit glei­cher­ma­ßen für Un­ter­neh­men und Selbst­stän­di­ge wie auch für private Nutzer.

Im Internet agierende Betriebe müssen ihre Server, daran an­ge­schlos­se­ne Websites und Web­an­wen­dun­gen sowie ihre internen Rechner gegen Cy­ber­an­grif­fe und ver­schie­dens­te Malware rüsten, um ihre Daten und Dienste vor Miss­brauch zu schützen. An­dern­falls kann es etwa zum Datenklau, zur Lahm­le­gung von Web­diens­ten oder zur In­fi­zie­rung von Servern und URLs mit Schad­soft­ware kommen.

Letzteres kann auch zum Problem für private In­ter­net­user werden – etwa wenn sie einen solchen be­fal­le­nen Dienst aufrufen und sich hierdurch der eigene Rechner ebenfalls infiziert. Des Weiteren müssen sich Anwender immer auch vor schad­haf­ten In­ter­net­auf­trit­ten und -diensten hüten, die von Cy­ber­kri­mi­nel­len betrieben werden (etwa Phishing-Websites und von vorn­her­ein mit Schad­pro­gram­men ver­se­he­nen Online-Angebote). Ansonsten drohen den Nutzern der Befall von Malware, der Diebstahl sensibler Daten oder die Zweck­ent­frem­dung eigener Rech­ner­res­sour­cen für Botnetze.

Doch sind dies keine Gründe zur Ver­zweif­lung oder gar zur Re­si­gna­ti­on – sowohl für private Anwender als auch für Sys­tem­ad­mi­nis­tra­to­ren gilt: Wer sich hin­sicht­lich der On­line­si­cher­heit auf dem Laufenden hält, Com­pu­ter­sys­te­me richtig schützt und sich stets umsichtig im Netz bewegt, hat nur in den wenigsten Fällen etwas zu be­fürch­ten. Um mehr über die momentane Lage der Web­se­cu­ri­ty zu erfahren, haben wir Gespräche mit 10 IT-Si­cher­heits­exper­ten geführt. Die folgenden In­ter­views geben einen guten Überblick über die konkreten Be­dro­hun­gen im Internet und die ent­spre­chen­den Schutz­maß­nah­men.

Haupt­ge­schäfts­füh­rer bei eco – Verband der In­ter­net­wirt­schaft e.V.

Von welcher Art von Ha­cker­an­grif­fen haben Sie im letzten Jahr am häu­figs­ten gehört bzw. von welchen waren Sie selbst betroffen?

Der wohl größte Angriff der ver­gan­ge­nen Jahre war die Attacke auf Yahoo-Nut­zer­kon­ten. Davon waren mehr als eine Milliarde Nutzer betroffen. Der Angriff erfolgte bereits 2013, wurde aber erst im Dezember 2016 bekannt. Wir selbst waren im ver­gan­ge­nen Jahr nicht von Angriffen betroffen.

Was sind aus Ihrer Sicht als Web­site­be­trei­ber derzeit die 3 größten Gefahren im Internet?

Die ver­wen­de­ten Content-Ma­nage­ment-Systeme stellen häufig große Si­cher­heits­ri­si­ken dar. Vor allem dann, wenn die Systeme veraltet sind und keine Updates mehr durch­ge­führt werden. Hinzu kommt, dass durch in­stal­lier­te Plug-ins Gefahren entstehen.

Sollte jede Website HTTPS un­ter­stüt­zen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

Es ist bereits weit­ver­brei­tet und sollte in jedem Fall zum Standard werden.

Gibt es Schnell­tests, mit denen man die Si­cher­heit einer Website über­prü­fen kann, und wenn ja, wie sinnvoll finden Sie diese?

Die In­itia­ti­ve www.in­itia­ti­ve-s.de/de des Verbandes der In­ter­net­wirt­schaft bietet in jedem Fall eine sinnvolle Prüfung der Homepage. Alles, was dafür notwendig ist, sind die Eingabe der zu über­prü­fen­den Internet-Adresse und die Angabe einer E-Mail-Adresse.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

DDoS-Angriffe treten aktuell ver­gleichs­wei­se häufig auf und das wird wohl auch in Zukunft so bleiben. Relevante Risiken stellen außerdem in­fi­zier­te Wer­be­ban­ner und per­so­na­li­sier­te Phishing-Attacken dar.

Als wie groß schätzen Sie die Gefahr ein, die vom IoT (Internet of Things) ausgeht?

Das IoT ist an sich keine Gefahr. Ge­fähr­lich sind schlecht kon­fi­gu­rier­te Geräte. Mitunter kommen sogar Geräte ohne Si­cher­heits­funk­tio­nen auf den Markt.

Denken Sie, dass das Thema Zwei-Faktor-Au­then­ti­fi­zie­rung 2017 und darüber hinaus relevant sein wird?

Der Trend dazu kam schon 2015 auf und sollte 2017 ei­gent­lich längst Standard sein.

Zu­sam­men­ge­fasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

1. Wenn ein Software-Update angeboten wird, sollte man dieses auch in­stal­lie­ren.
2. Immer erst überlegen, bevor man im Netz handelt. Dazu gehört bei­spiels­wei­se, gegenüber Plug-ins und auch App-Anbietern kritisch zu sein.
3. Starke Pass­wör­ter wählen!

CTO bei Per­for­mics

Von welcher Art von Ha­cker­an­grif­fen haben Sie im letzten Jahr am häu­figs­ten gehört bzw. von welchen waren Sie selbst betroffen?

2016 war wohl das Jahr der DDoS-Angriffe durch IoT-Geräte und der massiven In­fek­tio­nen durch Ran­som­wa­re. Glück­li­cher­wei­se haben bei uns keine Angriffe zu einem Schaden geführt.

Was sind aus Ihrer Sicht als Web­site­be­trei­ber derzeit die 3 größten Gefahren im Internet?

1. Drive-by-Downloads von Schad­pro­gram­men, die sich vom Betreiber unerkannt auf Websites einnisten und deren Besucher mit Viren oder Ran­som­wa­re in­fi­zie­ren.
2. DDoS-Angriffe, die eine Website oder einen Webshop erst „offline“ nehmen und dann Lösegeld verlangen.
3. Unsicher pro­gram­mier­te WordPress-Plug-ins und Browser-Add-ons.

Gibt es Si­cher­heits­stan­dards, die man als Web­site­be­trei­ber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Un­ter­neh­men sicher zu machen?

Ori­en­tie­rung für Sei­ten­be­trei­ber bietet die Do­ku­men­ten­samm­lung des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik (BSI). Die darin ent­hal­te­nen Emp­feh­lun­gen und vor­ge­schla­ge­nen Maßnahmen müssen von einem ge­schul­ten IT-Team korrekt umgesetzt werden, damit sie ihre Wirkung entfalten können.

Um­fang­rei­che Si­cher­heits­prü­fun­gen können auch spe­zia­li­sier­te Agenturen durch­füh­ren, die oft auch Si­cher­heits­sie­gel vergeben. Diese werden nach Bestehen mehr­stu­fi­ger Si­cher­heits-Audits aus­ge­stellt.

Welchen Angriff des ver­gan­ge­nen Jahres schätzen Sie als besonders ge­fähr­lich und welchen als besonders spek­ta­ku­lär ein?

„Spek­ta­ku­lär“ war zwei­fels­oh­ne die Ent­de­ckung, dass ein als Si­cher­heits­soft­ware weit­ver­brei­te­tes Browser-Add-on („Web of Trust“) heimlich per­sön­li­che Daten von Millionen von Nutzern auf die Server des Be­trei­bers über­spielt hat. Durch das Add-on wurden de­tail­lier­te Nut­zer­pro­fi­le erstellt.

„Ge­fähr­lich“ waren die un­ter­schätz­ten DDoS-Angriffe von Aber­tau­sen­den schlecht ge­si­cher­ten Internet-of-Things-Geräten, die Server und DNS-In­fra­struk­tur zum Kollaps brachten.

Gibt es Schnell­tests, mit denen man die Si­cher­heit einer Website über­prü­fen kann, und wenn ja, wie sinnvoll finden Sie diese?

Es gibt eine Reihe von Tools und Dienst­leis­tun­gen. Sie reichen von einer einfachen Si­gna­tur­prü­fung des aus­ge­lie­fer­ten Codes bis hin zu kom­ple­xe­ren Si­cher­heits­prü­fun­gen. Dabei werden die Versionen des Content-Ma­nage­ment-Systems und der in­stal­lier­ten Plug-ins geprüft. So lässt sich aus­schlie­ßen, dass bekannte Si­cher­heits­lü­cken bestehen.

Die Si­cher­heit ist al­ler­dings mitunter trü­ge­risch, denn Schad­pro­gram­me können durchaus erkennen, ob ein Si­cher­heits­scan­ner oder ein Nutzer eine Seite aufruft und dann die Aus­füh­rung von Schad­pro­zes­sen ggf. aussetzen, um unerkannt zu bleiben.

Beispiele für Prüf-Tools sind:

• Ob­ser­va­to­ry von Mozilla.org

• Sitecheck von sucuri.net

Wie häufig wird Ihre Website im Schnitt pro Monat at­ta­ckiert?

Brute-Force-Login-Versuche im Backend von WordPress sind minütlich zu ver­zeich­nen. Mehrere Male die Stunde werden XSS- und SQL-Injection-Angriffe über URL-Parameter versucht. Täglich wird zu­sätz­lich die Existenz be­stimm­ter Soft­ware­pfa­de geprüft, auf der Suche nach an­fäl­li­gen Plug-ins und Soft­ware­ver­sio­nen.

Wo sehen Sie Gefahren bei der Sammlung von Nut­zer­da­ten, und wie kann man diesen Gefahren ent­ge­gen­wir­ken?

Ge­sam­mel­te Nut­zer­da­ten sind sowohl für die je­wei­li­gen Anbieter als auch für Da­ten­die­be in­ter­es­sant. Grund­sätz­lich kann jeder Nutzer der Da­ten­er­fas­sung förmlich wi­der­spre­chen – ob der Betreiber dem tat­säch­lich Folge leistet, ist selten nach­voll­zieh­bar.

Um zu ver­hin­dern, dass sich durch Daten um­fas­sen­de Nut­zer­pro­fi­le erstellen lassen, kann man bei kos­ten­lo­sen Diensten ab­sicht­lich Fehler in Adressen und Namen einbauen. Wo korrekte Daten aufgrund bindender Vorgaben (Kauf­pro­zes­se, Iden­ti­fi­zie­rung) notwendig sind, können diese nach Abschluss des Kaufs bzw. im Anschluss an die Au­then­ti­fi­zie­rung wieder leicht ab­ge­än­dert werden. Auch das Entfernen von Bankdaten aus On­line­shops nach Kauf­ab­schluss stellt sicher, dass die Daten nicht Jahre später doch noch in falsche Hände geraten.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Besonders Dienste und An­wen­dun­gen mit großer Ver­brei­tung sind po­ten­zi­el­le Ge­fah­ren­her­de:

• Mobile Payment und besonders Be­zahl­sys­te­me in On­line­shops sind in­ter­es­sant für Betrüger und Da­ten­die­be.

• Home-Au­to­ma­ti­on-Systeme mit schlecht ge­schütz­ten Web­ober­flä­chen laden zu Spionage und Sabotage ein.

• Homogene Frame­works und Content-Ma­nage­ment-Systeme mit großer Ver­brei­tung machen es An­grei­fern leicht, Schwach­stel­len bei einer großen Zahl von Web­sys­te­men aus­zu­tes­ten.

• Angriffe auf die In­ter­net­in­fra­struk­tur, wie z. B. DDoS-Angriffe, sind ein ernst­zu­neh­men­des und schwer kon­trol­lier­ba­res Risiko für jeden Web­auf­tritt.

Gibt es Mög­lich­kei­ten, sich vor zu­künf­ti­gen Gefahren zu schützen?

Einen 100-pro­zen­ti­gen Schutz vor künftigen Gefahren gibt es leider nicht. Zum Teil sind sie heute noch nicht einmal bekannt. Generell hilft es, seine Websites auf aktuellen Ser­ver­sys­te­men zu betreiben, bewährte und vielfach getestete Content-Ma­nage­ment-Systeme ein­zu­set­zen und die Update- und Patch-Zyklen der ver­wen­de­ten Software ein­zu­hal­ten.

Software für den Betrieb der Website (Plug-ins, Add-ons) sollte nur aus sicheren Quellen stammen und aus sicheren Ver­zeich­nis­sen heraus in­stal­liert werden. Hier gilt es, auf Re­pu­ta­ti­on und Erfahrung zu achten. Wenn Nut­zer­da­ten ge­spei­chert werden, dann in ver­schlüs­sel­ter Form. Stellt die Website eine be­trächt­li­che In­ves­ti­ti­on dar, sollte auch eine spe­zia­li­sier­te Agentur mit der Prüfung und dem Schutz be­auf­tragt werden.

In­sti­tuts­di­rek­tor und Ge­schäfts­füh­rer am Hasso-Plattner-Institut für Soft­ware­sys­tem­tech­nik GmbH

Von welcher Art von Ha­cker­an­grif­fen haben Sie im letzten Jahr am häu­figs­ten gehört bzw. von welchen waren Sie selbst betroffen?

In der letzten Zeit mussten wir einige Brute-Force- und Cross-Site-Scripting-Angriffe abwehren.

Gibt es Si­cher­heits­stan­dards, die man als Web­site­be­trei­ber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Un­ter­neh­men sicher zu machen?

Es ist un­ab­ding­bar, Nut­zer­ein­ga­ben zu über­prü­fen und eine zu­sätz­li­che Ab­si­che­rung aller Seiten mittels HTTPS zu ge­währ­leis­ten. Damit können die am weitesten ver­brei­te­ten Angriffe abgewehrt und außerdem die In­te­gri­tät und Ver­trau­lich­keit der Website gesichert werden.

Welchen Angriff des ver­gan­ge­nen Jahres schätzen Sie als besonders ge­fähr­lich und welchen als besonders spek­ta­ku­lär ein?

Im ver­gan­ge­nen Jahr war einer der spek­ta­ku­lärs­ten Angriffe si­cher­lich der DDoS-Angriff des Mirai-Botnet. Der Da­ten­ver­kehr dieses Angriffes war sehr be­ein­dru­ckend. Derartige DDoS-Angriffe ab­zu­weh­ren bzw. sich dagegen zu schützen, ist nach wie vor alles andere als einfach.

Wie werden Si­cher­heits­stan­dards/-vorgaben (z. B. Zer­ti­fi­ka­te) für Ver­brau­cher kenntlich gemacht, und finden Sie diese aus­sa­ge­kräf­tig?

Die not­wen­di­gen Standards werden nor­ma­ler­wei­se durch Symbole im Browser kenntlich gemacht. So wird zum Beispiel ein gültiges Zer­ti­fi­kat durch ein grünes Symbol ge­kenn­zeich­net. Zu­sätz­lich über­prü­fen viele Browser, ob Login-Formulare auf un­ge­si­cher­ten Seiten vorhanden sind, und heben dies dann auch hervor. Bei Google Chrome zum Beispiel gibt es ver­schie­de­ne Si­cher­heits­war­nun­gen, die Probleme oder veraltete Verfahren kenntlich machen. Der Nutzer muss dann noch einmal explizit sein Ein­ver­ständ­nis zum Fort­fah­ren geben.

Finden Sie, die Si­cher­heit von Nut­zer­da­ten ist durch die Ver­wen­dung von Google (AMP, Google Cloud), Facebook (Instant Articles, FB Apps) oder Amazon Cloud gefährdet (Stichwort „Safe Harbor“)?

Diese Frage ist nicht eindeutig zu be­ant­wor­ten. Diese Firmen un­ter­ste­hen natürlich gewissen Richt­li­ni­en, die sie zur Her­aus­ga­be der Daten zwingen können. Al­ler­dings versuchen sich die Firmen so gut es geht, gegen die Her­aus­ga­be zu wehren, um die eigenen Nutzer zu schützen. Apples Streit mit dem FBI ist das be­kann­tes­te Beispiel.

Natürlich gibt es keine Garantie, dass Daten auf fremden Servern absolut sicher verwahrt sind. Man muss aber auch sagen, dass gerade die namhaften Dienste in der Regel gute Schutz­maß­nah­men ergreifen, um unbefugte Zugriffe zu ver­hin­dern. Ebenso muss man sich fragen, ob die per­sön­li­chen Daten auf al­ter­na­ti­ven Ablagen sicherer sind. Pri­vat­rech­ner können in der Regel einfacher gehackt werden als pro­fes­sio­nell gewartete Server global agie­ren­der Un­ter­neh­men.

Als wie groß schätzen Sie die Gefahr ein, die vom IoT (Internet of Things) ausgeht?

Das Internet of Things wird eine große Rolle bei zu­künf­ti­gen Angriffen spielen. Zum einen sind viele Geräte im IoT un­zu­rei­chend gesichert und können so miss­braucht werden. Zum anderen gibt es so viele Geräte mit einer In­ter­net­an­bin­dung, dass ein Zu­sam­men­schluss dieser Geräte eine immense Datenflut erzeugen könnte. Das Mirai-Botnet hat sich das bei­spiels­wei­se zunutze gemacht.

Zu­sam­men­ge­fasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

1. Software immer auf dem neusten Stand halten, um eventuell bekannt gewordene Si­cher­heits­lü­cken schnell zu schließen.
2. Darauf achten, dass man Daten nur an ver­trau­ens­wür­di­ge Websites wei­ter­gibt.
3. Immer mit dem nötigen Si­cher­heits­be­wusst­sein und der ent­spre­chen­den Vorsicht im Internet agieren.

Denken Sie, dass das Thema Zwei-Faktor-Au­then­ti­fi­zie­rung 2017 und darüber hinaus relevant sein wird?

Zwei- oder Mehr-Faktor-Au­then­ti­fi­zie­rung ist meiner Ansicht nach eine sinnvolle Ergänzung dafür, Zugänge zu Diensten ab­zu­si­chern.

Für den Nutzer bedeutet es meist einen etwas größeren Aufwand, wenn er zum Beispiel nach dem Passwort auch noch einen über das Handy zu­ge­schick­ten Code eingeben muss. Mit Blick auf die ver­bes­ser­te Si­cher­heit ist dieser Mehr­auf­wand aber ge­recht­fer­tigt. Selbst wenn Angreifer ein Passwort erbeutet haben, sind sie dann immer noch nicht in der Lage, sich unbefugt ein­zu­log­gen, weil der zweite Faktor fehlt. Da das Si­cher­heits­be­wusst­sein generell steigen wird bzw. steigen muss, denke ich, dass immer mehr Dienste eine stärkere Au­then­ti­fi­zie­rung verwenden werden.

Leitung Solution Com­pe­tence Center Product Life Cycle Ma­nage­ment bei der Zeiss AG und Ge­sell­schaf­ter und Product Lead bei der Inpsyde GmbH

Gibt es Si­cher­heits­stan­dards, die man als Web­site­be­trei­ber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Un­ter­neh­men sicher zu machen?

Von all­ge­mei­nen „Standards“ zu sprechen, ist eher schwierig. Wir de­fi­nie­ren als Un­ter­neh­men selbst Standards und über­tra­gen diese ggf. auf die Kunden. Im E-Commerce-Umfeld gibt es eine Reihe von Regeln, die immer wieder Anwendung finden; aber auch die müssen ent­spre­chend ausgelegt werden.

Welchen Angriff des ver­gan­ge­nen Jahres schätzen Sie als besonders ge­fähr­lich und welchen als besonders spek­ta­ku­lär ein?

„Spek­ta­ku­lär“ sind immer Angriffe auf Teile der Industrie bzw. Wirt­schaft – bei­spiels­wei­se auf Kraft­wer­ke. Von ihnen sind zwangs­läu­fig auch Bürger betroffen.

Als besonders ge­fähr­lich erachte ich den Diebstahl von Nut­zer­da­ten – ins­be­son­de­re wenn es damit möglich ist, per­so­na­li­sier­te Profile zu erstellen und in der Folge zu miss­brau­chen.

Wie werden Si­cher­heits­stan­dards/-vorgaben (z. B. Zer­ti­fi­ka­te) für Ver­brau­cher kenntlich gemacht, und finden Sie diese aus­sa­ge­kräf­tig?

Viele der Zer­ti­fi­ka­te sind nicht son­der­lich aus­sa­ge­kräf­tig. Nutzer nehmen sie zwar wahr, weil sie ein­ge­blen­det werden, aber die Prüf­ver­fah­ren dahinter sind nicht bekannt oder schwer er­sicht­lich für den Nutzer.

Finden Sie, die Si­cher­heit von Nut­zer­da­ten ist durch die Ver­wen­dung von Google (AMP, Google Cloud), Facebook (Instant Articles, FB Apps) oder Amazon Cloud gefährdet (Stichwort „Safe Harbor“)?

Ja. Ich finde vor allem die Kon­zen­tra­ti­on der Nut­zer­da­ten in zu wenigen Händen be­denk­lich. Wenn wenige Akteure Zugriff auf große Da­ten­men­gen haben, können sie diese weit­rei­chend einsetzen – und besitzen zudem einen Wett­be­werbs­vor­teil.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Ich sehe vor allem Gefahren aus der ver­stärk­ten Nutzung von Cloud­spei­cher-Diensten erwachsen, und neue Gefahren, die sich aus der Tatsache ergeben, dass es immer mehr Geräte mit einem Netz­zu­gang gibt. Si­cher­heit spielt da kaum eine Rolle. Nutzer wollen eine möglichst große Funk­tio­na­li­tät und neue Features; bei den Un­ter­neh­men stehen häufig die Gewinne im Vor­der­grund. Das Thema Si­cher­heit rückt fast zwangs­läu­fig in die zweite Reihe.

Denken Sie, dass das Thema Zwei-Faktor-Au­then­ti­fi­zie­rung 2017 und darüber hinaus relevant sein wird?

Nein. Nur wenige Nutzer arbeiten damit, und daran wird sich wohl auch in Zukunft nicht viel ändern. Es wurde zu wenig Auf­klä­rung betrieben. Außerdem stellt das Verfahren eine prak­ti­sche Hürde im Alltag dar.

Ist der DsiN-Si­cher­heits­in­dex ein aus­sa­ge­kräf­ti­ges Be­wer­tungs­kri­te­ri­um für die Si­cher­heits­la­ge im Netz?

Nur bedingt, aber er kann sicher mehr Auf­merk­sam­keit auf das Thema lenken.

Sind Cyber-Policen eine sinnvolle In­ves­ti­ti­on, und wenn ja, wann sollten sich Un­ter­neh­men dafür ent­schei­den?

Nein. Ver­si­che­run­gen kommen nur zum Tragen, wenn ein Problem besteht oder der Schaden bereits ent­stan­den ist. Das Augenmerk sollte statt­des­sen auf Prä­ven­ti­on und Ver­mei­dung liegen.

CEO bei go­Se­cu­ri­ty

Was sind aus Ihrer Sicht als Web­site­be­trei­ber derzeit die 3 größten Gefahren im Internet?

Für Sei­ten­be­trei­ber sehe ich vor allem zwei große Ri­si­ko­be­rei­che: gehackte Seiten und lahm­ge­leg­te In­fra­struk­tur infolge von DDoS-Attacken.

Welchen Angriff des ver­gan­ge­nen Jahres schätzen Sie als besonders ge­fähr­lich und welchen als besonders spek­ta­ku­lär ein?

Spek­ta­ku­lär war die Attacke des Persirai-Botnets. Diese DDoS-Attacke machte sich anfällige IP-Kameras zunutze. Sobald die Malware eine Kamera er­folg­reich an­ge­grif­fen hatte, führte sie von außen gegebene Befehle aus. Vielen Nutzern ist gar nicht bewusst, dass ihre Kamera Teil eines Botnets ist.

Gibt es Schnell­tests, mit denen man die Si­cher­heit einer Website über­prü­fen kann, und wenn ja, wie sinnvoll finden Sie diese?

Ich erachte sowohl SSL- als auch Qualys-Tests als sinnvoll für Sei­ten­be­trei­ber.

Finden Sie, die Si­cher­heit von Nut­zer­da­ten ist durch die Ver­wen­dung von Google (AMP, Google Cloud), Facebook (Instant Articles, FB Apps) oder Amazon Cloud gefährdet (Stichwort „Safe Harbor“)?

Ja, das Thema „gläserner Bürger“ ist aktueller denn je. Die großen Player haben Zugriff auf un­glaub­li­che Da­ten­men­gen. Wie sich der Umgang mit diesen Daten ent­wi­ckelt, ist ent­schei­dend.

Als wie groß schätzen Sie die Gefahr ein, die vom IoT (Internet of Things) ausgeht?

Als sehr groß! Die Her­stel­ler kümmern sich einfach viel zu selten um si­cher­heits­spe­zi­fi­sche Fragen. Welche Folgen das haben kann, hat das erwähnte Persirai-Botnet gezeigt.

Sind Cyber-Policen eine sinnvolle In­ves­ti­ti­on, und wenn ja, wann sollten sich Un­ter­neh­men dafür ent­schei­den?

Nein, das sind sie ganz klar nicht. Die Policen, die ich kenne, sind reine Alibi-Maßnahmen.

Hacker, IT-Si­cher­heits­exper­te und An­ge­stell­ter in einem großen deutschen IT-Si­cher­heits­un­ter­neh­men

Von welcher Art von Ha­cker­an­grif­fen haben Sie im letzten Jahr am häu­figs­ten gehört bzw. von welchen waren Sie selbst betroffen?

Ran­som­wa­re und Mass-Exploit-Scanning (z. B. bei T-Online-Routern) sind nach wie vor relevante Themen. Dazu gibt es laufend Be­trugs­ver­su­che durch Phishing (bzw. Social En­gi­nee­ring im All­ge­mei­nen) und Website-Hacks.

Gibt es Si­cher­heits­stan­dards, die man als Web­site­be­trei­ber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Un­ter­neh­men sicher zu machen?

Es gibt eine Reihe von Reports, fest­ge­leg­ten Standards und Zer­ti­fi­zie­run­gen, die sowohl Be­trei­bern als auch Sei­ten­be­su­chern wei­ter­hel­fen können:

• die SANS Top 25 und OWASP Top 10 geben einen Überblick über die ge­fähr­lichs­ten Soft­ware­schwach­stel­len und -fehler

• die Standards des NIST (US-Bun­des­be­hör­de zur Web­si­cher­heit)

• der TÜViT Web Ap­pli­ca­ti­on Security Standard

• die Zer­ti­fi­zie­rung des BSI / Common Criteria

Sollte jede Website HTTPS un­ter­stüt­zen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

Es ent­wi­ckelt sich immer mehr zum Standard. Gerade Google und andere Browser-Ent­wick­ler bauen vermehrt Druck auf Sei­ten­be­trei­ber auf, HTTPS zu in­te­grie­ren. HTTPS/TLS sollte in jedem Fall Standard sein, weil (fast) alle Daten einen gewissen Sen­si­bi­li­täts­grad aufweisen – zumindest aus Sicht des Nutzers.

Wo sehen Sie Gefahren bei der Sammlung von Nut­zer­da­ten, und wie kann man diesen Gefahren ent­ge­gen­wir­ken?

Die un­acht­sa­me Wei­ter­ga­be oder der Verlust von Nut­zer­da­ten stellen eine große Gefahr dar. Beispiele dafür sind die Da­ten­lecks bei Yahoo und Adobe.

Aus Sicht eines Un­ter­neh­mens sollte Com­pli­ance ein Ziel sein. Grund­la­gen für Com­pli­ance-Richt­li­ni­en sind das Bun­des­da­ten­schutz­ge­setz und ab Mai 2018 die noch viel schärfere neue EU-Da­ten­schutz­grund­ver­ord­nung. Außerdem sollten bewährte Security-Standards ein­ge­hal­ten werden. Wichtig sind hier z. B. das „Least Pri­vi­le­ges“-Prinzip und das „Need to know“-Prinzip.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Ran­som­wa­re wird weiterhin verstärkt auf­tau­chen. Die Zahl von ver­schie­de­nen Malware-Varianten steigt su­pra­li­ne­ar. Dank Industrie 4.0 und IoT gehen immer mehr Maschinen ans Netz. Aufgrund des Wett­be­werbs will jedes Un­ter­neh­men das schnells­te sein. Darunter leiden die Si­cher­heits­stan­dards. Aktuell wurden z. B. über 40 Si­cher­heits­lü­cken in Samsungs En­ter­tain­ment-OS Tizen gefunden. Es kommt in Smart-TV zum Einsatz. Das Si­cher­heits­be­wusst­sein der markt­be­herr­schen­den Her­stel­ler ist desolat.

Gibt es Mög­lich­kei­ten, sich vor zu­künf­ti­gen Gefahren zu schützen?

Sowohl Kunden als auch Her­stel­ler müssen ein Be­wusst­sein dafür ent­wi­ckeln, wie sie ver­ant­wor­tungs­voll mit In­for­ma­tio­nen umgehen und wann sie diese preis­ge­ben. Was außerdem ef­fi­zi­en­ter werden sollte: Es müssen Qua­li­täts­vor­ga­ben (auch ge­setz­lich) definiert und umgesetzt werden.

Welchen In­fo­quel­len nutzen Sie, um up to date zu bleiben?

Eine Reihe von Kanälen: bsi-fuer-buerger.de, die CERT-News des BSI und dann noch diverse Blogs und Seiten wie den Google Security Blog, CIO.com, Dar­kre­a­ding.com ...

Zu­sam­men­ge­fasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

• Seien Sie vor­sich­tig bei der Freigabe Ihrer Daten!

• In­stal­lie­ren Sie immer alle Updates zeitnah!

• Klicken Sie keinen Link an, ohne ihn validiert zu haben!

Ist der DsiN-Si­cher­heits­in­dex ein aus­sa­ge­kräf­ti­ges Be­wer­tungs­kri­te­ri­um für die Si­cher­heits­la­ge im Netz?

Der DsiN ist ein Mo­sa­ik­stein­chen dafür, ja; aber allein nicht aus­sa­ge­kräf­tig.

Vorstand der Bun­des­ge­schäfts­stel­le Sicher-Stark-Stiftung e.V.

Von welcher Art von Ha­cker­an­grif­fen haben Sie im letzten Jahr am häu­figs­ten gehört bzw. von welchen waren Sie selbst betroffen?

Ha­cker­an­grif­fe haben wir (leider) jeden Tag.

Auch Haushalte waren häufig betroffen von Phishing-Angriffen, Malware-Befall, Brow­ser­um­lei­tun­gen und dem so­ge­nann­ten BKA-Trojaner. Außerdem geht von E-Mail-Anhängen nach wie vor eine große Gefahr aus.

In Un­ter­neh­men sind es vor allem Angriffe auf Firewalls und si­cher­heits­re­le­van­te Systeme durch E-Mails.

Wir waren vom BKA-Trojaner in der ersten Stufe betroffen, konnten unser System aber nach zwei Stunden wieder flott­ma­chen – ohne Lösegeld zu zahlen.

Sollte jede Website HTTPS un­ter­stüt­zen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

Jein. Grund­sätz­lich ist HTTPS positiv zu bewerten, aber auch dieses Protokoll ist „hackbar“. Ich würde mir wünschen, dass die Provider es kostenlos anbieten.

Wie häufig wird Ihre Website im Schnitt pro Monat at­ta­ckiert?

Leider jeden Tag, wobei die Mehrheit der Attacken über Mails erfolgt.

Wie werden Si­cher­heits­stan­dards/-vorgaben (z. B. Zer­ti­fi­ka­te) für Ver­brau­cher kenntlich gemacht, und finden Sie diese aus­sa­ge­kräf­tig?

Vor allem in Shops sind SSL-Zer­ti­fi­ka­te wichtig. Im Grunde sollte sie jeder Anbieter einführen. In diesem Bereich würde ich mir noch mehr Auf­klä­rung von der Bun­des­re­gie­rung wünschen. Als kleine Bun­des­ge­schäfts­stel­le haben wir nicht die not­wen­di­gen Mittel dafür, Ver­brau­cher aus­rei­chend zu in­for­mie­ren. Und auch hier wünsche ich mir, dass ein solcher Si­cher­heits­stan­dard schon von Providern bzw. Hosting-Anbietern kostenlos zur Verfügung gestellt wird.

Finden Sie, die Si­cher­heit von Nut­zer­da­ten ist durch die Ver­wen­dung von Google (AMP, Google Cloud), Facebook (Instant Articles, FB Apps) oder Amazon Cloud gefährdet (Stichwort „Safe Harbor“)?

Ja. An diesen Stellen sind große Da­ten­men­gen kon­zen­triert, zu viele meiner Meinung nach. Zudem sind das beliebte An­griffs­zie­le. Die EU und die USA haben sich auf eine Neu­re­ge­lung für den trans­at­lan­ti­schen Da­ten­aus­tausch geeinigt, was gut ist. Trotzdem bleiben Si­cher­heits­fra­gen bestehen, vor allem wenn es um Angriffe aus dem Netz geht. Diese wird es zwei­fel­los auch in Zukunft geben.

Zu­sam­men­ge­fasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

• Schu­lun­gen und Vorträge besuchen!

• Software aktuell halten!

• Er­fah­run­gen sammeln und Lehren daraus ziehen!

Welchen In­fo­quel­len nutzen Sie, um up to date zu bleiben?

Häufig besuche ich die Seiten des BSI und diverse Online-Portale.

Sind Cyber-Policen eine sinnvolle In­ves­ti­ti­on, und wenn ja, wann sollten sich Un­ter­neh­men dafür ent­schei­den?

Es kommt darauf an, wie viel Geld zur Verfügung steht und was ab­ge­si­chert werden soll. Grund­sätz­lich sind Policen nicht schlecht, aber es kommt auf den je­wei­li­gen Inhalt einer Police an.

Director Tech­no­lo­gy bei Chrono24

Was sind aus Ihrer Sicht als Web­site­be­trei­ber derzeit die 3 größten Gefahren im Internet?

• DDoS-Attacken

• bösartige Bots und Crawler

• Phishing

Gibt es Si­cher­heits­stan­dards, die man als Web­site­be­trei­ber erfüllen muss, um ein Online-Angebot sowohl für Kunden als auch das eigene Un­ter­neh­men sicher zu machen?

Rechtlich gesehen: nein. Al­ler­dings sind wir als Web­site­be­trei­ber natürlich stets bemüht, unsere Seite si­cher­heits­tech­nisch auf einem sehr hohen Niveau zu betreiben und fort­zu­ent­wi­ckeln. Wir haben bei­spiels­wei­se die aktuelle OWASP-Top-10-Liste im Blick, damit wir ggf. weit­ver­brei­te­te Si­cher­heits­lü­cken auf unserer Plattform schnell schließen können.

Welchen Angriff des ver­gan­ge­nen Jahres schätzen Sie als besonders ge­fähr­lich und welchen als besonders spek­ta­ku­lär ein?

Die DDoS-Attacke auf Krebs­On­Se­cu­ri­ty.com war einer der spek­ta­ku­lärs­ten Angriffe, weil die Mi­ti­ga­ti­on erst durch Googles Project Shield möglich wurde. Sogar ein „Global Player“ wie Akamai war mit einem Angriff dieser Dimension über­for­dert.

Gibt es Schnell­tests, mit denen man die Si­cher­heit einer Website über­prü­fen kann, und wenn ja, wie sinnvoll finden Sie diese?

Ja, es gibt durchaus sinnvolle Schnell­tests. Wenn man aber Wert auf Si­cher­heit legt und daraus Nutzen ziehen will, braucht man auch Experten, die diese Tools richtig einsetzen können.

Wo sehen Sie Gefahren bei der Sammlung von Nut­zer­da­ten, und wie kann man diesen Gefahren ent­ge­gen­wir­ken?

Die Gefahr bei der Sammlung von Nut­zer­da­ten sehe ich vor allem im miss­bräuch­li­chen Umgang mit den Daten. Hier besteht zum einen Gefahr durch kri­mi­nel­le Ma­chen­schaf­ten (z. B. Diebstahl von Kre­dit­kar­ten­in­for­ma­tio­nen). Zum anderen stellen auch Un­ter­neh­men ein Risiko dar, wenn sie die Nut­zer­da­ten ohne Zu­stim­mung der Nutzer sammeln und dann sogar wei­ter­ver­kau­fen.

Als wie groß schätzen Sie die Gefahr ein, die vom IoT (Internet of Things) ausgeht?

Diverse Angriffe in der jüngeren Ver­gan­gen­heit haben gezeigt, dass vom IoT relativ große Gefahr ausgeht. Die ent­spre­chen­den Geräte sind oftmals nicht aus­rei­chend geschützt. Solche Botnets, die sich das IoT zunutze machen, können dadurch zunehmend mächtiger werden.

Welchen In­fo­quel­len nutzen Sie, um up to date zu bleiben?

Vor allem Blogs und News-Seiten. www.heise.de/security/ finde ich bei­spiels­wei­se hilfreich.

Ist der DsiN-Si­cher­heits­in­dex ein aus­sa­ge­kräf­ti­ges Be­wer­tungs­kri­te­ri­um für die Si­cher­heits­la­ge im Netz?

Mir ist der Index bisher kein Begriff.

Head of In­for­ma­ti­on Security bei IONOS Internet SE

Was sind aus Ihrer Sicht als Web­site­be­trei­ber derzeit die 3 größten Gefahren im Internet?

Die größte Gefahr geht von pro­fes­sio­nell ar­bei­ten­den, wirt­schaft­lich ori­en­tier­ten An­grei­fer­grup­pen aus. Diese bleiben über längere Zeit aktiv und ent­wi­ckeln ihre Tools und Methoden kon­ti­nu­ier­lich weiter. Solche Gruppen nutzen un­ter­schied­li­che An­griffs­vek­to­ren:

• DDoS – für Angreifer stellt das eine günstige Methode dar, In­fra­struk­tu­ren im Netz zu at­ta­ckie­ren

• Soft­ware­schwach­stel­len – ins­be­son­de­re so­ge­nann­te Zero-Day-Lücken. Gerade bei Software, die über Jahre wei­ter­ent­wi­ckelt wurde und lange im Einsatz ist, besteht ein hohes Risiko für Schwach­stel­len

• Social En­gi­nee­ring – Be­trugs­ver­su­che also, die auf den Nutzer abzielen; er ist das schwächs­te Glied in der Kette. Dazu gehört vor allem das Phishing

Sollte jede Website HTTPS un­ter­stüt­zen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

HTTPS mit einem sinnvoll und sicher kon­fi­gu­rier­ten TLS als Basis gehört in­zwi­schen zur Grund­aus­stat­tung einer Website. Es ist im Übrigen auch aus Sicht von Kunden immer mehr ein „Muss“ geworden in der „Post-Snowden-Ära“. Wenn­gleich aktuelle Vorfälle zeigen, dass auch HTTPS nicht unfehlbar ist – das Vertrauen der Kunden in das Schloss­sym­bol im Web­brow­ser ist nach wie vor groß.

Gibt es Schnell­tests, mit denen man die Si­cher­heit einer Website über­prü­fen kann, und wenn ja, wie sinnvoll finden Sie diese?

Es gibt durchaus Schnell­tests, die sinnvolle Er­geb­nis­se liefern. Man kann sie ziel­ge­rich­tet als Diagnose-In­stru­men­te einsetzen, um die Si­cher­heit einer Website zu prüfen und zu ver­bes­sern. Beispiele sind TLS-Tests wie der von SSL Labs oder Vul­nerabi­li­ty Scanner wie Nessus.

Man sollte sich aber immer im Klaren sein, dass die Schnell­tests nur einen Teil der An­griffs­ober­flä­che prüfen. Bei selbst­ent­wi­ckel­ten Web­an­wen­dun­gen ist so­ge­nann­te „Ap­pli­ca­ti­on Pe­ne­tra­ti­on“ ergänzend zu den gängigen Schnell­tests Pflicht. Darüber hinaus ändern sich für die Si­cher­heit relevante Bereiche mit der Zeit, z. B. durch neue Updates. Ein nach­hal­ti­ges Test­kon­zept sollte auch diese ein­be­zie­hen.

Wie häufig wird Ihre Website im Schnitt pro Monat at­ta­ckiert?

Wenn man alle Attacken inklusive DDoS-Angriffen mitzählt, sind es sicher viele Tausend pro Monat. Ohne einen sinn­vol­len, au­to­ma­ti­siert ar­bei­ten­den „Breit­band­ba­sis­schutz“ wäre die Ver­füg­bar­keit einer Website nicht zu ge­währ­leis­ten. All diese Angriffe bleiben im We­sent­li­chen erfolglos.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Eine Reihe von Online-Quellen berichtet von der stei­gen­den Bedrohung durch DDoS-Attacken. Das IoT wird durch Ska­lie­rung der Geräte und Schwach­stel­len diese Bedrohung sicher ver­grö­ßern. Nicht zu un­ter­schät­zen ist außerdem das Social En­gi­nee­ring, das den Menschen als Schwach­stel­le nutzen will. Die Methoden der Angreifer werden auch hier immer aus­ge­feil­ter.

Gibt es Mög­lich­kei­ten, sich vor zu­künf­ti­gen Gefahren zu schützen?

Wenn man in seinem Portfolio der Si­cher­heits­maß­nah­men prä­ven­ti­ve Maßnahmen nicht ver­nach­läs­sigt, ist man gegen zu­künf­ti­ge Gefahren gut geschützt. Ein gutes Mo­ni­to­ring hilft bei der Erkennung neuer Angriffe. Sichere Soft­ware­ent­wick­lung schützt nicht nur gegen einzelne Gefahren, sondern adres­siert ganze Ge­fah­ren­klas­sen.

Denken Sie, dass das Thema Zwei-Faktor-Au­then­ti­fi­zie­rung 2017 und darüber hinaus relevant sein wird?

Zwei-Faktor-Au­then­ti­fi­zie­rung ist bereits seit mehreren Jahren ein wichtiger Trend und gehört in­zwi­schen zu den „Industry Best Practices“. 2017 geht es vor allem in Bezug auf die Nut­zer­freund­lich­keit darum, kom­bi­nier­te Au­then­ti­fi­zie­rungs­me­tho­den zu ver­bes­sern.

Ist der DsiN-Si­cher­heits­in­dex ein aus­sa­ge­kräf­ti­ges Be­wer­tungs­kri­te­ri­um für die Si­cher­heits­la­ge im Netz?

Gute Si­cher­heits­kenn­zah­len sind dafür wichtig, steuernd Einfluss auf das Si­cher­heits­ni­veau nehmen zu können. Der DsiN-Si­cher­heits­in­dex wird hier sicher einen positiven Beitrag leisten, sollte al­ler­dings nicht als einzige In­for­ma­ti­ons­quel­le her­an­ge­zo­gen werden.

Sind Cyber-Policen eine sinnvolle In­ves­ti­ti­on, und wenn ja, wann sollten sich Un­ter­neh­men dafür ent­schei­den?

Cyber-Policen sind noch ver­hält­nis­mä­ßig neue In­stru­men­te. Sowohl Anbieter als auch Kunden sind noch dabei, sich auf diese ein­zu­stel­len. Eine Ent­schei­dung für oder gegen eine Police muss auf Grundlage einer fun­dier­ten Ri­si­ko­be­wer­tung statt­fin­den und vor allem die Kosten- sowie die Nut­zen­sei­te einander trans­pa­rent ge­gen­über­stel­len.

Pro­jekt­ma­nage­ment, Web­si­cher­heit, Pro­gram­mie­rung bei Forward Marketing® GbR

Was sind aus Ihrer Sicht als Web­site­be­trei­ber derzeit die 3 größten Gefahren im Internet?

• die Pass­wort­si­cher­heit spielt nach wie vor eine sehr wichtige Rolle
• veraltete Software
• Un­wis­sen­heit seitens der Betreiber

Sollte jede Website HTTPS un­ter­stüt­zen oder empfiehlt sich das Protokoll nur für E-Commerce-Seiten?

Jede Seite sollte HTTPS nutzen, spä­tes­tens seit das kos­ten­freie Let´s Encrypt SSL-Zer­ti­fi­kat bei vielen Hosting-Anbietern direkt nutzbar ist. Abgesehen davon ist auch das Bun­des­da­ten­schutz­ge­setz zu beachten. Google bewertet mitt­ler­wei­le SSL stark positiv – und die Nutzer legen zunehmend ein Augenmerk darauf. Kurzum: 2017 sollte jede Webseite SSL im­ple­men­tiert haben.

Wie werden Si­cher­heits­stan­dards/-vorgaben (z. B. Zer­ti­fi­ka­te) für Ver­brau­cher kenntlich gemacht, und finden Sie diese aus­sa­ge­kräf­tig?

Den meisten Nutzern sind diese Standards nicht bewusst, sie achten jedoch auf Siegel und zunehmend die grüne Adress­zei­le (SSL-Schutz). Ein Web­sei­ten­be­trei­ber kann sich positiv abheben, indem er/sie dies plastisch erklärt, z. B. im Impressum oder einer eigens dafür ein­ge­rich­te­ten Un­ter­sei­te.

Wo sehen Sie Gefahren bei der Sammlung von Nut­zer­da­ten, und wie kann man diesen Gefahren ent­ge­gen­wir­ken?

Die Gefahren liegen in der Da­ten­spei­che­rung selbst und der damit ver­bun­de­nen po­ten­zi­el­len Pro­fi­ler­stel­lung zu „Mar­ke­ting­zwe­cken“. Ent­ge­gen­wir­ken kann man dem durch bewusstes Me­di­en­ver­hal­ten, Nachhaken bei Sei­ten­be­trei­bern sowie natürlich auch durch An­ony­mi­sie­rungs-An­wen­dun­gen wie z. B. Tor.

Welche Gefahren sind 2017 besonders relevant und welche könnten in Zukunft an Relevanz gewinnen?

Da wird sich im Vergleich zur aktuellen Lage nicht viel ändern. DDoS-, SQLI-, XSS- und Brute-Force-Attacken werden weiter die Spitze bilden. An Relevanz gewinnen werden ver­bun­de­ne Marketing-Daten wie Pro­fil­erhe­bung und In­ter­es­sen­ana­ly­se in Bezug auf das digitale Verhalten und folgender po­ten­zi­el­ler Ma­ni­pu­la­ti­on.

Zu­sam­men­ge­fasst: Was sind Ihre Top-3-Tipps dafür, jetzt und zukünftig sicher im Internet unterwegs zu sein?

• bewusster Umgang mit Online-Medien
• Wissen erweitern oder Profis beratend zur Seite zu wissen
• Ver­schlüs­se­lungs­tech­no­lo­gien nutzen

Welche In­fo­quel­len nutzen Sie, um up to date zu bleiben?

Das ist eine ganze Reihe – bei­spiels­wei­se heise.de/security, the­ha­cker­news.com und Twitter.