Ein kleines Datenleck kann schwer­wie­gen­de Folgen für Un­ter­neh­men haben: Um­satz­aus­fall, Re­pu­ta­ti­ons­schä­den, Zi­vil­kla­gen. Viele Firmen, allen voran On­line­shops, genießen das Vertrauen zahl­rei­cher Kunden, die ihnen per­sön­li­che Daten und teilweise sogar Konto- und Kre­dit­kar­ten­in­for­ma­tio­nen an­ver­trau­en. Diese Daten muss man schützen – denn Cyber-Angriffe sind im Online-Business ein all­täg­li­ches Problem. Auch die DSGVO erlegt Website-Be­trei­bern eine Sorg­falts­pflicht auf: Sensible Nut­zer­da­ten müssen aus­rei­chend geschützt werden. Neben dem re­gel­mä­ßi­gen Website Security Check können Un­ter­neh­men auch zu­sätz­li­che Si­cher­heits­maß­nah­men nutzen.

Offene Systeme – auch für Hacker

Das Ver­spre­chen vieler Anbieter: Mit wenigen Klicks zur eigenen Homepage. Und tat­säch­lich kann man heut­zu­ta­ge eine eigene Website ohne großen Pro­gram­mier­auf­wand innerhalb kürzester Zeit ver­öf­fent­li­chen. Für Blogs, Shops oder News­sei­ten sind die un­ter­schied­lichs­ten Web­an­wen­dun­gen auf dem Markt verfügbar. Doch die Content-Ma­nage­ment-Lösungen, Shop­sys­te­me oder Foren-Software, die dabei zum Einsatz kommen, stellen auch ein er­heb­li­ches Si­cher­heits­ri­si­ko da. Denn „Open-Source“ bedeutet nicht nur, dass der Quellcode für alle Nutzer frei verfügbar ist, es ist auch ein offenes System für Hacker und andere Cyber-Kri­mi­nel­le.

Wer kein Content-Ma­nage­ment-System verwenden möchte und dennoch kom­for­ta­bel an eine Website kommen will, kann auf einen Website-Builder zu­rück­grei­fen. Wie in einem Bau­kas­ten­sys­tem kann man die einzelnen Elemente einer Homepage zu­sam­men­stel­len – ohne sich dabei um komplexe Kon­fi­gu­ra­tio­nen kümmern zu müssen. Man überlässt also auch einige Si­cher­heits­vor­keh­run­gen dem Anbieter. Da sich hier al­ler­dings Experten damit aus­ein­an­der­set­zen, kann man sich getrost auf Inhalte und Ge­stal­tung kon­zen­trie­ren.

Profi-Website in Sekunden dank KI.
  • Profi-Website in Sekunden dank KI
  • Aus tausenden Vorlagen auswählen
  • 30 Tage kostenlos testen

Vom Quellcode zum Kre­dit­kar­ten­be­trug

Über 35 Prozent aller Websites im Internet basieren auf dem Content-Ma­nage­ment-System WordPress. Die Community zählt, ähnlich wie Joomla oder TYPO3, sehr viele aktive Mit­glie­der. Jedes davon hat die Mög­lich­keit, ei­gen­stän­dig Er­wei­te­run­gen, Plug-ins, Module oder Templates zu ent­wi­ckeln und sie der Ge­mein­schaft zur Verfügung zu stellen. Dieser Open-Source-Ansatz ist bei Nutzern beliebt – nicht zuletzt aufgrund der Kos­ten­er­spar­nis. Doch beliebt sind die populären CMS-Programme und ihre Plug-ins auch bei Hackern, die es auf große, weit ver­brei­te­te Systeme abgesehen haben.

Die Cy­ber­kri­mi­nel­len machen Schwach­stel­len in diesen Systemen ausfindig und können so er­heb­li­chen Schaden anrichten: Sie ver­schaf­fen sich zum Beispiel durch Phishing Zugriff zu sensible Kun­den­da­ten wie Login-Daten oder Zah­lungs­in­for­ma­tio­nen. Oder sie plat­zie­ren Trojaner und Viren, die Web­site­be­su­cher unbemerkt über einen so­ge­nann­ten „drive-by-download“ her­un­ter­la­den, und nutzen die Website, um Spam zu ver­brei­ten. Die Viren können beim Un­ter­neh­men selbst Ser­ver­aus­fäl­le und so­ge­nann­te Down-Times auslösen – der Umsatz bleibt aus. 

Die schwer­wie­gen­den Folgen un­zu­rei­chen­der Website-Si­cher­heit sind:

  • Da­ten­miss­brauch
  • Iden­ti­täts­dieb­stahl
  • Re­pu­ta­ti­ons­schä­den
  • Um­satz­aus­fäl­le
  • Klagen 

Der erste Schritt zu sicheren Seite: Der Website Security Check

Si­cher­heits­lü­cken kann man schließen, bevor ein Schaden entsteht. Vor­aus­ge­setzt, man entdeckt sie, bevor es ein kri­mi­nel­ler In­ter­net­nut­zer tut. Ein Website Security Check steht deshalb an erster Stelle, will man die Si­cher­heit für seinen Web­auf­tritt zu erhöhen. Einen kos­ten­lo­sen Security Check können Sie bei folgenden Anbietern durch­füh­ren lassen:

Um die Website-Si­cher­heit zu prüfen, führen die meisten Anbieter einen so­ge­nann­ten Pe­ne­tra­ti­ons­test durch. Dabei simuliert man einen Hacker-Angriff (z. B. ein un­au­to­ri­sier­tes Ein­drin­gen in das System), um mögliche Schwach­stel­len im System auf­zu­de­cken.

5 Tipps für bessere Website Security

Um Hackern ihr kri­mi­nel­les Handwerk so schwer wie möglich zu machen, sollte man als Un­ter­neh­men ver­schie­de­ne Si­cher­heits­vor­keh­run­gen treffen. Wir listen im Folgenden fünf einfache Maßnahmen auf, die jedes Un­ter­neh­me ohne großen Zeit- oder Kos­ten­auf­wand durch­füh­ren kann. 

1. Auf Ak­tua­li­tät achten

Die Internet-Community ent­wi­ckelt Open-Source-Lösungen kon­ti­nu­ier­lich und erkennt Bugs und Si­cher­heits­lü­cken in der Regel schnell und behebt diese noch schneller. Von der fixen Reaktion der Community und dem Ent­wick­ler­team pro­fi­tiert man al­ler­dings nur, wenn man sein System immer auf den neuesten Stand hält. Bei vielen CMS-Lösungen lassen sich Updates durch Plug-ins au­to­ma­ti­sie­ren. Mit dem „Easy-Update Manager“ für WordPress hält man das beliebte System aktuell und trägt damit aktiv zur Website-Si­cher­heit bei. Da Plug-ins und andere Add-ons ei­gen­stän­di­ge Programme dar­stel­len, muss man diese natürlich separat auf Ak­tua­li­tät prüfen.

Aber auch wenn Sie Ihre Website ohne Hilfe eines CMS zu­sam­men­ge­stellt haben, sollten Sie auf aktuelle Versionen achten. PHP oder MySQL bei­spiels­wei­se sollten stets auf dem neuesten Stand sein, um An­grei­fern keine offenen Türen zu prä­sen­tie­ren.

2. Re­gel­mä­ßi­ge Back-ups

Haben sich Hacker trotz Si­cher­heits­vor­keh­run­gen Zugriff ver­schafft, können sie er­heb­li­chen Schaden anrichten. Es kommt nicht nur häufig zu Da­ten­spio­na­ge- und miss­brauch, sondern Hacker über­schrei­ben oder löschen auch ganze Da­ten­ban­ken, um ihre Spuren zu ver­wi­schen. Alle wichtigen Inhalte sollte man deshalb re­gel­mä­ßig sichern. Das ist Vorsorge in zweierlei Hinsicht: Auch bei einem Standard-Update können unter Umständen in­di­vi­du­ell an­ge­pass­te Sys­tem­da­tei­en über­schrie­ben werden. Ein re­gel­mä­ßi­ges Back-up aller Daten ist deshalb für jedes Un­ter­neh­men ein Muss.

Auch für diese Vor­keh­rung gibt es Hilfs­mit­tel: Für WordPress gibt es ver­schie­dens­te Plug-ins und auch andere CMS kann man mit ent­spre­chen­den Er­wei­te­run­gen aus­stat­ten, um ein Backup der kom­plet­ten Website zu er­leich­tern. Arbeitet man hingegen ohne ein CMS, kann man den Ser­ver­in­halt manuell extern speichern oder man greift zu einem Tool wie rsync.

3. Sichere Log-in-Daten

Sichere Zu­gangs­da­ten sollten selbst­ver­ständ­lich sein. Doch im Alltag sieht das das anders aus, denn das be­lieb­tes­te Passwort bleibt die Zah­len­fol­ge „123456“. Außerdem über­neh­men viele Nutzer vom System vor­ge­schla­ge­ne Be­nut­zer­na­men wie „Admin“ oder „Ad­mi­nis­tra­tor“ – in Kom­bi­na­ti­on mit schwachen Pass­wör­tern ein leichtes Ziel für Hacker. Für Be­nut­zer­na­men wie Pass­wör­ter gilt: keine Klarnamen oder einfache, leicht durch­schau­ba­re Kom­bi­na­tio­nen. Ein sicheres Passwort benötigt eine zufällige Zei­chen­fol­ge und muss aus­rei­chend lang sein.

4. In­for­miert bleiben

Wer seine Website vor Hackern und anderen kri­mi­nel­len Cyber-Angriffen schützen will, sollte sich re­gel­mä­ßig über aktuelle Gefahren und Si­cher­heits­lü­cken in­for­mie­ren. Die erste An­lauf­stel­le ist dabei natürlich die jeweilige Community. In den meisten Foren gibt es zahllose Threads zum Thema Website Security. Dort werden mögliche Si­cher­heits­ri­si­ken meist als erstes erkannt, be­spro­chen und im Idealfall sofort behoben. Um sich über sys­tem­un­ab­hän­gi­ge Risiken zu in­for­mie­ren, lohnt sich bei­spiels­wei­se der Blick auf die Seite des Bun­des­am­tes für Si­cher­heit in der In­for­ma­ti­ons­tech­nik.

5. HTTPS und SSL-Zer­ti­fi­kat

HTTPS sichert den Austausch sensibler Daten. Mithilfe von SSL (Secure Socket Layer) findet der Da­ten­aus­tausch zwischen Server und Client ver­schlüs­selt statt. So können Hacker die über­tra­ge­nen Daten nicht ohne weiteres mitlesen oder abfangen. Das Zer­ti­fi­kat kann auf mehreren Websites  erworben werden. Bei vielen Hosting-Anbietern ist das Zer­ti­fi­kat im Web­hos­ting-Paket in­be­grif­fen oder wird gegen eine Zu­satz­ge­bühr angeboten. Ein weiteres Plus: Der Besucher erkennt das Website-Si­cher­heit-Zer­ti­fi­kat an dem „Schloss-Symbol“ im Browser und dem https-Trans­port­pro­to­koll – das schafft Vertrauen beim po­ten­zi­el­len Kunden.

SSL-Zer­ti­fi­kat kaufen
Sichern Sie sich Ihr SSL-Zer­ti­fi­kat
  • Ver­schlüs­selt die Website-Kom­mu­ni­ka­ti­on
  • Ver­hin­dert Si­cher­heits­war­nun­gen
  • Ver­bes­sert die Google-Plat­zie­rung

Hackern keine Chance lassen

Um Hackern keine Chance zu lassen, muss man als Website-Betreiber re­gel­mä­ßig die eigene Website-Si­cher­heit testen. Ein Security Check ist ein guter Anfang, aber man sollte diesen in festen Abständen wie­der­ho­len. Cyber-Kri­mi­nel­le entdecken immer wieder neue Schwach­stel­len, die sie ausnutzen können. Wer auf Ak­tua­li­tät seines Systems achtet und es auf Updates prüft, senkt das Risiko eines un­au­to­ri­sier­ten Zugriffs. Unter Umständen ist es auch sinnvoll, einen IT-Experten zu Rate ziehen, der bei der Umsetzung von Si­cher­heits­tipps beratend zur Seite steht. Zu guter Letzt ist es natürlich wichtig, das eigene Team zu sen­si­bi­li­sie­ren – denn auch un­ge­schul­te Mit­ar­bei­ter bilden ein Si­cher­heits­ri­si­ko. 

Zum Hauptmenü