Unsere Agentur arbeitet seit über einem Jahrzehnt an neuen Webseiten oder modernisiert vorhandene Onlinepräsenzen. Aspekte wie Design, Mobilfähigkeit oder Suchmaschinen-Positionierung spielen bei den Aufträgen eine enorme Rolle – eines jedoch fast nie: Sicherheit! Dieses Thema wird einfach ignoriert, denn was soll schon passieren?

Top 5 der Kundenaussagen:

  • „Da mögen Sie Recht haben, aber bei mir gibt es ja nichts Kritisches zu holen.“
  • „Ich weiß, es ist wichtig, aber: ich habe kein Budget dafür!“
  • „Wird schon nichts passieren. Wir haben doch Backups.“
  • „Meine Seite ist sicher? STRATO kümmert sich doch drum – die machen damit Werbung!“
  • „Ich hatte noch nie Probleme mit meinem PC.“

Neun von zehn Unternehmen, die eine Webseite betreiben, werden sich in den Kundenaussagen wiederfinden. Naturgemäß sehen Hacker es grundsätzlich auf lohnende Ziele ab – doch wie die Erpessersoftware WannaCry gezeigt hat, werden auch öffentliche Gesundheits- oder Nahverkehrssysteme getroffen, also die Infrastruktur, die wahrscheinlich nicht im erpresserischen Fokus der Schadsoftware-Ersteller lag.

Erpressersoftware am PC

Trugschluss 1: Nichts zu holen bei mir!

Damit ergeben sich jedoch gleichzeitig auch für jeden einzelnen Seitenbetreiber erhebliche Probleme. Zum einen enthalten viele Seiten interne Informationen, wie Mailing Listen oder Newsletter-Verteiler, die ein Eldorado für Hacker sind. Denn mit einem an Ihren Newsletter angehängten Schadcode kann die Malware zu jedem Ihrer Kunden und Seiten-Nutzer. Der entstehende Schaden ist potentiell enorm – und damit meinen wir nicht nur den rein wirtschaftlichen. Auch der Imageschaden für Ihre Webpräsenz und damit für Ihr Unternehmen wird exorbitant sein!

Hacker-Aktivität zwischen wichtigen weltweiten Knotenpunkten in 3 Sekunden.

Die andere Seite der Gefahr liegt in der Position Ihrer Webseite im Geflecht der gehosteten Webseiten. Denn es ist ein Trugschluss der meisten Seitenbetreiber, dass Ihre Seite quasi singulär gehostet ist. Vielmehr laufen auf den gesicherten Servern zig-tausende Seiten – und wenn das schwächste Glied gefunden ist, besteht die Gefahr, dass die Schadsoftware den kompletten Server kapert – oder sogar das ganze Rechenzentrum infiltriert. Daher haben die Hoster beinahe alle ein striktes Sicherheitssystem: Wer infiziert ist, wird umgehend abgeschaltet.

Nach nur einer Minute hat sich die Zahl der Angriffe enorm vervielfacht.

Trugschluss 2: Der Hoster macht die Seite sicher!

Von vielen Unternehmen nicht beachtet, regeln die Hosting-Firmen genau diese Problematik beinahe alle einheitlich und sehr genau. Für die Sicherheit von Code und Code-Sicherheit ist einzig und allein der Webseiten-Betreiber zuständig. Alle daraus entstehenden Schäden oder Ausfälle werden vom Hoster als Schaden geltend gemacht.

Und es kommt noch besser – die Betreiberhaftung kann sogar Regress mit einschließen, der bei denjenigen Unternehmen entsteht, die wissentlich eine gehackte Webseite weiter betreiben. Hier ist die Rechtsprechung derzeit noch uneins, wie weit dieses Schadensersatzforderungen reichen können – aber allein die Möglichkeit sollte Ihnen vor einem Projekt zu denken geben.

Trugschluss 3: Kein Budget!

Die liebe Geldfrage wird gern ins Feld geschickt – es sei nicht möglich, auf Sicherheit 10 oder 20 Prozent des Budgets auszuweisen, da ansonsten keine Neuerungen umgesetzt werden können. Aber sie würden sich doch auch kein neues Auto mit Heckspoiler, Schiebdach und Klimaanlage aussuchen, wenn es im Gegenzug kein ABS hat. Das Problem der Security-Diskussion bei Webseiten ist einfach deren Ungreifbarkeit. Hier knallt es fast nie laut, es gibt keinen Blechschaden oder eine blutige Stirn. Nur ein seichtes Verschwinden und Verändern von Codes! Doch genau dies macht die Sicherheit doppelt wichtig.

Trugschluss 4: Kein Problem mit dem PC!

Zudem hapert es sehr oft am grundlegenden Verständnis von Onlinesystemen. Es handelt sich eben nicht um ein Textverarbeitungsprogramm a la MS Word, dass einmal gekauft, auf Ewigkeit seinen Dienst tut. Vielmehr sind die CMS Systeme, wie WordPress oder TYPO3, eher mit Schaufenstern zu vergleichen. Die sollen auf der einen Seite schick und auf der anderen Seite sicher sein. Denn täglich laufen Tausende bestenfalls Millionen von Usern daran vorbei. Die meisten wollen schauen, für die spielen eben Design und Usability eine enorme Rolle. Andere haben Einbruchswerkzeug dabei und wollen entweder den Schaufensterinhalt oder gleich den ganzen Laden! Daher muss stetig an der Sicherheit gearbeitet werden – es gibt keinen Status Quo in der Online-Security. Nur eine kontinuierliche Verbesserung.

Das gleich gezeigte Video zeigt weltweit geschehende Hacking-Attacken. Hier werden nur die großen Knotenpunkte und nur größere Attacken dargestellt, doch schon das gibt ein eindrucksvolles Bild davon, was in einer Minute an Hacking-Angriffen real passiert. In Wirklichkeit ist da draußen noch viel mehr los:

In diesem Sinne haben wir Ihnen einige Möglichkeiten zusammengestellt – in unserem Videoblog aber auch hier im NeoDesign-Blog, die Ihnen die Varianten aufzeigen, um sich zum einen selbst zu schützen und zum anderen zu verstehen, warum manchmal die Arbeit eines Fachmanns noch mehr bringt.