Die Sicherheit der eigenen Website gewinnt mehr und mehr an Priorität. Der Grund dafür: Website-Betreiber werden sich den potenziellen Gefahren immer bewusster. Diese Entwicklung sorgt nicht nur für einen ruhigen Schlaf, sie liefert außerdem einen optimalen Schutz vor Hacker-Angriffen. Wir helfen mit einer Übersicht über gängige Sicherheitslücken und geben Dir konkrete Handlungsempfehlungen, um die Sicherheit Deiner Website zu maximieren.

1. Die 5 größten Bedrohungen für die Sicherheit Deiner Website/Deines Onlineshops

  • SQL Injections – Code wird in SQL-Abfragen platziert

Bei einer SQL Injection wird ein Code in einer SQL-Abfrage untergebracht, der dem Hacker Informationen liefert, Daten verändert oder auf andere Weise Schaden anrichtet. Der Angreifer verwendet Meta-Zeichen wie Bindestriche oder Anführungszeichen, die von der SQL-Datenbank als Befehle interpretiert werden können. Eine erfolgreiche Attacke kann dem Hacker die Kontrolle über Websites oder ganze Datenbanken geben.

  • Cross-Site Scripting (XSS) – Fehlende Überprüfung von Daten

Cross-Site Scripting bezeichnet eine weit verbreitete Angriffsmethode, bei der ein schädlicher Code vom Browser als vertrauenswürdig eingeschätzt wird. Dies kann z.B. passieren, wenn eine Webanwendung Nutzerdaten ohne vorherige Überprüfung an den Browser weitergibt. Unter Umständen ermöglicht das einem Hacker, an Passwörter heranzukommen und Websites zu verändern.

  • Distributed Denial of Service (DDoS) – Der Server wird bewusst überlastet

Ein Server hat eine begrenzte Kapazität, mehrere Anfragen zur selben Zeit zu verarbeiten. Bei einem DDoS-Angriff überlastet der Hacker diese Kapazität gezielt, indem er mit Bots künstlichen Traffic generiert. Die Folge: Für echte User ist es nicht mehr möglich, die Website aufzurufen. Bei einem lang andauernden Angriff gehen so wertvolle Conversions verloren.

  • Brute Force Attacks – Passwörter eingeben, bis das Richtige dabei ist

Die wohl simpelste Angriffsmethode: Ein Programm testet so lange verschiedene Kombinationen von Username und Passwort, bis ein Treffer erzielt wird. Von da an sind die Möglichkeiten, Schaden zu verursachen, vielfältig. Der Zugang ermöglicht dem Hacker, die Website zu verändern, Spam-Mails an Kunden zu versenden oder Zahlungsinformationen abzuzapfen.

  • Malware – Vorsicht bei unbekannten Quellen

User downloaden oder installieren Malware häufig, ohne es zu bemerken. Die Möglichkeiten, sich Malware einzufangen, sind nahezu endlos. Download-Links, E-Mail-Anhänge, USB-Sticks – das sind nur einige Beispiele für potenzielle Malware-Quellen. Mit einem verantwortungsvollen Umgang bei digitalen Angelegenheiten minimierst Du jedoch das Risiko.

2. Die Erstellung eines optimalen Sicherheitsgerüsts für Deine Website

Vorsorge ist besser als Nachsorge. Mit den richtigen Maßnahmen schützt Du Deine Website oder Deinen Onlineshop im Voraus vor digitalen Angriffen. Kommt es trotz allen Vorkehrungen zu einer Attacke, hilft Dir dieser Abschnitt, den Schaden gering zu halten.
  • Identifizieren

Im ersten Schritt dokumentierst Du alle Unterkategorien Deiner Website wie Server, Zugangspunkte und Plugins. Wenn Du die einzelnen Unterkategorien kennst, kannst Du sie einzeln prüfen und absichern.

  • Schützen

Die wohl beste präventive Maßnahme, die Du für Deine Website treffen kannst, ist das Aktivieren einer Web Application Firewall (WAF). Die WAF bietet Schutz gegenüber SQL Injections, Cross-Site Scripting, Cookie Poisoning und noch mehr. Die investierte Zeit für die Planung und Umsetzung der WAF ist es in jedem Fall wert, wenn Du Deine Website oder Deinen Onlineshop absichern willst.

  • Erkennen

Prüfe regelmäßig Server, Zugänge, DNS-Einträge und weitere Aspekte Deiner Website, um potenzielle Gefahren rechtzeitig zu erkennen. Verschiedene Tools erleichtern Dir das Erkennen von Problemen. Dazu stehen Dir z.B. Security- oder Anti-Virus-Scanner zur Verfügung.

  • Handeln

Gute Handlungspläne erlauben es Dir, schnell und effektiv auf auftretende Probleme zu reagieren. Eine im Voraus geplante Reaktion macht unter Umständen den Unterschied zwischen einem Desaster und einem relativ mühelosen Abwenden der Gefahr aus. Im besten Fall gibt es ein Team, das einen Angriff sofort erkennt und rechtzeitig abschwächt. Aber auch wenn Du allein für Deine Website verantwortlich bist, kannst Du mit einer durchdachten Vorgehensweise Deine digitale Sicherheit gewährleisten:

Vorbereitung: Sind die nötigen Tools vorhanden, Sicherheitslücken bzw. Angriffe zu erkennen und zu bekämpfen? Hast Du Deine Reaktion auf verschiedene Angriffe geplant?

Analyse: Welche Systeme sind betroffen? Was will der Hacker erreichen?

Eindämmung & Wiederherstellung: Wie wird die schädliche Software entfernt? Was muss wiederhergestellt werden?

Rückblick: Was kannst Du aus dem Angriff lernen? Wie verhinderst Du in Zukunft Attacken?

Schritte, die Du nach einem Vorfall einleiten solltest, sind bspw. das Updaten von Software, das Erstellen von neuen, starken Passwörtern und die Überprüfung Deiner WAF.

3. 6 Tipps zum Schutz Deiner Website/Deines Onlineshops

  • Updates

Veraltete Software und Plugins sind ein gefundenes Fressen für Angriffe aller Art. Diese Sicherheitslücke schließt Du ganz einfach durch regelmäßige Updates.

  • Starke Passwörter

Angriffe wie Brute Force Attacks sind bei schwachen Passwörtern leicht umzusetzen. Mit starken Passwörtern erstickst Du diese Gefahr im Keim. Neben der Komplexität ist vor allem die Länge des Passworts entscheidend: Je länger, desto besser.

  • Systemtrennung

Alle Websites auf einem Server zu hosten scheint zwar die bequemere Lösung zu sein. Bei einem Hack erhöht sich dadurch aber der verursachte Schaden – Cross-Site Contamination bildet hier eher die Regel als die Ausnahme. Der anschließende Aufwand für die Neugenerierung von Passwörtern, die Wiederherstellung etc. schießt ebenfalls in die Höhe. Um das von vornherein zu verhindern, hoste Deine Websites auf unterschiedlichen Servern.

  • Zugriffsrechte

Der Mensch wird als Sicherheitslücke von Websites oft übersehen. Überlege Dir zunächst, wer welche Berechtigungen für Deine Website benötigt: Der Verfasser Deiner Blogbeiträge braucht vermutlich nicht unbedingt einen Admin-Zugang. Entscheidend für das Zuteilen von Zugangsrechten ist Dein Vertrauen in die jeweilige Person. Darüber hinaus ermöglichen Dir personifizierte Zugänge, bei Bedarf Bearbeitungsverläufe nachzuvollziehen.

  • Backups

Mit Backups verhinderst Du selbst bei einem fatalen Hackerangriff einen kompletten Verlust Deiner Daten. Neben einem lokalen Backup ist es ratsam, Deine Daten auch extern abzusichern. Grundsätzlich gilt: Je mehr Backups, desto besser. Bei einem tatsächlichen Angriff wirst Du dankbar über jede zusätzliche Sicherheitsvorkehrung sein, die Du getroffen hast.

  • Scanning/Monitoring

Bestimmte Tools warnen Dich bei einer Brute Force Attack oder DDoS. Andere sind zur Überwachung von Bearbeitungsverläufen hilfreich. In jedem Fall ist es sinnvoll, in einige Werkzeuge zum Monitoring zu investieren. Das ermöglicht Dir ein schnelles Reagieren und eine präzise Analyse des Problems.

Im Idealfall legst Du von Anfang an viel Wert auf die Sicherheit Deiner Website. Falls Du bereits eine Website oder einen Onlineshop besitzt, nimm Dir die Zeit, Deine digitale Sicherheit zu überprüfen. Denn auch wenn Du nie das Ziel eines Hacker-Angriffs wirst: Eine sichere Website ist eine Sorge weniger.