In den vergangenen Jahren ist die Anzahl von Webauftritten im Internet geradezu explodiert. Dies unter anderem auch, weil zum Erstellen von Webauftritten einfach zuhabende Werkzeuge im Angebot stehen, die kein technisches Wissen erfordern und ausserdem immer kostengünstiger werden. Mit so genannten Content Management Systeme (kurz CMS) kann mit wenigen Klicks eine Website erstellt und aufgeschaltet werden. Heutzutage gibt es dutzende solcher CMS, die von Privatpersonen, Behörden und Unternehmen gleichermassen eingesetzt werden.
Die zunehmende Verbreitung solcher Websites weckt auch das Interesse der Cyberkriminellen. Diese stecken umso mehr Energie und Aufwand in die Suche von Sicherheitslücken, je weiter verbreitet eine Software und entsprechend grösser die Anzahl möglicher Angriffsziele ist. Nicht nur CMS-Systeme weisen potenzielle Sicherheitslücken auf. Es gibt keine Software, die garantiert sicher ist. Zudem implementieren die Software-Entwickler immer neue Funktionalitäten. Mit jeder zusätzlichen Codezeile erhält die Software aber nicht nur mehr Funktionen: Mit der zunehmenden Komplexität steigt auch das Risiko, dass die Software irgendwo eine Sicherheitslücke enthält.
Angriffe auf Content Management Systeme lassen sich durch das zeitnahe Einspielen von Updates mit wichtigen Sicherheitsaktualisierungen massiv reduzieren. Es gibt zudem eine Reihe weiterer Massnahmen, welche zur Sicherheit von CMS-Systemen beitragen.
Zeitnahes Patch-Management
Beim Erscheinen einer Software-Aktualisierung muss diese umgehend eingespielt werden. Viele Hersteller bieten heute die Möglichkeit automatischer Updates an. Aktivieren Sie wenn möglich diese Funktion, damit Sie nicht daran denken müssen, verfügbare Updates zu installieren.
Zwei-Faktor-Authentifizierung
Neben der normalen Authentifizierung (Benutzername und Passwort) für den Zugriff auf den Administrationsbereich empfiehlt das BACS den Einsatz einer Zwei-Faktor-Authentifizierung.
Ein solches zusätzliches One Time Passwort (OTP) lässt sich beispielsweise mit dem Einsatz von «Google Authenticator» generieren.
Dabei wird eine App auf dem Smartphone installiert, welche alle 60 Sekunden ein neues OTP generiert. Beispielsweise kann «Google Authenticator» auf dem Webserver (CMS) mit einem entsprechenden Plug-In realisiert werden. Dieses Plug-In gibt es bereits für zahlreiche Content-Management Systeme wie z. B. «Wordpress» oder «Typo3».
Einschränkung der Administrator-Zugriffe auf bestimmte IP-Adressen
Eine solche Limitierung kann auf IP-Adressen, IP-Adressbereiche oder auf der Geolocation einer IP-Adresse basieren. Entsprechende Erweiterungen (Plug-Ins) existieren bereits für eine Vielzahl verschiedener Content Management Systeme.
Einschränkung der Administrator-Zugriffe mittels .htaccess-Datei unter dem Apache Webserver
Dies bietet den Vorteil, dass nicht nur der IP-Adressenbereich eingeschränkt werden kann, es lässt sich so auch eine zusätzliche Authentifizierung (Benutzername / Kennwort) implementieren (Basic Authentication).
Absichern des Computers des Webmasters
Oftmals werden Webseiten und CMS auch durch gestohlene FTP-Zugangsdaten kompromittiert. Dies geschieht in der Regel mit Hilfe eines Trojaners auf dem Computer des Webmasters. Der Webmaster sollte deshalb stets sicherstellen, dass der verwendete Computer frei von Malware und mit einem aktuellen Virenschutz geschützt ist. Zusätzlich sollte, wenn möglich, die FTP-Verbindung verschlüsselt werden (Verwendung von sFTP).
Web Application Firewall
Webbasierte Angriffe auf Webseiten lassen sich mit Hilfe einer Web Application Firewall (WAF) bereits blockieren, bevor diese die Applikation erreichen. Es gibt eine Vielzahl verschiedener WAF-Lösungen. Die bekannteste Open Source Lösung ist «ModSecurity».
Frühzeitige Erkennung von Sicherheitslücken
Ziel ist es, eine potenzielle Sicherheitslücke auf der eigenen Webseite zu identifizieren, bevor dies Kriminelle tun. Auch hier gibt es verschiedene kostenlose und auch kostenpflichtige Angebote im Internet.