Angriff der Klon-Sites oder wie man Webseiten absichert!

Sie werden aufgefordert, in Ihrem vertrauten Webshop nach dem Einloggen einen Gutschein abzuholen.

Das funktioniert auch prima! Der Gutschein wird bestätigt, aber die versprochenen Goodies wird es nie geben. Die Webseite war ein Klon und hat sich nur Ihre Zugangsdaten besorgt.

Ein Firmenauftritt im Internet ist immer mit dem Erstellen einer Webseite verbunden. Da die Pflege der Webseite meist von Mitarbeitern des Unternehmens ohne Kenntnisse über Webtechniken oder - design erfolgen, bleibt nur der Weg, dies über ein entsprechendes Content-Management-System (CMS) zu tun. Damit können die Inhalte mit einem einfachen Texteditor geschrieben werden.

Leider leiden diese Systeme auch unter einer mehr oder weniger starken Angreifbarkeit.

Die Angriffsszenarien sind so vielfältig wie die Vorstellungskraft des Menschen. Es ist ein dynamischer Prozess, der sich rasant entwickelt. Permanent sind die dunklen Mächte am Erforschen neuer Angriffsvektoren und ebenso permanent sind die Entwickler der Systeme am Lücken stopfen. Sie kennen das sicherlich von der nicht abreisenden Flut von Updates für unsere Betriebssystemen Windows, Linux, MacOS, IPadOS, IOS und Android.

Was kann man dagegen tun? Viel, aber nichts davon ist 100%ig und lädt zu einem entspannten Zurücklehnen mit dem Gefühl der Sicherheit ein. Aus diesem Grund gehört zur Sicherheit der Webseite auch ein Plan für eine Wiederherstellung (das Desaster-Recovery lässt grüßen). 

Welche Komponenten sind für den Angriff einer Webseite zu betrachten?

1. Die physischen Netzzugänge des Webserverbetreibers 

2. Der Webserver und dessen Konfiguration 

3. Das CMS und dessen Konfiguration 

4. Ergänzungen des CMS z.B. Plugins 

5. Backup und Recovery 

Sollten Sie eine Webseite über einen gehosteten Dienst betreiben, stehen die Punkte 1-2 nicht auf Ihrer ToDo Liste. Bei einem virtuellen oder dezidierten Server liegt die Verantwortung für den 2. Punkt aber bei Ihnen. 

Was sind geeignete Maßnahmen?

Bei einem Webserver sind permanente Aktualisierung, Systemhärtung und eine angemessene und korrekte Konfiguration die Maßnahmen, die den Angreifern das Leben schwer machen. Dies gilt für Windows- und Linux-Server gleichermaßen. Ein Beispiel ist das Verhindern von Abrufen zur Systemkonfiguration. In einem Test von c’t (2020) fanden sich bei rund 70.000 de-Domains öffentlich zugängliche Informationen über Benutzernamen, IP-Adressen der Besucher. Da die auf den Webservern laufenden CMS meist ohne PHP und SQL nicht auskommen, müssen auch diese Komponenten gewartet werden. 

Bei einem CMS verhält es sich zwar sehr ähnlich, ist aber vielschichtiger. Auch hier gehören permanente Aktualisierungen, Systemhärtung und eine korrekte Konfiguration zum „1x1 der Sicherheit“.  Ein CMS besteht dabei aus einer oft sehr umfangreichen Kombination von Diensten. Bei CMS werden gerne Frameworks oder Funktionsbibliotheken für die Entwicklung eingesetzt. Und für das mehr oder weniger hübsche Aussehen im Auge des Betrachters werden die Designvorgaben in Templates zusammengefasst. Auch dort drohen Angriffe. 

Ein wichtiges Thema sind bei CMS die Funktionserweiterungen in Form von PlugIns. Diese werden von Angreifern gerne verwendet, um das Komplettsystem zu Kompromittieren. Hier gelten permanente Updates, die Systemhärtung und eine korrekte Konfiguration zur Grundvoraussetzung für Sicherheit. 

Gerade die Kaskade von Abhängigkeiten kann das Updaten aber auch zur „Zitterpartie“ machen. 

Beispiel: Ein aktuelles PHP läuft mit einem aktuellen Wordpress zwar prima, aber das Design-Template verwendet leider PHP-Code, der mit der aktuellen Version nicht läuft. Oder es wird ein Plugin verwendet, welches mit der aktuellen PHP-Version nicht klarkommt. Auch das Zusammenspiel von PlugIn und Template kann zum „Ort des Grauens“ werden. Das Ergebnis ist eine entweder gar nicht erreichbare oder schwer „verunstaltete“ Webseite. 

Da man ein Versagen der Sicherheitsmaßnahmen oder eine Unerreichbarkeit einer Webseite nicht gänzlich ausschließen kann, ist eine schnelle Behebung der Probleme ein Teil des Sicherheitskonzeptes. Hauptsächlich dreht es sich hierbei um Backup- und Recoverysysteme. 

Aber auch eine zusätzliche Sicherheitssoftware sowohl auf dem Server (z.B. automatische Malwarebeseitigung) als auch im CMS (z.B. 2FA, verborgene Admin-Anmeldungen, Firewall) helfen gegen Angriffe. 

Aber auch Backupsysteme können zum Angriffsszenario werden. Angreifer könnten die Wiederherstellung auf Ihre Systeme umleiten, um an notwendige Zugangsdaten zu gelangen. Die Zugangsdaten zur SQL-Datenbank z.B. finden sich auf jeden Fall in den Backups. Ein Backup muss also vor unberechtigtem Zugriff geschützt werden, damit es nicht selbst zum Problem wird. 

Fazit

Für eine weitmöglichst sichere Webseite benötigt man einen Partner mit entsprechenden Erfahrungen (Server und CMS), sowie ein monatliches Wartungsbudget. Damit lassen sich die Wahrscheinlichkeiten erheblich senken oder in einem Angriffsfall eine kurze RTO (Recovery Time Objective) realisieren.

Wir haben als Datenschützer viel Erfahrung in der Beurteilung von Dienstleistern und helfen Ihnen gerne das von Ihnen eingesetzte Unternehmen zu überprüfen oder einen Ersatz zu finden.