Weiterbildung, CAS Cybersecurity

105’000 Webseiten wurden heute gehackt. Ist Morgen meine dabei?

10. April 2021

Jedes Unternehmen das dem Netzwerk auch nur einen kleinen Teil seiner Interessen anvertraut, muss wissen wie mit Hackerangriffen umzugehen ist, um geeignete Sicherheitsmassnahmen treffen zu können. Gehackte Webseiten können für das Verschicken von Spam oder Malware verwendet werden, sogar persönliche Informationen oder Kreditkarten Daten können gestohlen werden.

Übersicht

Am 26. März 2021 um 13.30 Uhr wurden bereits 105’000 Webseiten weltweit gehackt (1)

Web-Applikationsangriffe waren gemäss ENISA Threat Landscape Report (2) die vierthäufigste Bedrohung im 2020. Die zunehmende Komplexität von Webanwendungen und derer Verbreitung führt zu Herausforderungen bei der Absicherung. Wird eine Webseite gehackt, kann dies zu finanziellen Schäden, Rufschädigung oder auch zum Verlust von persönlichen oder sensiblen Daten führen. Oft kommen auch Kosten für die Wiederherstellung des Webauftritts und administrativer Aufwand zur Entfernung von Blacklists (3) dazu.

In diesem Blog Post möchten wir ein paar Tipps geben, wie man eine Basissicherheit für die Webseiten erreichen kann.

Basis einer Webseite

Moderne Webseiten werden meist durch Content Management System (CMS) wie beispielsweise WordPress erstellt und bestehen aus mehreren Komponenten: Webserver, Webapplikationsserver, Datenbankserver, Datenbank sowie dem CMS selbst und dessen Plug-Ins. Hostet man eine Webseite selbst, so liegt der Schutz sämtlicher Elemente in der eigenen Verantwortung. Durch Webhosting werden einige Elemente abgenommen, aber viele Aufgaben bleiben weiterhin bestehen.

Die häufigsten Angriffe und Risiken für eine Webseite

Eine Webseite kann durch DoS (Denial of Service), DDoS (Distributed Denial of Service) oder Web Spoofing (Klon einer Webseite, um durch Social Engineering dem Benutzer Passwörter, persönliche oder Zahlungsinformationen zu stehlen) angegriffen werden.

Angreifer nutzen jedoch auch die technischen Schwachstellen einer Webseite. Die internationale Organisation OWASP (Open Web Application Security Project) klassifiziert jährlich die zehn wichtigsten Risiken für die Sicherheit von Web-Plattformen («OWASP Top Ten) (4)

Beispiele für sehr oft genutzte Schwachstellen sind:

  • Injections: Beispielsweise “SQL Injections”, durch diese können über ein Web Formular Datenbankinhalte manipuliert werden.
  • Broken Authentication: Unsicheres verarbeiten von Authentifizierungen, welche einem Angreifer das Abgreifen von Passwörtern oder Identitäten ermöglicht.
  • Cross-Site Scripting (XSS): Die Möglichkeit Skripte einzuschleusen, welche dann ausgeführt werden, da der Webbrowser annimmt, diese kommen aus dem vertrauenswürdigen Kontext der aktuellen Webseite.
  • Sicherheitsfehlkonfigurationen: Standardkonfigurationen, unvollständige oder Ad-hoc-Konfigurationen, offene Cloud-Speicher, falsch konfigurierte HTTP-Header und detaillierte Fehlermeldungen, die sensible Informationen enthalten sind typische Beispiele.

Tipps zum Basisschutz einer Webseite

Updaten/Patchen, informiert bleiben und Arbeit Sichern

Alle Betriebssysteme, Frameworks, Bibliotheken und Anwendungen müssen nicht nur sicher konfiguriert, sondern auch zeitnah gepatcht/aktualisiert werden.

Dies gilt auch für die oft vergessenen Plug-Ins eines CMS. Der Eigentümer der Webseite muss sich proaktiv über die Änderungen und Vulnerabilities informieren. Wird ein Plug-In nicht mehr weiterentwickelt so gilt es dieses zu ersetzen. Regelmässige Backups sind ebenfalls ein Muss.

Komplexe Passwörter und keine Standard Benutzernamen, two factor authentification und «Least Privilege»

Vordefinierte Benutzer umbenennen, komplexe Passwörter setzen und wenn möglich eine «Two factor authentication (2FA)» (5) einrichten. Nicht genutzte Accounts deaktivieren oder gar löschen. Jeder Account sollte nur genau die Rechte besitzen, die benötigt werden: «Least Privilege» (6). So sollte z.B. der Datenbankbenutzer, der genutzt wird, keine Zugriffe auf andere Datenbanken haben.

Verschlüsselte Kommunikation

SSL/TLS (7) einrichten, damit die Kommunikation zwischen Nutzer und Webseite verschlüsselt wird. Ohne dies kann eine Verbindung zu einer Webseite nicht als sicher betrachtet werden.

Hardening

Deaktivierung und/oder Entfernung nicht benötigter Funktionalitäten sowie Accounts auf allen Ebenen, ein Beispiel hierfür wäre:

Apache– Deaktivieren von «Trace HTTP Requests» wenn nicht benötigt.

Für mehr Informationen zum Thema Hardening gibt es sehr detaillierte Guides von CI Security (8).

Vulnerability Scanner

Eine Webseite kann nach Schwachstellen gescannt werden, hierfür gibt es frei verfügbare Scanner bis hin zu kostenpflichtigen Optionen. Regelmässige Scans können frühzeitig über Schwachstellen informieren (9).

WAF (Web Application Firewall) oder Web Shields

Eine WAF kann die Kommunikation auf Anwendungsebene prüfen und somit zusätzlichen Schutz vor vielen Gefahren bieten. Ist jedoch nicht als Allerheilsmittel anzusehen, nebst der nötigen Konfiguration und Pflege muss die Basis nach wie vor sichergestellt werden.

FAZIT

Auch wenn mit geeigneten Massnahmen ein sehr guter Schutz erreicht werden kann, gibt es in allen Gebieten wo eine Vernetzung existiert, keinen 100% Schutz. Die Technologien sind in dauernder Weiterentwicklung, dadurch entstehen auch neue Methoden, die Hilfestellungen zum Schutz bieten. Ein solches Beispiel wäre das Cyber Kill Chain Modell, welches ermöglicht auf Angriffe bereits in einem frühen Stadium zu reagieren und mit geeigneten Gegenmassnahmen diese “Chain” zu unterbrechen (10). Weitere Möglichkeiten entstehen durch neue Hard- und/oder Software, Automatisierungen und vielem mehr. Mit jeder neuen Möglichkeit entstehen jedoch neue potenzielle Sicherheitslücken. Diese müssen nicht immer auf der Ebene der Technik sein, auch ungeschulte Mitarbeiter können unbeabsichtigt Sicherheitslücken bewirken. Daher ist die Schulung von Mitarbeiter auch ein zentrales Thema, um sich beispielsweise von Social Engineering zu schützen.

Literaturquellen / Links / Tools

  1. https://www.internetlivestats.com/watch/Webseites-hacked/
  2. https://www.enisa.europa.eu/news/enisa-news/enisa-threat-landscape-2020
  3. https://it-service.network/blog/2019/02/22/blacklist/
  4. https://owasp.org/www-project-top-ten/
  5. https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
  6. https://www.cyberark.com/de/what-is/least-privilege/#:~:text=Warum%20ist%20das%20Least-Privilege-Prinzip
  7. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Updates-Browser-Open-Source-Software/Der-Browser/Verschluesselung-und-Zertifikate/verschluesselung-und-zertifikate_node.html
  8. https://learn.cisecurity.org/benchmarks
  9. https://owasp.org/www-community/Vulnerability_Scanning_Tools
  10. https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html

Autorenteam:
Viola Sini (www.linkedin.com/in/viola-sini)
Pascal Bätscher (https://www.linkedin.com/in/pascal-b%C3%A4tscher-27353768/)


Persönliche Beratung

Sie würden sich gerne persönlich beraten lassen? Senden Sie ein E-Mail an martina.dallavecchia@fhnw.ch und vereinbaren Sie einen Termin.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:

Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Andreas Wisler (goSecurity GmbH)

Cybersecurity und Hacking für Schweizer KMU

Cybersecurity: Chancen & Gefahren der künstlichen Intelligenz

Schlagworte: Cybersecurity, Datensicherheit, Reaktionsplan, Sicherheitsvorfall

zurück zu allen Beiträgen
×