Wie werden Websites auf Schwachstellen getestet?

Die Hackerangriffe nehmen weltweit immer weiter zu. Hunderttausende Angriffe auf Websites von Unternehmen & politische Institutionen sind längst keine Seltenheit mehr. Umso wichtiger ist es, seine Website vor Angriffen zu schützen.

Image
Nummern-Eingabefeld eines Tresores.

Die News sind mittlerweile voll von geglückten Hackerangriffen. Kein Unternehmen und keine Nation bleibt davon verschont. Die zuspitzende Digitalisierung und Globalisierung wird diesen Trend weiter fortsetzen. Das ewige Katz- und Mausspiel zwischen "Gut" und "Böse", Angreifer und Opfer, wird stets durch einen kleinen "Vorsprung" entschieden. Geht man nicht mit der aktuellen Technologie und Möglichkeiten einher, landet man unweigerlich auf dem Präsentierteller. Die "Raubtiere" freuts. Doch wie informieren und schützen sich Besitzer von Websites vor den Gefahren?

Verantwortlichkeiten regeln

Bei grossen Unternehmen ist dies meist geregelt. Doch bei allem darunter, KMU & Vereine, gibt es oft keine Person, bei der im Stellenbeschrieb auch nur annähernd etwas von Sicherheit steht. Warum? Oft fehlt das Know-how und noch öfters die Ressourcen. Weder Zeit & Geld ist vorhanden um sich diesem Thema angemessen zu widmen. Stattdessen verdrängt man die Gefahr oder hofft ganze einfach, dass der Blitz nicht im eigenen Gebäude einschlägt. Es trifft doch immer nur die anderen.

Mitnehmen: Definiert unmissverständlich die Verantwortlichkeit für die Sicherheit innerhalb des Unternehmens.

Verantwortlichkeit leben

Regeln aber nicht leben; der zweitgrösste Stolperstein. Sind Verantwortlichkeiten geregelt, dann müssen in regelmässigen und kurzen Abständen die Aufgaben "gelebt" werden. Insbesondere die Information, Prävention und das Krisenmanagement.

Informationen

"Wissen ist Macht." – Dies gilt auch für die Cybersicherheit. Unternehmen & Organisationen müssen mindestens auf dem gleichen Stand sein wie die Angreifer, sonst kommt der zuvor genannte tödliche "Vorsprung" den Angreifern zugute. Sehr bewährt hat sich die Methode, sich auf Empfehlungen von vertrauenswürdigen Institutionen zu stützen.

Hier eine kleine Auswahl:

Hinzu kommen die Tech-News-Portale und geläufigen Medien, die meist eine eigene Technik-Rubrik aufweisen und den aktuellen Zeitgeist und die Gefahren gut aufzeigen. Und natürlich die Hersteller-News & Empfehlungen der eingesetzten Software.

Prävention

Die mit Abstand stärkste Waffe zum Schutz vor Cyberkriminalität! Alles was nach der Prävention kommt, ist immer ein Pakt mit dem Teufel. Besser es gar nicht soweit kommen lassen. Prävention umfasst Themen wie:

  • Bewusstsein & Umgang mit Sicherheitslücken schaffen
  • Checklisten und Protokolle erstellen, wie bei jedem Szenario vorzugehen ist
  • Backups - Nicht nur sichern, auch das Einspielen testen
  • Unablässiges Testen und durchspielen aller möglicher Sicherheitstests und Szenarien
  • Monitoring und Überwachung aller kritischen Prozesse
  • Externe (vertrauenswürdige) Fachspezialisten mit Tests beauftragen

Nützliche Tools zur Überprüfung der Sicherheit:

  • Zed Attack Proxy (ZAP)
    • Eines der besten & mächtigsten Tools für die Überprüfung von Sicherheitslücken von Websites & Webapplikationen. Es ist Open Source verfügbar und es gibt gute Anleitungen dazu. Vor einem leichtfertigen Umgang möchten wir warnen. Dieses Tool sollte nur im Einverständnis mit dem Besitzer der Website eingesetzt werden.
  • Waipiti
    • Ähnlich wie ZAP, ebenfalls Open Source.
  • HOXHUNT und KnowBe4
    • Mit Software wie HOXHUNT und KnowBe4 werden Praktiken aus dem Bereich Phishing und Social Engineering simuliert. So kann eine der grössten Schwachstellen, die der Mitarbeitenden, auf Herz und Nieren geprüft und trainiert werden. 

Krisenmanagement

Wir beten für Sie, dass es nie soweit kommen wird. Im Falle eines erfolgreichen Hackerangriffs entscheidet sich die Höhe des Schadens darin, wie sehr man auf diese Krise vorbereitet war. Es geht also darum, den Schaden so gering wie möglich zu halten. Besonders wichtig ist es, den erfolgreichen Angriff so schnell wie möglich zu erkennen und Gegenmassnahmen einzuleiten. Umso mehr Zeit die Angreifer unbemerkt im System verbringen, umso fataler wird der Schaden.

Ist der Angriff gestoppt, beginnt falls noch nicht geschehen, die weitere Schliessung von Sicherheitslücken und die Schadensanalyse. Basierend auf diesen Ergebnissen widmet man sich der Einspielung der Backups und der Wiederherstellung des Systems. Allenfalls beginnt an diesem Punkt auch die Verhandlung mit den Angreifern. 

Wie in den Tech News bereits als eigene Nachricht publiziert, hier erneut das interessante Video des Chaos Computer Clubs zum Thema Ransomware und Verhandlung mit den Tätern:
 

Für Interessierte noch ein paar Hintergründe zum Thema Spoofing - Eine beliebte Methode von Hackern:
 

Was tun wir?

Die RealizationZone benutzt wo immer möglich Software die Open Source verfügbar ist. So nutzen wir für Websites das CMS Drupal. Der Quellcode der Software ist offen für alle einsehbar. Im Gegensatz zu geschlossenem Quellcode wird die Qualität sowie Sicherheit enorm erhöht, da keine versteckten Hintertüren und kein schädlicher Code von Unternehmen mit schlechten Absichten eingeschleust werden kann. Auch können Fehler schneller gefunden werden. Statt einem Zwei- oder Vier-Augen-Prinzip, gilt bei Open Source das Millionen-Augen-Prinzip. Ein weiterer Vorteil ist die grosse Unabhängigkeit gegenüber unternehmensspezifischer Software.

Zusätzlich führen wir periodische Sicherheitsaudits durch, sichern die Projekte durch tägliche Backups und spielen Sicherheitsupdates umgehend ein. Zudem nutzen wir Mehrfach-Authentifizierungen und sensibilisieren unsere Kunden für das Thema Sicherheit. Nicht herum kommt man um eine stetige Auseinandersetzung und Beurteilung der Sicherheitslage, um Anpassungen rechtzeitig vornehmen zu können.

Kontaktieren Sie uns

Chris Casutt - Kontakt - CTA.

Der erste Schritt ist der wichtigste. Lassen Sie uns gemeinsam loslaufen.

Chris Casutt

RealizationZone, Geschäftsführer

vCard herunterladen