Webserver Updates – Ist Ihre Website sicher?
Angriffe auf Websites und Web-Anwendungen nehmen ständig zu, unabhängig vom Umfang oder der Bekanntheit. Dabei geht es häufig gar nicht mehr um spezifische Hacker-Angriffe auf ausgewählte Ziele, sondern vielmehr um automatisierte Angriffe, bei denen jede beliebige Website in den Fokus geraten kann – früher oder später auch Ihre!
Die Absichten von Cyberkriminellen können dabei vielfältig sein:
- Viren- und Malware-Verteilung: Durch unbemerkte Manipulation kann Ihr Webauftritt dazu missbraucht werden, Schadcode auf den Computern Ihrer Betrachter/Besucher zu installieren. Die Gefahr für Sie besteht in weiterer Folge aber auch darin, dass Ihre Seite damit bei namhaften Suchmaschinen schnell als „gefährlich“ eingestuft oder komplett entfernt wird und längere Zeit nicht mehr in den Suchergebnissen
- Datendiebstahl: Möglicherweise werden Daten aus einem geschützten Kundenbereich oder gar einem Online-Shop entwendet. Als Inhaber einer Website sind Sie auch für den Schutz personenbezogener Daten verantwortlich, auch wenn es sich dabei z.B. nur um E-Mail-Adressen Ihrer Newsletter-Interessenten handelt.
- Defacement: Teile der Website werden bewusst verunstaltet und manipuliert, um Ihr Image zu schädigen, Sie öffentlich bloßzustellen oder vertrauliche Informationen über Sie und Ihr Unternehmen publik zu machen.
- Lahmlegen: Je nach Funktion/Aufgabe Ihres Webauftritts kann es zu direktem finanziellem Schaden führen, wenn dieser böswillig torpediert wird und nicht mehr zur Verfügung steht (z.B. bei Online-Shops, in wichtigen Phasen einer Werbekampagne, oder wenn Sie Ihren Kunden gegenüber Zusagen zur Erreichbarkeit/Ausfallssicherheit gemacht haben).
- Spam-Schleuder: Unbemerkt kann Ihre Website dazu missbraucht werden Spam-E-Mails oder Phishing-E-Mails zu verschicken.
- Online-Shops: Umleitungen und Manipulationen bei Zahlungsawicklungen.
- Download-Portal: Ihr Webspace könnte weitgehend unbemerkt als Download-Portal für illegale Inhalte benutzt werden (z.B. Software-Raubkopien, aber auch Kinderpornografie).
- Bot-Netze: Ohne Ihr Wissen könnte Ihr Webserver zum Teil eines Bot-Netzes werden, um von dort aus verschiedenste andere Angriffe zu starten (DDoS, Verschleierung, Proxies, Werbebanner-Klick-Betrug, etc.).
Seien Sie sich den Risiken bewusst, denn es geht um juristische Konsequenzen, Datenschutz-Verpflichtungen (DSGVO), Umsatzentgang, Aufwände/ Kosten und Rufschädigung bzw. Reputationsverlust.
Leider wird häufig immer wieder vergessen, dass der Betrieb einer Website auf Software basiert und diese naturgemäß Sicherheitslücken aufweist. Eine Website wird beauftragt, gestaltet, entwickelt, programmiert und dann veröffentlicht – fertig!?
Leider falsch, denn für den sicheren Betrieb ist es wichtig dauerhaft dafür zu sorgen, dass bekanntgewordene Sicherheitslücken geschlossen werden. Setzen Sie daher auf einen qualitativen Hosting-Provider mit verlässlichen Update-Prozessen bzw. achten Sie darüber hinaus auch auf regelmäßige Aktualisierungen Ihrer Website bzw. Web-Anwendung an sich.
Was betrifft mich als Inhaber/Betreiber einer Website?
Spannend ist hier vor allem die Schnittstelle zwischen Webserver und der darauf betriebenen Website bzw. dem CMS. Ein professioneller Hosting-Provider sollte sich zwar laufend um Software-Updates aller serverseitigen Komponenten kümmern, dabei muss allerdings auch beachtet werden, dass ein CMS oder der Website-Quellcode mit neueren Software-Versionen kompatibel ist. Als Inhaber einer Website können Sie sich entweder selbst darum annehmen, oder diese Aufgabe einem verlässlichen Partner übergeben. Erfahren Sie in einem nachfolgenden Blog-Artikel mehr über die Wichtigkeit von Updates für CMS wie z.B. WordPress oder Typo3.
Die Kompatibilität Ihrer Web-Anwendung spielt vor allem bei der serverseitigen Verarbeitung von Scriptsprachen, wie z.B. PHP eine sehr große Rolle.
Durch die PHP Group (php.net) und ihre OpenSource-Community werden in regelmäßigen Abständen neue PHP Versionen veröffentlicht. Der Zeitraum in dem kritische Sicherheits-Patches bereitgestellt werden ist jedoch aktuell auf maximal drei Jahre begrenzt. Jede neue Haupt-Version wird für ca. 2 Jahre voll supported und erhält dann noch ein weiteres Jahr Patches für gravierende Sicherheitslücken (https://www.php.net/supported-versions.php). Nach drei Jahren gibt es dann keine Sicherheitsupdates mehr – die Version ist „End of life“ (EOL) und es wird dringlichst empfohlen auf eine neuere Haupt-Version von PHP zu wechseln. Hier ein aktueller Überblick über PHP-Versionen (Stand Mai 2021):
- PHP 8.0: voller Support (mit regelmäßigen Sicherheits-Patches)
- PHP 7.4: voller Support (mit regelmäßigen Sicherheits-Patches)
- PHP 7.3: begrenzter Support (nur Sicherheits-Patches für sehr kritische Probleme)
- PHP 7.2 und alles davor: kein Support!
Als Inhaber einer Website – egal ob Privatperson, KMU, oder Großunternehmen – sind Sie für die Sicherheit und den Datenschutz verantwortlich. Speziell bei öffentlich zugänglichen Websites und Web-Anwendungen ist es fahrlässig auf regelmäßige Updates zu verzichten.
Es empfiehlt sich also von Anfang an auf einen vernünftigen Umgang mit Sicherheits-Patches zu achten und im Idealfall, neben einem qualitativen Hosting-Provider auch einen verlässlichen Partner zur Wartung und Pflege einer Website zu haben.
WordPress
Das weltweit am verbreitetste CMS ist WordPress. Ursprünglich nur in der Blogger-Welt bekannt, ist es im Verlauf der letzten Jahre zu einem der beliebtesten CMS herangewachsen und verfügt über unzählige Erweiterungen. Diese Verbreitung hat aber natürlich auch zur Folge, dass WordPress-Seiten ein beliebtes Angriffsziel sind, und dadurch sollte jeder Website-Betreiber die regelmäßigen Aktualisierungen nicht vernachlässigen, da es sonst zu bösen Überraschungen kommen kann.
In der Vergangenheit wurden von WordPress eine bis 3 neue Major-Release-Versionen pro Jahr veröffentlicht. (Quelle: History | WordPress.org) Diese hohe Release-Geschwindigkeit bietet einerseits die Chance auf viele neue Funktionen, bring jedoch die Notwendigkeit mit sich, dass auch sämtliche Erweiterungen und Themes für die neuen Versionen kompatibel gehalten werden müssen.
Wer sorgsam auswählt, währt am längsten!
WordPress lässt sich – wie auch die meisten CMS – durch Plug-ins mühelos erweitern. Verwendet man viele Plug-ins, so müssen diese (insbesondere bei Major-Release-Wechsel) ebenso aktualisiert werden. Setzt man bei der Auswahl auf wenig verbreitete Plug-ins, kann man schnell in die Lage geraten, dass die Ausgewählte Erweiterung nicht mehr für eine aktuelle Version verfügbar ist. In diesem Fall muss eine Alternative für die gewünschte Funktion gesucht werden. Ein Umstellungsprozess von einem Plug-in auf ein anderes bringt einen beachtlichen Aufwand mit sich, da dies oft mit komplexen Eingriffen auf Daten verbunden ist.
Vor diesem Hintergrund ist daher bei der Auswahl der Plug-ins bereits auf gewisse Qualitätskriterien zu achten und auf Erfahrung zu setzen. Hat man ein interessantes Plug-in entdeckt, empfiehlt es sich, zumindest folgende Kriterien zu überprüfen:
- Verlauf der Code-Änderungen und letztes Aktualisierungsdatum
- Etablierter Anbieter (Wird Support angeboten?)
- Breite der Community
- Anzahl der Installationen
- Versionskompatibilitäten
Typo3
Im Gegensatz zu WordPress bietet Typo3 Versionen mit dem Zusatz “LTS”, der für “Long Term Support” steht. Dadurch kann bereits beim Erscheinen einer solchen Major-Version abgeschätzt werden, wie lange das Core-CMS mit Updates versorgt wird. Voller Support (inkl. neuen Features) wird dabei für 1,5 Jahre ab Erscheinungsdatum angeboten. Darüber hinaus werden noch weitere 1,5 Jahre Sicherheitsupdates geliefert. Nach diesen 3 Jahren besteht noch die Möglichkeit eines “ELTS” (“Extended Long Term Support”), welcher jedoch kostenpflichtig ist. Wer sich mit dieser Option jedoch über eine komplette Major-Release hinweg-schummeln möchte, wird dabei die Erfahrung machen, dass das “Überspringen” einer LTS-Version die Update-Aufwände in Summe gesehen nicht wirklich verringert, verglichen zu laufenden und schrittweisen Aktualisierungen.
Auch in Typo3 steht man vor den gleichen Herausforderungen in Bezug auf die Erweiterungen (“Extensions”) wie bei WordPress. Hier zählen neben den bereits erwähnten Qualitätskriterien bei der Auswahl auch die Erfahrung und Informationen aus der Typo3-Community, um nicht plötzlich von der Einstellung von Erweiterungen überrascht zu werden.
WAS GILT ES ALSO ZU TUN?
Als Eigentümer einer Website ist es unumgänglich, sich laufend um die Aktualisierung der Einzelkomponenten zu kümmern, bzw. diese Aufgabe durch einen kompetenten Fachpartner durchführen zu lassen.
Veraltete Website-Systeme können zu Image-Schäden und zu Verstößen gegen das Datenschutzgesetz führen. Die für laufende Aktualisierungen Ihrer Website erforderlichen Aufwände, sind verhältnismäßig gering im Vergleich zu den Kosten, welche eine kompromittierte Website oder ein Data Breach mit sich bringen kann.
Gerne beraten wir Sie in einem unverbindlichen Erstgespräch und übernehmen die laufenden Aktualisierungen in Ihrem Auftrag.