Website-Sicherheit

Gefahren im Netz

6. Juli 2020, 8:30 Uhr | Autor: Jan Webering / Redaktion: Diana Künstler | Kommentar(e)

Fortsetzung des Artikels von Teil 1

Website-Sicherheit bedeutet mehr als nur Schutz

Eine sichere Website ermöglicht Betreibern ein vielfältigeres Angebot an Zahlungsmethoden. Dies ist von großer Bedeutung für Shopbetreiber, wie Studienergebnisse des Adyen Retail Report von 2019 zeigen, denen zufolge mehr als jeder zweite Verbraucher innerhalb von sechs Monaten mindestens einmal einen Online-Kauf abgebrochen hat, weil die bevorzugte Zahlungsmethode nicht vorhanden war. Pro Jahr entstehen im E-Commerce-Bereich demnach potenzielle Verluste in Höhe von bis zu 241 Milliarden Euro. Um etwa die Zahlungsmethode per Kreditkarte anzubieten – die immerhin bei über zehn Prozent aller Käufe im Internet bevorzugt ausgewählt wird – müssen Seitenbetreiber den „Payment Card Industry Data Security Standard“ (PCI DSS) erfüllen. Einen Sicherheitsstandard, auf den sich die größten Anbieter von Kreditkarten geeinigt haben.

Eine Grundvoraussetzung für dessen Einhaltung ist zum Beispiel, dass eine Website über eine Web Application Firewall (WAF) verfügt. Sie untersucht alle an einen Webserver gesendeten Anfragen sowie dessen Antworten und kann so unter anderem Schadcode identifizieren, der auf einer Seite platziert werden soll. Sie kann zudem verhindern, dass massenhaft Login-Versuche von einer einzigen Quelle durchgeführt werden, wodurch etwa Brute-Force-Angriffe abgewehrt werden, bei denen eine Software durch einfaches Ausprobiere verschiedener Zeichenkombinationen versucht, die Passwörter von registrierten Nutzern zu entschlüsseln.

Anbieterkompass Anbieter zum Thema

zum Anbieterkompass
World-Wide-Web
Screenshot des Nachbaus der ersten Website der Welt, entwickelt durch Tim Berners-Lee.
© CERN

Rundum-Schutz: manuell oder auf Knopfdruck

Da eine WAF zwischen Website und Nutzer installiert wird, sind in der Regel keine Änderungen am Code der Seite nötig. Jedoch kann es sein, dass die Serverkonfigurationen angepasst werden müssen. Dies gilt ebenfalls für die Einstellungen der sogenannten HTTP-Security-Header, mit denen sich potenzielle Sicherheitslücken schließen lassen. So kann beispielsweise automatisch verhindert werden, dass Bank- oder Kundendaten durch unsichtbar platzierte Eingabefelder über dem eigentlichen Website-Inhalt abgefangen werden. Auf securityheaders.com können Verantwortliche beispielsweise prüfen, welche dieser Einstellungen auf ihrer Seite vorgenommen wurden. Ob WAF oder HTTP-Security-Header: Nach ihrer Einrichtung sollten alle Funktionen einer Website ausgiebig getestet werden, da in manchen Fällen eine gewollte Kommunikation zwischen Nutzer und Website verhindert werden kann.

Um bei diesem in vielen Belangen extrem komplexen Thema auf Nummer sicherzugehen, beziehen knapp 80 Prozent der befragten Unternehmen des Deloitte Cyber Security Report 2019 ihr Know-how im Cybersecurity-Bereich von externen Dienstleistern. Dies kann sich vor allem für kleine und mittelständische Betriebe anbieten, da hier häufig geschultes Personal im IT-Bereich fehlt, das sich mit dem Thema der Website-Sicherheit ausreichend befassen könnte. Anstatt sämtliche Sicherheitseinstellungen manuell vorzunehmen, ist in diesen Fällen die Einrichtung der vielfältigen Sicherheitsstandards – von Firewall bis Verschlüsselung – durch entsprechende Cloud-Anbieter möglich. Dies kann wiederum den Raum schaffen, um sich verstärkt auf das Tagesgeschäft konzentrieren zu können und sich nicht mit Sicherheitsthemen für die eigene Website auseinandersetzen zu müssen.

Jan Webering ist CEO bei Avenga.

Hätten sie’s gewusst? 30 Jahre www

1989 erfand der britische Wissenschaftler Tim Berners-Lee das World Wide Web (WWW), als er am CERN arbeitete. Das Web wurde ursprünglich konzipiert und entwickelt, um die Nachfrage nach automatisiertem Informationsaustausch zwischen Wissenschaftlern an Universitäten und Instituten auf der ganzen Welt zu befriedigen. Die erste Website am CERN – und damit auch weltweit – war dem World-Wide-Web-Projekt selbst gewidmet und wurde auf dem “NeXT”-Computer von Berners-Lee gehostet. Am 30. April 1993 stellte die Großforschungseinrichtung die WWW-Software öffentlich zur Verfügung; später mit einer offenen Lizenz, um die Verbreitung sicherer zu machen. 2013 startete das CERN ein Projekt zur Wiederherstellung dieser ersten Website: info.cern.ch.

Übrigens: Noch bevor das CERN 1993 die Nutzung des World Wide Web für die Öffentlichkeit freigab, interessierten sich Forscher des Hamburger Beschleunigungszentrums und CERN-Partners DESY für die neue Technologie. Thomas Finnern, Diplom-Ingenieur am DESY, baute testweise einen Webserver und eine Website auf, um das CERN damit zu verlinken. Damit kreierte er vermutlich die erste deutsche Website. (DK)

 


  1. Gefahren im Netz
  2. Website-Sicherheit bedeutet mehr als nur Schutz

Verwandte Artikel

funkschau

Anbieterkompass