Die Sicherheit beginnt schon beim Hosten, also beim mieten der Speicherplatzes der Website und deren zur Verfügung stellen. Am besten liegt die Webseite auf einem eigenen Server, doch wenn der Anbieter alles richtig macht kann auch die Webseite auf einem virtuellen privaten Server (VPS) oder auf einem Webspace recht sicher hosten. Wichtig ist hier das andere Kunden oder gar andere Personen keinen Zugriff auf nicht öffentliche Daten haben, wie Kennwörter, Konfigurations-Dateien und Datenbanken. Zudem muss sichergestellen dass niemand Dateien manipulieren kann. Der Anbieter muss Vertrauenswürdig sein.
Die Anschrift
Eigentlich muss man schon tiefer ansetzen. Schon der schreibende Zugriff auf den Domain-Eintrag, wie „meinname.de“, von Fremden kann in einem Desaster enden. Somit muss auch hier der Anbieter vertrauenswürdig sein. Kann jemand den Domain-Eintrag ändern, kann dieser alle Daten zwischen Besucher und Website mitlesen und verändern. Und somit auch Kennwörter oder andere sensible Daten abfangen.
Der Schlüsselbund
Alle verwendeten Kennwörter müssen, nicht sollten verschieden sein und genügend Zufällig sein, hier empfiehlt sich ein Kennwort-Manager. Ein Kennwort-Manager kann ganz einfach für jeden Zweck ein neues Kennwort generieren und kann es zudem sicher speichern. Mit einem guten Kennwort verhindert man einen Einbruch durch ausprobieren aller Kombinationen. Mit verschiedenen Kennwörtern verhindert man das Wiederverwenden eines gestohlenen Kennworts für alle andere Zwecke. Zum Beispiel wenn bei einem Forum das Kennwort aus der Datenbank entwendet wurde kann es dann nicht auf dem Webserver benutzt werden.
Berechtigungen
Auf dem Webserver und auf die Datenbank sollten immer nur genau so viel Rechte vergeben werden wie für den Job nötig sind. Wenn etwas in Planung ist, jedoch noch nicht Umgesetzt wurde sind hierfür noch keine Rechte zu vergeben. Man gibt ja auch nicht pauschal allen Handwerkern die Schlüssel zum Haus, falls man bald mal renovieren möchte.
Permanente Instandhaltung
Egal welche Software verwendet wird, muss diese stets aktuell gehalten werden. Denn nur so können neue Einbruchsmethoden wirkungsvoll verhindert werden können. Jede Software hat Fehler, wirklich jede! Wird eine Software aktualisiert, wird für einen Angreifer, eine vorherige Lücke sichtbarer. In diesem Moment wird ein Einbruch einfacher. Man kann auch nicht darauf hoffen dass man übersehen wird, da dieses im Unterschied zur realen Welt alles automatisiert werden kann. In der realen Welt kann ein Einbrecher nur in so und soviel Häuser pro Tag einbrechen. Jedoch in der digitalen Welt lässt sich dieses fast beliebig steigern. Deshalb immer zügig aktualisieren!
Einfach halten
Je komplizierter Dinge werden desto unsicherer wird es. Daher sollte man es so einfach wie Möglich halten und so kompliziert wie nötig. Mit anderen Worten es ist einfacher den Überblick zu behalten wenn es eine Eingangstüre gibt, statt Mehrere. Deshalb Türen schließen oder besser gleich entfernen wo unnötig Türen auf stehen.
Protokollieren und Analysieren
Den Überblick zu behalten ist wichtig um in Krisensituationen regieren zu können. Und auch erst einmal festzustellen dass man sich in einer befindet. Um den Überblick zu bekommen und zu behalten muss man die Log-Dateien Regelmäßig analysieren. Hierfür müssen Zugriffe in einer Log-Datei protokolliert werden. Je nach dem auch andere Parameter wie Erreichbarkeit, Ablauf von SSL-Zertifikaten, Bandweite. Wenn man dazu nicht selbst in der Lage ist, gibt es hierfür Anbieter.
Plan B
Wenn alles schief geht und das Haus nieder brennt ist es weniger tragisch wenn mit zuvor perfekt gebauten Kopien in der Vergangenheit. Auch bei Webseiten ist das so. Hier ist es noch einfacher und kostengünstiger, so dass es eigentlich keine Ausrede gibt kein Backup anzulegen. Beim Backup muss alles nötige gesichert werden um die Webseite daraus wieder aufbauen zu können. Und dieses muss getestet werden, was etwas schwieriger ist als nur das Backup zu erstellen. Das heißt bei jedem Backup sollte man verifizieren das es möglich ist daraus die Webseite wieder herzustellen. Da sich in einem Backup sensible Daten befinden gehören diese mindestens so gut abgesichert wie die Webseite selbst. Damit ist das verschlüsseln des Backup Pflicht.
Keine Sorge mit asymmetrischer Verschlüsselung ist das keine schwierige Herausforderung. Nun muss man nur noch die Backups an einem anderen Ort, am besten physikalisch wie auch digital, speichern.
Sicherheit ist kein Produkt
Viel zu oft wird Sicherheit als ein Produkt angesehen welches man einmal kauft und damit abhakt. Doch Sicherheit ist ein Prozess, alles ist immer in Bewegung und die Maßnahmen müssen darauf angepasst werden. Wenn man selbst nicht den Überblick oder das Wissen hat, sollte man auf jeden Fall kompetente und vertrauenswürdige Hilfe hinzuziehen.
Bildquelle Titelbild:
- Den Rise/shutterstock.com