Webseiten vor Cyberangriffen durch Hacker schützen: Online Security Check

Kategorien: Datenschutz

Clickjacking, Cross Site Scripting, Sitzungen klauen, Hintergrund-User anlegen. Das sind einige der Gefahren durch Hacker für Webseiten, die nicht ordentlich abgesichert sind. Eine ungenügende Konfiguration des Web Servers exponiert Schwachstellen und eröffnet umfangreiche Angriffsmöglichkeiten. Ein schneller Test zeigt, wie gut eine Website abgesichert ist.

Einleitung

Webseiten sind der öffentlichste Teil jedes Unternehmens. Jeder kann jederzeit von jedem Ort aus Schwachstellen suchen und ausnutzen. Was für das Feststellen von Datenschutzverstößen gilt, gilt auch für Sicherheitslücken. Insbesondere in der Ukraine-Krise gibt es eine Bedrohung aus Russland.

Für Webseiten existieren zahlreiche Bedrohungen. Im schlimmsten Fall verschafft sich ein Angreifer vollen Zugriff auf die Website und kann als Administrator agieren. Mit frei verfügbaren Tools kann schnell und online geprüft werden, wie gut eine Webseite aufgestellt ist.

Nach der Analyse einer Webseite kann der zugehörige Web Server mit Hilfe der Prüfergebnisse abgesichert werden.

Weiteren Dimensionen, die ich hier nicht betrachten kann, sind Exploits etwa von unsicheren Plugins oder Denial of Service Attacken. Exploits können übrigens insoweit teilweise durch die Maßnahmen unterbunden werden, die sich aus den gleich beschriebenen Sicherheits-Checks ableiten lassen. Oft handelt es sich nämlich bei den Schwachstellen, die Plugins mit sich bringen, um nicht abgesicherte Hintergrundfunktionen.

Bedrohungen für Webseiten

Öffentlich zugängliche Server wie Web Server sind in definierter Weise exponiert. Sie sind daher besonders bedroht. Eine ungenügende Konfiguration des Web Servers führt zu Verwundbarkeiten. Sicherheitslücken in der Web-Anwendung können durch Scripting-Attacken ausgenutzt werden, um etwa unbemerkt Administrator-User für einen Hacker anzulegen. SQL-Injektion ist eine Möglichkeit, Datenbanken über Schwachstellen in Formularen oder Backend-Datenverarbeitungen auszunutzen. Über manipulierte Webseiten können Benutzereingaben ausgeschleust werden. Zum Datenklau eignet sich insbesondere Google Analytics.

Schwachstellen ermitteln

Mit einem Analyse-Werkzeug wie dem von Mozilla oder Dr. Headerson können Webseiten auf allgemeine Schwachstellen hin sofort überprüft werden. Das Tool von Mozilla heißt Observatory.

Ein anderes Tool ist das von Dr. Headerson. Es liefert viel schneller als Observatory Ergebnisse, dafür nicht so detailliert. Daher gehe ich im Weiteren nur auf das Mozilla-Tool ein.

Nach Aufruf des Tools muss nur die Adresse der zu untersuchenden Website eingegeben werden. Wenige Sekunden später erhalten Sie das Ergebnis im Browser. Persönliche Daten, wie etwa eine E-Mail-Adresse, müssen nicht angegeben werden.

Der Security-Check prüft eine Webseite auf Schwachstellen hin. Das Ergebnis wird in Form einer Note ausgegeben. Gemäß dem amerikanischen Schulnotensystem ist Note A die beste, Note F die schlechteste. Wer als Testergebnis eine Note von C- oder schlechter hat, sollte sich auf jeden Fall Gedanken machen. Die beiden Tools von Mozilla und Dr. Headerson liefern leicht andere Ergebnisse für dieselbe Webseite.

Für die Webseite von Dr. DSGVO liefert der Test von Mozilla folgendes Ergebnis:

Das Ergebnis kam zustande, nachdem dr-dsgvo.de von mir optimiert wurde. Ich habe die Konfiguration der Webseite so angepasst, dass möglichst viele Schwachstellen geschlossen sind. Dass einer von elf Tests fehlschlägt, hat technische Gründe.

Da meine Webseite einigen Funktionen enthält, würde ein übermäßiges Absichern der Webseite dazu führen, dass die Funktionalität beeinträchtigt wäre. Sicher könnte man den Script-Code anders programmieren, um dann die Note A von Mozilla zu erhalten. Jedoch ist dies zeitaufwändig und fehleranfällig. Zudem stelle ich mir die Frage nach dem Nutzen, verglichen mit dem Aufwand.

Zu allen durchgeführten Tests liefert der Sicherheits-Check mehr Details.

Alle bis auf den ersten Test waren positiv. Die Prüfung der Content Security Policy (CSP) findet in mehreren Schritten statt. Das Bild zeigt mehrere Angriffsmöglichkeiten, die Cross Site Scripting (XSS) Attacken begünstigen oder verhindern können. In einem anderen Beitrag habe ich sogenannte CSRF-Attacken beschrieben, bei denen Angreifer auf der Sitzung eines angemeldeten Besuchers reiten, um sie für sich auszunutzen.

Wer es noch genauer wissen will, findet in den Testergebnissen weitere Details. Zum fehlgeschlagenen Test etwa weist das Security Tool folgendes aus:

Bisher konnte ich mit Hilfe des Sicherheits-Checks nicht nur meine eigenen Webseiten, sondern auch die von Kunden absichern. Es reicht nicht aus, stur eine Checkliste abzuarbeiten. Vielmehr muss auf die Funktionen auf der Webseite Rücksicht genommen werden. Nicht jede Webseite kann von Note F auf A+ optimiert werden.

Ein gesundes Kosten-Nutzen-Verhältnis sollte im Vordergrund stehen. War eine Webseite vorher sehr unsicher, kann es sicher als großer Fortschritt betrachtet werden, wenn sie nach der Anpassung sicher ist (aber nicht extrem sicher).

Da die Anpassungen auf dem Web Server stattfinden müssen und auch die .htaccess-Datei anzupassen ist, sollte man wissen, was man tut. Eine falsche Anweisung führt zumindest bis zum Beheben des Fehlers zur vollständigen Unverfügbarkeit der Webseite.

SSL-Prüfung

Mit dem Sicherheitstest wird auch das SSL-Zertifikat geprüft. Diese Art von Prüfung findet allerdings auch über meinen Webseiten-Check statt. Meinen Check finde ich ehrlich gesagt leichter verständlich und informativer. Insbesondere werden geprüft:

• Verschlüsselungstiefe
• Zertifizierungsstelle (Issuer)
• Zeitliche Gültigkeit
• Adressgültigkeit
• Durchgängigkeit (insb. Weiterleitung von http nach https)

Anhand einer Datenbank mit den wichtigsten Zertifizierungsstellen wird geprüft, ob das Zertifikat von einem vertrauenswürdigen Verwalter stammt.

Webseiten absichern

In den Testergebnissen von Mozilla Observatory, aber auch im Tool von Dr. Headerson, sind Hinweise gegeben, wie die Konfiguration eines Web Servers abgesichert werden kann.

Insbesondere kann die Anpassung über die sogenannte .htaccess-Datei stattfinden, sofern Zugriff auf das Web-Verzeichnis besteht. Dieser Zugriff findet bei gemieteten Servern oder solchen, die nicht in Ihrem lokalen Zugriff stehen, üblicherweise über FTP statt.

Die Content-Security-Policy ist ein zentrales Element der Konfiguration des Web Servers. Hiermit kann unter anderem gesteuert werden, welche Quellen für Script-Dateien erlaubt sind. Eine pauschale Konfiguration kann ich hier nicht angeben. Die konkret mögliche Konfiguration ergibt sich aus den Funktionen Ihrer Webseite. Hierzu ein Beispiel: Wenn Ihre Webseite eine Script-Datei vom Server xyzabc1239.de lädt, muss die Konfiguration dies erlauben. Einfacher ist es, wenn sie eine datenschutzrechtlich saubere Webseite haben, die nur lokale Dateiabrufe vornimmt.

Über den Parameter Strict-Transport-Security kann im Rahmen eines HTTPS-Protokolls mit SSL-Zertifikat definiert werden, dass für die aktuelle Domäne für eine bestimmte Zeit ausschließlich verschlüsselte Verbindungen verwendet werden. Mit dem folgenden Eintrag in .htaccess kann diese Zeit auf praktisch unendlich gesetzt werden:

Header Set Strict-Transport-Security: max-age=15768001;

So können Downgrade-Attacken und Session Hijacking entschärft werden.

Um zu verhindern, dass die eigene Webseite über einen IFRAME in eine fremde Webseite eingebunden wird, kann der Parameter X-Frame-Options verwendet werden:

Header always set X-Frame-Options "SAMEORIGIN"

Der Wert SAMEORIGIN gibt an, dass die aktuelle Domäne nur über sich selbst und nicht über dritte eingebunden werden kann.

Mit der Option kann definiert werden, dass Medientypen (MIME-Types) nicht verfälscht werden dürfen.

Header set X-Content-Type-Options nosniff

Die Einstellung X-XSS-Protection wurde eingeführt, um Cross Site Scripting (XSS) Attacken über den Web Server zu erkennen. Sie ist nach meiner Information etwas überholt, kann aber wohl unschädlich und somit eventuell nützlich eingesetzt werden.

Header set X-XSS-Protection "1; mode=block"

Sobald eine CSS-Attacke erkannt wird, wird der Ladevorgang der aufgerufenen Seite gestoppt.

Administratorverzeichnisse, wie etwa /wp-admin/ für WordPress sollten mit einer gesonderten .htaccess-Datei versehen werden. So kann die Funktionalität berechtigter Nutzer weiterhin gewährleistet werden, während unangemeldete Nutzer nichts weiter dürfen, als die öffentlich verfügbaren Funktionen der Webseite zu nutzen.

Fazit

Mit den genannten Tests können Webseiten schnell und einfach geprüft und offensichtliche Schwachstellen ermittelt werden. Die Hinweise in den Testergebnissen zeigen, wie Web Server abgesichert werden können.

Ich empfehle bei Handlungsbedarf die Anpassung der Konfiguration des Web Servers. Hierfür sollte etwas technisches Verständnis vorhanden sein. Eine Verbesserung des Sicherheitsniveaus ist recht einfach möglich.

Wer eine der besseren Noten haben möchte, muss nicht nur das Thema Datenschutz berücksichtigen, sondern sollte auch wissen, was er tut. Webseiten, die nicht nur statische Inhalte anzeigen, sollen schließlich nach Absicherung noch funktionieren. Insbesondere bei Hintergrundaufrufen wie über AJAX können nicht alle Sicherheitsmechanismen ohne Weiteres angewandt werden. Vor allem bei Content Management Systemen wie WordPress sind solche Aufrufe gängig. Bei Syntaxfehlern in den genannten Konfigurationen ist die Webseite komplett nicht mehr verfügbar. Derartige Fehler können allerdings schnell erkannt und somit behoben werden.