Website Security: Mehr Vertrauen durch eine sichere Website

Website Security Titel

Ob sichere Website oder sicherer Onlineshop: Durch Website Security schaffen Sie Vertrauen in Ihr Produkt und Ihre Marke. In dieser Übersicht zeigen wir die größten Gefahren im Internet und wie Sie Ihre Webseite optimal vor ihnen schützen können.

Ohne Sicherheit kein Vertrauen

Würden Sie wieder in einem Kaufhaus einkaufen, in dem Sie einmal beklaut wurden? Vielleicht, aber Ihr Vertrauen in das Geschäft und seine Marke wären stark gesunken. Und das ohne direkte Verantwortung der Kaufhausleitung!

Genauso geht es vielen Online-Nutzern, deren Identität oder Bankdaten beim Besuch einer Internetseite gestohlen wurden. Im Gedächtnis bleibt nicht der anonyme Dieb, sondern der Name der Webseite und deren Marke.

In dieser Übersicht lernen Sie, wie Sie durch Website Security Vertrauen zu den Nutzern Ihrer Webseite aufbauen. Sie erfahren alles über die größten Gefahren im Internet und wie Sie durch gezielte Maßnahmen vorbeugen können.

Inhaltsverzeichnis

  1. Was ist Website Security?
  2. Die größten Gefahren im Internet
  3. Website Security für Sicherheit im Internet
  4. Webseite prüfen – ist Ihre Webseite sicher?

˜

Was ist Website Security?

Website Security beschreibt alle Maßnahmen zur Web Sicherheit, die eine Webseite und deren Nutzer vor Schadangriffen schützen können. Eine sichere Website ist daher nicht nur serverseitig geschützt, sondern auch in der Kommunikation mit dem Browser der Nutzer.

Website Security Info

Abgrenzen lässt sich Website Sicherheit von dem Schutz der Infrastruktur von Webserver und Rechenzentren auf der einen Seite und dem Schutz einzelner Nutzer-Rechner durch Programme wie Virenscanner auf der anderen.

Maßnahmen zur Web Security betreffen nicht nur den Schutz der Webseite durch Software und Programmierung: Auch die Anzeige der getroffenen Maßnahmen auf der Webseite ist ein wichtiges Signal für die Nutzer.

Website Security bedeutet mehr als nur Schutz:

  • Eine sichere Website erhöht das Vertrauen ihrer Nutzer und sorgt für ein besseres Ranking, mehr Conversions und Kaufabschlüsse
  • Eine unsichere Website dagegen verjagt Nutzer und schadet Ihrem Ansehen und Ihrer Marke nachhaltig

Woran erkennt man eine sichere Website?

Eine sichere Website zeigt sich aus unterschiedlichen Blickwinkeln: Für die Nutzer, welche die Webseite aufrufen und für den Seitenbetreiber, der eine sichere Internetseite anbieten möchte.

So erkennen Nutzer eine sichere Website:

  • Schutz durch aktuelles SSL Zertifikat
  • Evtl. Verwendung eines besonderen SSL Zertifikats (EV)
  • Online Gütesiegel für Web Security und Rechtssicherheit
  • Security Headers Check (securityheaders.com / wao.io Analyzer)

So sorgen Sie für Website Sicherheit:

  • Rechtzeitige oder automatisierte Erneuerung des SSL Zertifikats
  • Einrichtung von Security Headers
  • DDoS Schutz durch ein Content Delivery Network
  • Nutzung einer Web Application Firewall (WAF)

Website Security Maßnahmen

Web Security steigert die Conversion Rate

Web Security schützt Ihre Webseite nicht nur vor Schadangriffen, sie hat auch eine direkte Auswirkung auf das Nutzerverhalten. Nutzer sind umso bereiter, Produkte oder einen Service zu kaufen, wenn sie der Sicherheit der Webseite vertrauen.

Im Gegenteil werden Nutzer eine Webseite schnell wieder verlassen oder den Kauf abbrechen, wenn diese ihnen unsicher erscheint. Dies hängt mit einer großen Sorge vor Datenmissbrauch und -diebstahl zusammen.

Studien zur Web Security belegen:

  • 75% der Deutschen sorgen sich um Datensicherheit im Netz [1]
  • 80% der Kanadier fürchten sich vor Schadsoftware im Internet [2]
  • 44% kaufen nicht mehr auf Webseiten, die erfolgreich gehackt wurden [3]
  • 42% mehr Conversions erzielte eine Webseite durch ein Online-Gütesiegel [4]

Web Sicherheit ist Google Rankingfaktor

Maßnahmen zur Web Sicherheit beeinflussen auch das Ranking in der Google-Suche. Der Suchmaschinenanbieter belohnt dabei sichere Websites mit SSL Zertifikat und straft jene ab, die über keines verfügen.

Wenn es um “Your Money, Your Life” geht, setzt Google den Sicherheitsbedarf besonders hoch an. Dies betrifft also Webseiten aus den Bereichen Finanzen und Medizin. Doch dort hört dieser Anspruch auf.

Alle Webseiten profitieren bei Google von mehr Web Sicherheit:

  • 2014: Verbindungen mit HTTPS werden zum Ranking Signal [5]
  • 2018: Im Chrome werden Webseiten ohne HTTPS als unsicher dargestellt [6]

˜

Sicherer Onlineshop – zufriedene Kunden

Sicherheit im E-Commerce entscheidet maßgeblich darüber, ob Kunden gewonnen und langfristig gebunden werden können. Ein sicherer Onlineshop signalisiert die Vertrauenswürdigkeit des Shop-Betreibers und seiner Produkte.

Gerade im Bestellprozess muss das Sicherheitsgefühl der Nutzer gestärkt werden. Denn hier werden nicht nur sensible persönliche Daten wie Name und Adresse abgefragt, sondern auch Informationen zum Payment wie Kreditkarte oder Kontonummer.

Darüber hinaus ist ein sicherer Onlineshop auch für Shop-Betreiber wichtig. Längst haben es Cyberkriminelle auf mittelständische Shops abgesehen, die sie mit Attacken bedrohen und so Geld erpressen wollen.

Sicherheit im E-Commerce ist ein Verkaufsargument

Die Auswirkungen, die Sicherheit im E-Commerce hat, sind durch Studien belegt. Unterscheiden kann man dabei zwischen dem Schutz durch ein SSL Zertifikat, der Anzeige von Gütesiegeln und der Auswirkung von Hackerangriffen.

Eine Studie zur E-Commerce Sicherheit fand so heraus: [7]

  • 84% der Nutzer brechen den Kauf ab, wenn die Verbindung nicht sicher ist
  • 90% werden eher kaufen oder Daten hinterlegen, wenn die Verbindung sicher ist
  • 90% werden eher kaufen oder Daten hinterlegen, wenn Gütesiegel vorhanden sind
  • 50% sorgen sich darüber, dass ihre Kreditkarten-Informationen gestohlen werden

Ein sicherer Shop minimiert daher Kaufabbrüche und erhöht so die Conversion Rate.

Shop Sicherheit auch für Betreiber wichtig

Gerade mittelständische Shops sind häufig anfällig für Cyberkriminalität. Da Maßnahmen zur Shop Sicherheit in ihrem Alltagsgeschäft oft wenig Platz finden, suchen sich Angreifer gezielt diese Shops heraus, um sie mit Attacken zu hacken oder lahmzulegen.

Besonders die Androhung einer DDoS Attacke führt in Deutschland immer wieder zu Erpressungsversuchen. Jedes vierte Unternehmen soll schon davon betroffen gewesen sein. [8] Wie diese Attacken ablaufen und wie man sich vor ihnen schützen kann, erklären wir in diesem Artikel ausführlich.

Shop Sicherheit führt somit also auch zu weniger Sorgen für die Shop-Betreiber: Je mehr Sicherheitsmaßnahmen Sie treffen, desto weniger wahrscheinlich werden Sie zur Zielscheibe für Angreifer und können sich im Ernstfall besser schützen.

Weiterlesen:

˜

Sicherer Browser unterstützt Website Security

Viele Aufgaben der Website Security werden mittlerweile durch sichere Browser unterstützt. So können viele der Gefahren für Nutzer bereits frühzeitig angezeigt werden. Aber auch die Sicherheit der Webseite wird durch viele Funktionen unterstützt.

Früher wurde Sicherheit im Internet auf den Schutz der Infrastruktur auf Unternehmensseite und den Schutz des Rechners auf der Nutzerseite beschränkt. Heutzutage sorgen sichere Browser dafür, dass die Kommunikation zwischen Server und Client geschützt wird.

Webseiten-Betreiber können die Browser dabei unterstützen, indem sie Sicherheitsstandards einhalten und definieren. Hierzu zählen beispielsweise die Security Headers, die über den HTTP-Header kommuniziert werden. Alles zu Security Headers und deren Einrichtung lesen Sie in diesem Artikel.

Weiterlesen:

Woran erkennt man einen sicheren Browser?

Sichere Browser zeichnen sich durch regelmäßige Updates, umfassenden Schutz und Warnhinweise aus. Die Merkmale sicherer Browser auf einen Blick:

  • Warnhinweise bei Sicherheitslücken
  • Sicherer Datei-Download ohne direkte Ausführung
  • Regelmäßige Sicherheits-Updates
  • Unterstützung von Security Headers
  • Phishing- und Malware-Schutz

Das sind die aktuell sichersten Browser

Aus Sicht der Website Security sind die aktuell sichersten Browser die großen und bekannten. Das liegt natürlich daran, dass in diese Browser die meiste Arbeit und Know-How fließt und sie daher immer auf dem aktuellsten Stand sind.

  • Google Chrome
  • Mozilla Firefox (bester Schutz gegen Tracking)
  • Microsoft Edge
  • Apple Safari
  • Opera (eingebaute VPN-Verbindung)

Darüber hinaus gibt es auch Browser, die auf den gleichen Technologien wie Chromium oder Mozilla basieren. Diese Browser werden immer wieder als gute Alternativen für mehr Sicherheit im Internet beschrieben.

Allerdings weisen sie häufig selbst Sicherheitslücken auf (z.B. Comodo Dragon) oder werden von Webseiten als schädlicher Nutzer erkannt (z.B. Tor Browser). Wir raten daher dazu, die oben aufgeführten Standard-Browser zu verwenden.

Vorsicht bei Browser Erweiterung

Auch der sicherste Browser kann durch unsichere Erweiterungen zur Sicherheitsgefahr werden. Browser Erweiterungen werden im Firefox Addons und im Chrome Extensions genannt. Durch Erweiterungen werden dem Browser Funktionalitäten hinzugefügt.

In einer Studie wurden über 120.000 Chrome Extensions untersucht. Dabei stellte sich heraus, dass viele der Extensions bedenklich für die Sicherheit der Nutzer sind: [9]

  • 85% geben nicht an, wie sie Nutzerdaten verarbeiten
  • 35% lesen Nutzerdaten in der Kommunikation mit der Webseite aus
  • 32% nutzen Skripte, die über bekannte Sicherheitslücken verfügen

Bei 15% aller Chrome Extensions überschnitten sich die letzten beiden Punkte sogar. Achten Sie daher immer genau auf die Angaben zur Sicherheit vor der Installation einer Browser Erweiterung.

˜

Die größten Gefahren im Internet

Gefahren im Internet, die die Website Security betreffen, entstehen bei der Kommunikation zwischen dem Browser des Nutzers und der aufgerufenen Webseite. Diese kann von Angreifern manipuliert und gezielt ausgenutzt werden.

Im Allgemeinen kann dabei zwischen drei Arten von Angriffen unterschieden werden:

  • Angreifer hacken die Kommunikation zwischen Browser und Webseite
  • Angreifer attackieren die Webseite über den Kommunikationsweg des Browsers
  • Angreifer attackieren den Nutzer über Schadcode auf der Webseite

Liste der Gefahren im Internet

Daraus ergeben sich verschiedene Angriffsmöglichkeiten und konkrete Methoden, die von Cyberkriminellen verwendet werden.

Die größten Gefahren im Internet, die die Website Security betreffen, sind demnach:

  • Unsichere Website: Hacker lesen Daten aus unverschlüsselter Verbindung aus
  • Phishing: Betrüger nutzen das Design unsicherer Webseiten als Deckmantel
  • DDoS Angriff: Massenhafte Aufrufe legen eine Webseite lahm
  • Cross Site Scripting: Schadcode auf der Webseite wird vom Nutzer aufgerufen
  • Clickjacking: Sichere Webseite wird eingebunden und Daten abgefangen
  • Drive-By Download: Malware wird über die Website-Daten heruntergeladen
  • Crypto Mining: Infizierte Rechner schürfen nach Kryptowährungen

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) listet weitere Gefahren im Internet auf, die sich nicht nur auf die Website Security beziehen. [10]

Im Folgenden werden wir auf jede dieser Gefahren einzeln eingehen und anschließend Schutzmaßnahmen aufzeigen.

˜

Unsichere Website / Unsichere Verbindung

Eine unsichere Website liegt dann vor, wenn die Daten zwischen Browser und Webseite über eine unsichere Verbindung übertragen werden. Die Verbindung ist also entweder nicht durch ein SSL Zertifikat geschützt oder bei diesem liegt ein Fehler vor.

Ist eine Webseite nicht durch ein SSL Zertifikat geschützt, dann lässt sich dies am einfachsten in der Adresszeile des Browsers erkennen: Eine unsichere Verbindung wird über HTTP aufgebaut, eine sichere Verbindung über HTTPS.

Wird die Webseite über HTTPS aufgerufen und trotzdem eine unsichere Verbindung festgestellt, dann kann dies mehrere Gründe haben:

  • Die Webseite wird über HTTPS aufgerufen, verfügt aber nicht über ein Zertifikat
  • Das SSL Zertifikat ist abgelaufen und muss erneuert werden
  • Das SSL Zertifikat schützt die Webseite nur unzureichend
  • Das SSL Zertifikat ist aus einem anderen Grund nicht valide

Die Folgen einer unsicheren Website

Eine unsichere Website kann nicht verhindern, dass die Kommunikation zwischen der Webseite und dem Browser des Nutzers von Dritten ausgelesen wird. Die Daten werden im Klartext über das Internet verschickt und bilden so ein leichtes Ziel für Angreifer.

So haben Angreifer Zugang zu allen relevanten Daten der Webseiten-Kommunikation:

  • Nutzer-Login und Passwörter
  • Persönliche Informationen wie Name und Adresse
  • Zahlungsinformationen wie Kreditkartendaten
  • Private Nachrichten über die Webseite

Am einfachsten geschieht dies, wenn Nutzer und Angreifer die gleiche Verbindung zum Internet nutzen. Dies betrifft besonders öffentliche WLAN-Netzwerke. In solchen Netzwerken sollten unsichere Verbindungen auf keinen Fall aufgerufen werden. Zudem empfehlen wir den Schutz über ein verschlüsseltes VPN-Netzwerk.

So wird eine unsichere Verbindung im Browser erkannt

Wie bereits erwähnt geht Google gegen unsichere Verbindungen vor. Im Google-Browser Chrome werden unsichere Websites daher gekennzeichnet. Zudem warnt Chrome vor einer unsicheren Verbindung.

Chrome Kein HTTPS Anzeige

Google Chrome kennzeichnet eine unsichere Website als “Nicht sicher”

Im Firefox werden Nutzer vor einer unsicheren Website gewarnt, wenn sich auf der Seite Eingabemasken wie Passwortfelder befinden. In diesem Fall wird eine deutliche Warnung direkt unter dem Eingabefeld ausgegeben.

Firefox Unsichere Verbindung

Firefox warnt: “Diese Verbindung ist nicht sicher”

Alle sicheren Browser warnen vor fehlerhaften HTTPS-Verbindungen. Unter dem Hinweis “Diese Website ist nicht sicher” warnt Firefox beispielsweise vor unsicheren Websites und lässt diese nur öffnen, wenn eine Ausnahme explizit erteilt wurde.

Es ist nicht verwunderlich, dass Nutzer, die solche Warnhinweise erhalten, auf einer unsicheren Website nicht einkaufen würden oder ein Benutzerkonto erstellen würden.

Wie kann man eine unsichere Website verhindern?

Über die Einrichtung eines SSL Zertifikats kann verhindert werden, dass die eigene Webseite als unsicher eingestuft wird. Durch das SSL Zertifikat wird die Kommunikation zwischen Browser und Webseite verschlüsselt. Was ein SSL Zertifikat ist und wie es eingerichtet wird, erfahren Sie in diesem Artikel.

Zudem empfehlen wir, wichtige Vorgänge auf der Webseite wie die Anmeldung oder Änderung am Benutzerkonto durch eine Zwei-Faktor-Authentifizierung (“2-factor authorization”) durchzuführen.

Bei der 2FA wird neben der Bestätigung des Logins ein weiterer Faktor zur Authentifizierung herangezogen. Dies kann die Eingabe einer TAN wie beim Online-Banking sein. Wird diese an das Smartphone geschickt, benötigt der Angreifer auch Zugang zu diesem, um sich authentifizieren zu können.

Weiterlesen:

˜

Phishing – Betrug über gefälschte Webseiten

Durch Phishing versuchen Cyberkriminelle an Logindaten und Zahlungsinformationen von Nutzern zu gelangen oder deren Rechner mit Schadsoftware zu infizieren. Dazu kontaktieren sie die Nutzer über E-Mail oder Messenger-Dienste und hinterlegen einen Link zu einer gefälschten Webseite.

Diese Webseite ähnelt der des echten Betreibers, da sich das Webseiten-Design einfach kopieren lässt. Nutzer, die die Webseite nicht als gefälscht erkennen, loggen sich dann mit ihren Zugangsdaten ein, hinterlegen ihre Zahlungsinformationen oder laden die Schadsoftware herunter.

Meistens verwenden Cyberkriminelle hierbei die Webseiten großer Anbieter aus dem E-Commerce oder dem Online-Banking. Durch die Nachricht wird eine große Dringlichkeit suggeriert, mit der Nutzer motiviert werden sollen, ohne Überprüfung darauf einzugehen.

Phishing schadet nicht nur Nutzern

Die Sicherheit einer Webseite ist bei Phishing nicht direkt betroffen. Es gibt keine konkreten Maßnahmen, um die eigene Webseite vor Phishing zu schützen. Schließlich können Webseiten-Inhalte wie die Corporate Identity und der HTML-Code ungehindert heruntergeladen und anderweitig wiederverwendet werden.

Dennoch hat eine Phishing-Attacke auch Einfluss auf das eigene Unternehmen. Wenn Nutzer herausfinden, dass sie über eine gefälschte Webseite betrogen wurden, werden sie deren Herkunft im Gedächtnis behalten. Dies schadet also dem Vertrauen Ihrer Webseite und Ihrer Marke.

Phishing effektiv vorbeugen

Es gibt viele Möglichkeiten für Nutzer, auf Phishing zu achten, um nicht Opfer eines Angriffs zu werden. Hierzu zählen E-Mail-Filter nach Spam-Nachrichten und eine aktuelle Virenschutz-Software.

Im Rahmen der Website Security gibt es zwar, wie erwähnt, keine direkten Vorbeugemaßnahmen: Trotzdem lassen sich Sicherheitssignale auf der Webseite hinterlegen, die es Nutzern erleichtern, Betrugsseiten zu erkennen.

Ein SSL Zertifikat im Zusammenhang mit den Sicherheitshinweisen aus dem Browser kann hier weiterhelfen. Viele Betrugsseiten sind ungeschützt und daher gut von einer durch ein Zertifikat gesicherten Webseite zu unterscheiden.

Doch mittlerweile haben sich auch die Betrüger angepasst und verwenden neben kaum veränderten Domainnamen auch SSL Zertifikate. In diesen Fällen kann durch die Einrichtung eines Zertifikates mit Extended-Validation (EV SSL) Abhilfe geleistet werden.

Bei einem EV SSL Zertifikat wird der Name des Unternehmens in der Adresszeile des Browser eingetragen. Vor allem Banken und Versicherer setzen auf diesen Zusatz. Da vor der Verwendung eines solchen Zertifikats eingehende Prüfungen stattfinden, kann es nicht von Betrugsseiten verwendet werden. Alles über EV SSL weiter unten in diesem Artikel.

Weiterlesen:

˜

DDoS Angriff (Distributed Denial of Service)

Mit einem DDoS Angriff können Webseiten lahmgelegt werden. Das trifft deren Betreiber hart: Jede Sekunde, die eine Webseite oder ein Onlineshop nicht erreichbar ist, bedeutet einen Verlust von Einnahmen und Vertrauen.

Dies machen sich Cyberkriminelle gezielt zunutze, um einen DDoS Angriff durchzuführen oder Seitenbetreibern mit einem DDoS Angriff zu drohen. Davon betroffen sind, wie bereits angesprochen, insbesondere Shop-Betreiber.

Was ist DDoS?

DDoS steht für “Distributed Denial of Service”. Ein “Denial of Service” liegt dann vor, wenn ein digitaler Service wie eine Webseite nicht aufrufbar ist. DDoS wird dadurch erreicht, dass eine zentral gesteuerte Vielzahl von Servern oder Client-Rechnern gleichzeitig den digitalen Service aufrufen.

Dadurch soll erreicht werden, dass die Webseite unter der Last der Anfragen zusammenbricht und sie entsprechend keine weiteren Anfragen mehr verarbeiten kann. Der Service der Webseite kann zwar wieder neu gestartet werden: Für die Dauer der DDoS Attacke wird er jedoch immer wieder ausfallen.

Für die Nutzer, die die Webseite während dieser Zeit aufrufen wollen, bedeutet dies im glimpflichen Fall nur längere Ladezeiten. Im schlimmsten Fall ist die Webseite jedoch gar nicht mehr aufrufbar.

DDoS Attacke abwehren

Der Erfolg einer DDoS Attacke ist abhängig vom Leistungsvermögen des Servers oder Server-Netzwerks, auf dem sich die Webseite befindet. Für einen wirksamen DDoS Schutz ist es daher wichtig, über viel Serverleistung zu verfügen.

In Server-Netzwerken kann die Last dynamisch verteilt werden. Diese skalierbaren Infrastrukturen können DDoS Attacken abwehren. Sie gehören zum Leistungsumfang eines Content Delivery Networks (CDN), das wir in diesem Artikel beschreiben.

Weiterlesen:

˜

Cross Site Scripting (XSS)

Unter Cross Site Scripting (kurz XSS) versteht man die Hinterlegung und Ausführung von Schadcode auf einer fremden Webseite. Dieser Code wird meist in JavaScript geschrieben. Da XSS über Sicherheitslücken im Website-Code stattfindet, spricht man hier auch von einer HTML-Injection.

Der durch Cross Site Scripting hinterlegte Schadcode wird von Nutzern unbemerkt aufgerufen. Dadurch können ansonsten sichere Daten übertragen werden. Dazu gehören auch Informationen zur Session eines eingeloggten Nutzers.

Wie wird Cross Site Scripting angewendet?

Webseiten sind offen für die Kommunikation mit Nutzern. Hierzu zählen Eingabeformulare, aber auch die Möglichkeit, Parameter über die URL zu übertragen. Werden die so übersandten Daten nicht hinreichend geprüft, können sie auf der Webseite gespeichert und von anderen Nutzern aufgerufen werden.

Ein klassisches Beispiel für die Anwendung von Cross Site Scripting sind Kommentarfelder. In einem großen Eingabefeld wird dabei der Kommentar verfasst und abgesendet. Statt einfachem Text kann in dieses Feld aber auch JavaScript-Code eingefügt werden.

Wird bei der Übertragung nicht überprüft, ob es sich ausschließlich um Text handelt, wird der JavaScript-Code mit gespeichert. Der nächste Nutzer, der die Webseite mit dem Kommentar aufruft, lädt auch den JavaScript-Code mit, der dann im Browser ausgeführt wird.

Cross Site Scripting verhindern

Es gibt mehrere Wege, um Cross Site Scripting verhindern zu können. Durch die Programmierung der Webseite kann jede Dateneingabe ihrem Inhalt nach überprüft werden. So kann ausgeschlossen werden, dass Schadcode übertragen wird.

Zusätzlichen Schutz, der auch für die Nutzer durch ihren Browser verfügbar ist, kann man durch die Einstellung von Security Headers erreichen. Über diese lässt sich beispielsweise festlegen, dass nur der von Ihnen festgelegte Code aufgerufen werden soll. Mehr zu Security Headers erfahren Sie weiter unten in diesem Artikel.

Weiterlesen:

˜

Clickjacking – die Webseite als Klickfalle

Unter Clickjacking versteht man das Mitlesen von Eingaben auf der Webseite. Auf diese Weise werden meist Login-Informationen gestohlen. Ähnlich wie beim Phishing werden auch hier Nutzer über E-Mail oder Messenger dazu aufgefordert, eine URL aufzurufen.

Jedoch wird die Webseite nicht wie beim Phishing nachgebaut, sondern als Ganzes in die Betrugsseite eingebunden. Da die Webseite vollfunktional ist, fällt es Nutzern noch schwerer, den Betrug zu durchschauen.

Wie wird Clickjacking angewendet?

In der Anfangszeit des Internets wurden Seitenlayouts mit sogenannten Frames verwirklicht. Dabei wurde in einer Hauptdatei das Layout bestimmt. Dann wurden einzelne Unterseiten für das Menü, den Inhalt und andere Seitenelemente angelegt.

Aus dieser Praxis ist das “iFrame” erhalten geblieben, das dynamisch in eine Seite integriert werden kann. In diesen iFrame können beliebige Internetseiten geladen werden. Wird der iFrame in Höhe und Breite ganzseitig angezeigt und befinden sich sonst keine weiteren Inhalte auf der Seite, ist sie so kaum von der eingebetteten Webseite zu unterscheiden.

Die Eingaben, die Nutzer auf der eingebetteten Webseite machen, werden mit einem darüber gelegten Layer erfasst. Anders als beim Phishing realisieren die Nutzer nicht direkt, dass etwas falsch gelaufen ist. Sie können die Seite im iFrame nämlich wie gewohnt nutzen.

Clickjacking verhindern

Sie können Clickjacking dadurch verhindern, dass Ihre Webseite nicht mehr in einem iFrame aufgerufen werden darf. Dies lässt sich wiederum durch Security Headers festlegen. Für Nutzer, deren Browser diese Header auslesen, wird die Webseite dann nicht mehr auf Betrugsseiten angezeigt.

Weiterlesen:

˜

Drive-By Download beim Seitenaufruf

Unter einem Drive-By Download versteht man das unerkannte Herunterladen von Schadsoftware von einer Webseite. Diese Schadsoftware wurde vorher auf der Seite platziert, zum Beispiel durch Cross Site Scripting.

Die Software wird dann zusammen mit den anderen Webseiten-Daten beim Aufruf der Nutzer heruntergeladen. Durch die Ausnutzung von Sicherheitslücken im Browser wird sie ausgeführt und auf dem Rechner der Nutzer installiert.

Drive-By Download verhindern

Für Nutzer bedeutet dies, immer die aktuellste Version des Browsers zu installieren. Durch Auto-Updates und regelmäßige Aktualisierungen sind die meisten Browser gut geschützt. In manchen Fällen, wie in der Spectre / Meltdown Krise werden diese Lücken jedoch erst nach massiven Angriffen erkannt.

Durch den Einsatz von Security Headers lassen sich Drive-By Downloads verhindern. So können Sie festlegen, welche Daten vom Browser ausgeführt werden sollen und welche nicht.
Weiterlesen:

˜

Ungewolltes Crypto Mining

Unter Crypto Mining versteht man die Generierung von Kryptowährungen wie Bitcoin mittels Software oder Skripten im Internet. Dabei wird die Rechenleistung des Prozessors oder der Grafikkarte genutzt. Das so “geschürfte” Kryptogeld lässt sich dann zur Zahlung verwenden.

Cyberkriminelle nutzen dies aus, indem sie Software oder Skripte zum Crypto Mining unerkannt auf infizierten Rechnern ausführen. Viele der bereits vorgestellten Sicherheitsangriffe eignen sich dafür, z.B. Phishing, XSS oder ein Drive-By Download.

Ungewolltes Crypto Mining verhindern

In vielen sicheren Browsern wird ungewolltes Crypto Mining entdeckt und unterbunden. Dies betrifft Crypto Mining mit JavaScript. Unterstützt der Browser dies nicht nativ, gibt es hierzu Erweiterungen. Darüber hinaus helfen die von uns vorgeschlagenen Maßnahmen gegen Phishing, XSS und Drive-By Download.

˜

Website Security für Sicherheit im Internet

Den beschriebenen Gefahren können Sie entgegenwirken, indem Sie Website Security für mehr Sicherheit im Internet umsetzen. Dies betrifft Änderungen an Ihrer Webseite, die diese nicht nur nach außen schützen. So werden auch die Nutzer, die Ihre Webseite besuchen geschützt.

Damit ist nicht nur Ihr eigenes Geschäft sicher im Internet: Sie erhalten auch mehr Vertrauen Ihrer Nutzer und werden mit einer höheren Conversion Rate und somit mehr Verkäufen belohnt.

Weiterlesen:

˜

SSL Zertifikat sorgt für Verschlüsselung

Ein SSL Zertifikat ermöglicht die verschlüsselte Kommunikation zwischen Browser und Webseite. Es wird durch eine CA (Certificate Authority, zu dt. Zertifizierungsstelle) ausgestellt und erneuert.

Die CA validiert die Domain auf der das SSL Zertifikat installiert werden soll. Wird mehr Schutz benötigt, z.B. bei einem Extended Validation Zertifikat, werden zudem auch Domaininhaber und Unternehmen überprüft.

Die Vorteile eines SSL Zertifikats haben wir bereits an mehreren Stellen in diesem Artikel erwähnt. Darum ist für Webseitenbetreiber ein SSL Zertifikat Pflicht:

  1. Sicherheit: Verschlüsselte Kommunikation mit Nutzern über HTTPS
  2. Browser-Anzeige: “Diese Webseite ist sicher”
  3. Nutzerverhalten: Weniger Kaufabbrüche und höhere Conversion Rate
  4. Rankingfaktor: Google belohnt eine sichere Website im Ranking

Was ist SSL Verschlüsselung?

Mit einer SSL Verschlüsselung werden Daten zwischen Browser und Webseite nicht im Klartext übertragen, sondern mit einem Hash-Wert verschlüsselt. Der Schlüssel zur En-, bzw. Decryption ist dabei der jeweils anderen Seite bekannt.

Der Name SSL (Secure Sockets Layer) ist erhalten geblieben, obwohl heutzutage das Protokoll TLS (Transport Layer Security) an seine Stelle getreten ist. Die Begriffe SSL und TLS werden daher meist synonym verwendet.

Wildcard SSL Zertifikat: Schutz für Subdomains

Mit einem Wildcard SSL Zertifikat kann mehr als nur eine Webseite geschützt werden. Ein normales SSL Zertifikat schützt nur eine Domain (z.B. example.com), in der Regel mit und ohne den Zusatz www.

Mit einem Wildcard Zertifikat werden auch alle Subdomains (z.B. blog.example.com) geschützt. Der Name “Wildcard” rührt dabei von der Einstellung des Zertifikats her, bei dem ein “*” als Platzhalter für die Subdomains (z.B. *.example.com) steht.

Bekommt man ein SSL Zertifikat kostenlos?

Die CA “Let’s Encrypt” stellt ein SSL Zertifikat kostenlos aus. Let’s Encrypt ist eine Non-Profit-Organisation, die sich zum Ziel gesetzt hat, Sicherheit im Internet durch “Free SSL” weitflächig zu ermöglichen.

Kostenlose Zertifikate von Let’s Encrypt werden für einzelne Domains validiert und ausgestellt. Seit 2018 ermöglicht Let’s Encrypt auch die Ausstellung von Wildcard SSL Zertifikaten.

Ein kostenloses SSL Zertifikat wird dabei automatisiert ausgestellt und erneuert. Ist eine aufwendigere Validierung wie der des Unternehmens gewünscht, gibt es bislang noch keine kostenlose Alternative.

˜

EV SSL für Banking und Finance

Bei EV SSL (Extended Validation) handelt es sich um ein speziell validiertes SSL Zertifikat. Wenn ein EV Zertifikat ausgestellt wird, wird es nicht über die Domain validiert, sondern über das Unternehmen, das die Domain betreibt.

Auf diese Weise wird sichergestellt, dass das Unternehmen legitim ist und kein Betrüger vorliegt. Dies kann bei der einfachen Domain-Validierung nicht überprüft werden. Aufgrund der manuellen Prüfung sind diese EV SSL Zertifikate nicht kostenlos.

EV SSL Zertifikat wird im Browser angezeigt

Der direkte Vorteil von einem EV SSL Zertifikat liegt in der Anzeige im Browser. Statt einem einfachen Schloss-Symbol wird der Name des Unternehmens vor der URL angezeigt. Dadurch erkennen Nutzer auf einen Blick, dass sie auf der richtigen Webseite des Unternehmens sind.

EV SSL ist daher besonders für Webseiten von Bedeutung, die von Phishing und Clickjacking betroffen sind. Hierzu gehören meist die digitalen Services von Unternehmen aus dem Bereich Banking und Finance.

˜

DDoS Schutz über ein CDN

Wirksamer DDoS Schutz lässt sich über Server-Netzwerke erreichen, welche die anfallende Last dynamisch verteilen können. Diese Netzwerke können nicht DDoS Attacken verhindern, aber sicherstellen, dass die Webseite während solcher Attacken weiterhin gut erreichbar ist.

Darüber hinaus lässt sich das Profil der DDoS Attacke analysieren und abwehren. Dies kann jedoch erst während der Attacke geschehen. So lässt sich über die DDoS Attacke herausfinden:

  • Gibt es ein gemeinsames Muster der Anfragen?
  • Woher stammen die Anfragen der DDoS Attacke?
  • Wird eine bestimmte Anwendung des Service attackiert?
  • Gibt es Gemeinsamkeiten im Header der Anfragen?

DDoS Protection über Analysen

Wird das Muster der DDoS Attacke erfolgreich analysiert, können die entsprechenden Anfragen auf eine Blacklist gesetzt und geblockt werden. Vor DDoS schützen können diese Analysen in Zukunft, wenn die Muster, bzw. die attackierenden Botnetze erneut genutzt werden.

Mit den Maßnahmen zur DDoS Protection passen sich jedoch auch die Angreifer immer wieder an. So versuchen sie, Muster zu vermeiden. Beispielsweise werden Botnetze über infizierte Rechner weltweit aufgebaut.

Anti DDoS mit einem Content Delivery Network

Die Anti DDoS Maßnahmen sollten daher immer mit einem leistungsfähigen Server-Netzwerk gebündelt sein. Besonders effektiv sind diese Netzwerke in einem sogenannten Content Delivery Network (CDN).

Ein Content Delivery Network hat Serverstandorte, die über den Globus verteilt sind. Die Webseite wird im CDN zwischengespeichert. Nutzer-Anfragen an die Webseite werden dann so zugeordnet, dass immer der regional nächste Server verwendet wird.

Das hat bei einer DDoS Attacke Vorteile:

  • Durch zwischengespeicherte Inhalte entsteht eine niedrigere Last bei der Anfrage
  • Globale Attacken werden über das gesamte Netzwerk verteilt

˜

Security Headers für Browserschutz

Über Security Headers lässt sich die Kommunikation zwischen Nutzer und Webseite effektiver schützen. Denn Sicherheitslücken einer Webseite lassen sich oft schon schließen, bevor die Webseiten-Software oder die Infrastruktur greifen müssen.

Security Headers werden Einstellungen im HTTP-Header genannt. die für die Webseiten-Sicherheit bestimmt sind. Der HTTP-Header wird bei jeder Antwort an eine Browser-Anfrage mitgesendet und von diesem ausgelesen.

Durch Security Headers kann verhindert werden, dass Schadcode auf Ihrer Webseite platziert wird. Zudem können sie verhindern, dass dieser durch Nutzer ausgeführt. Somit schützen Security Headers Nutzer und Webseite, was sie zu einem effektiven Werkzeug für die Website Security macht.

Davor schützen Security Headers

Security Headers schützen gegen eine Vielzahl möglicher Angriffe und können häufige Sicherheitslücken in der Browser-Kommunikation schließen. Darunter fallen die folgenden Einstellungen:

  • Content-Security-Policy (CSP) gegen Cross Site Scripting
  • X-XSS-Protection gegen Cross Site Scripting
  • X-Frame-Options gegen Clickjacking
  • X-Content-Type-Options gegen Drive-By Download
  • Referrer-Policy für besseren Datenschutz

Weiterlesen:

˜

Web Application Firewall (WAF)

Mit einer Web Application Firewall (WAF) werden sicherheitsrelevante Code-Mängel behoben. Als zusätzliche Sicherheitsebene schützt die WAF die Webseite vor Angriffen und der Ausnutzung bekannter Sicherheitslücken.

Die Technologie und Dokumentation hierzu wird von der Online-Community OWASP (Open Web Application Security Project) zur Verfügung gestellt. Eine WAF kann vor den in der OWASP Top 10 beschriebenen Sicherheitslücken schützen.

Zu den OWASP Top 10 Sicherheitslücken gehören:

  • SQL Injection (SQLi)
  • Cross Site Scripting (XSS)
  • Local File Inclusion (LFI)
  • Remote Code Execution (RCE)
  • PHP Code Injection
  • SQL Injection (SQLi)
  • HTTPoxy
  • Shellshock
  • Session Fixation Scanner Detection
  • Metadata / Error Leakages
  • GeoIP Country Blocking

WAF für PCI-DSS Zertifizierung

Werden über Ihre Webseite Kreditkartendaten verarbeitet, muss dies unter dem PCI-DSS (Payment Card Industry Data Security Standard) geschehen. Ist die Webseite dafür geeignet, wird dies als PCI Compliance beschrieben.

Die PCI Compliance kann über eine PCI-DSS Zertifizierung festgestellt werden. Kommt es zu Verstößen gegen die PCI-DSS drohen dem Webseitenbetreiber Strafzahlungen und ein eventueller Ausschluss aus dem Programm.

Um eine PCI-DSS Zertifizierung zu erhalten, muss die Webseite gegen die größten Gefahren gesichert sein. Wird die Webseite über eine Web Application Firewall geschützt, ist dies ein gutes Argument für die PCI Zertifizierung.

˜

Trusted Shops und andere Online Gütesiegel

Trusted Shops bietet das in Deutschland bekannteste Online Gütesiegel an. Doch darüber hinaus gibt es viele weitere Gütesiegel für Onlineshops und Webseiten. Diese Gütesiegel zeigen Nutzern an, dass die Inhalte und Funktionalitäten der Webseite überprüft und geschützt sind.

Online Gütesiegel lassen sich in vier Kategorien aufteilen:

  1. Payment Siegel (Kreditkarte, PayPal)
  2. Rechtsschutz Siegel (Händlerbund)
  3. Käuferschutz Siegel (Trusted Shops)
  4. Security Siegel (SSL Zertifikat)

Arten von Online Gütesiegeln

Payment Siegel weisen zum einen auf die möglichen Zahlungsmethoden hin. Zum anderen machen sie auch deutlich, dass diese überprüft und sicher sind. Nutzer können darüber direkt sehen, ob ihre bevorzugte Methode vertreten ist.

Rechtsschutz Siegel zeigen den Nutzern, dass die Richtlinien zu Datenschutz und Widerrufsrecht im Shop eingehalten werden. Zudem stimmen sie mit der aktuellen Gesetzgebung überein und sind DSGVO-konform.

Käuferschutz Siegel in einem Onlineshop bedeuten, dass der Shop an einem externen Käuferschutz-Programm teilnimmt. Mit diesem Programm werden Schwierigkeiten bei Bestellungen über einen extern Schlichter geregelt.

Security Siegel signalisieren, dass die Webseite durch ein SSL Zertifikat geschützt wird. Damit werden alle wichtigen Daten wie Login- und Payment-Informationen über eine verschlüsselte Verbindung abgeschickt.

Gütesiegel für Onlineshops besonders wichtig

Onlineshops profitieren von allen Arten von Gütesiegeln. Dies zeigt sich entlang der Customer Journey:

  1. Bei der Auswahl der Artikel bestärken Rechtsschutz Siegel das Vertrauen in den Onlineshop und sein Angebot.
  2. Im Warenkorb zeigen Payment Siegel, ob die bevorzugte Zahlungsmethode verfügbar ist und die Bezahlung sicher ist.
  3. Beim Checkout weisen Security Siegel auf die verschlüsselte Übertragung der Daten hin.
  4. Nach dem Kauf erhalten die Nutzer mit dem Käuferschutz Siegel Hinweise auf die Sicherheit ihrer Bestellung und werden wahrscheinlicher erneut einkaufen.

Weiterlesen:

˜

Webseite prüfen – ist Ihre Webseite sicher?

Es ist sinnvoll Ihre Webseite zu prüfen, bevor Sie Maßnahmen zur Erhöhung der Website Sicherheit einleiten. Dazu erstellen Sie eine Checkliste anhand der Probleme und Schutzmaßnahmen, die wir in diesem Artikel vorgestellt haben.

Dies sollten Sie auf Ihrer Webseite prüfen:

  1. Ist das SSL Zertifikat korrekt eingerichtet?
  2. Verfügen Sie über DDoS Schutz?
  3. Sind Security Headers eingerichtet?
  4. Verfügen Sie über eine Web Application Firewall?

Webseite auf gültiges SSL Zertifikat prüfen

So können Sie das SSL Zertifikat auf Ihrer Website überprüfen: Öffnen Sie Ihre Webseite im Browser über den Zusatz “https://”. Wird die Seite korrekt geladen und kein Fehler oder Warnhinweis ausgegeben, ist das Zertifikat gültig.

Durch Klick auf das Zertifikat, im Chrome beispielsweise auf das Schloss-Symbol vor der Adresszeile, lassen sich Informationen zum SSL Zertifikat auslesen. So erfahren Sie alle Details zur Gültigkeit und für welche Domain das Zertifikat ausgestellt ist.

Chrome SSL Zertifikat Details

Informationen zum SSL Zertifikat im Chrome

DDoS Schutz der Website überprüfen

Damit die Webseite nicht von einer DDoS Attacke überrascht wird, kann sie auf DDoS Schutz überprüft werden. In Stresstests können unterschiedliche Schnittstellen angegriffen werden. So wird ermittelt, wann die Performance bedroht ist.

Diese Stresstests sind auch geeignet, um zu überprüfen, wie schnell Sie und die Website-Administratoren auf eine DDoS Bedrohung reagieren können und Maßnahmen zur Abwehr einleiten können.

Website Scanner für Security Headers

Der Tech-Journalist Scott Helme hat einen Website Scanner eingerichtet, mit dem überprüft wird, ob Security Headers eingerichtet und optimal eingestellt sind. Unter securityheaders.com lässt sich der Website Scanner aufrufen.

Nach Eingabe der URL Ihrer Webseite erhalten Sie einen Überblick über die eingerichteten Security Headers und welche noch fehlen oder nicht sicher eingestellt sind. Dazu verteilt securityheaders.com eine Gesamtnote, die Sie mit anderen Webseiten vergleichen können.

Website auf Schutz durch Web Application Firewall überprüfen

Eine Web Application Firewall gehört mittlerweile zum Umfang vieler Hosting-Angebote. Daneben bieten auch Content Delivery Networks den zusätzlichen Schutz einer WAF an. Ob Ihre Webseite über eine WAF verfügt, erfahren Sie entsprechend bei Ihrem Hosting- oder CDN-Anbieter.

Auch eine Web Application Firewall lässt sich mit Stresstests auf ihre Tauglichkeit prüfen. Dabei werden über automatisierte Tests oder manuelle Eingaben HTML- oder SQL-Injections auf der Webseite getätigt. Diese sollten von der WAF geblockt werden.

˜

Website Security Check mit dem wao.io Analyzer

Unterziehen Sie Ihre Website Security einem Check: Mit dem automatischen und kostenlosen Test durch den wao.io Analyzer erfahren Sie auf einen Blick:

  • Welche Sicherheitsmaßnahmen werden auf Ihrer Webseite umgesetzt
  • Welche Maßnahmen zur Website Security können noch unternommen werden

wao.io Analyzer Website Security Check

˜

Über diesen Artikel zur Website Security

Autoren

Roland GuelleRoland Guelle ist als CTO der 1999 gegründeten Seven­val Tech­nologies GmbH ver­antwortlich für Forschung und Ent­wick­lung. Mit rund 170 Mit­arbeitern in Köln und Berlin hat sich Seven­val auf Frontend­ Lösungen spezialisiert, die eine moderne, schnelle und vor allem sichere User Experience auch auf Basis historisch gewachsener IT-System­landschaften ermöglichen. Roland entwickelt auch heute noch selbst und spricht gerne auf Entwickler-Konferenzen.

Jacek ChmielJacek Chmiel ist CTO und „Member of the Board“ von IT Kontrakt. Jacek ist Diplom-Informatiker und verfügt über viele Jahre an professioneller Erfahrung, sowohl im B2B- als auch B2C-Bereich. Er ist spezialisiert auf Forschung und Entwicklung von Technologie (darunter APIs, Cloud-Lösungen, AI und Blockchain). Jacek interessiert sich für die Geschichte des 20. Jhds. sowie für Fotografie.

Marcus KästnerMarcus Kästner ist Content Marketing Manager bei Sevenval. Der ausgebildete Informatiker und studierte Historiker (M.A.) hat viele Jahre in der Entwicklung gearbeitet, ehe er ins Marketing gewechselt ist. Dort hilft ihm sein Fachwissen bei der Erstellung von Content, der auf Technologie fokussiert ist.

Links

[1] https://de.statista.com/statistik/daten/studie/217842/umfrage/sicherheit-von-persoenlichen-daten-im-internet/
[2] https://cira.ca/resources/corporate/factbook/canadas-internet-factbook-2019
[3] https://ca.godaddy.com/blog/improve-your-conversion-rate-with-ssl/
[4] https://www.bluefountainmedia.com/blog/verisign-seal-increase-conversions
[5] https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html
[6] https://security.googleblog.com/2018/02/a-secure-web-is-here-to-stay.html
[7] http://downloads.globalsign.com/acton/attachment/2674/f-0360/1/-/-/-/-/increase-conversions-with-SSL.pdf
[8] https://www.security-insider.de/ddos-erpresser-wer-sind-sie-und-wie-gehen-sie-vor-a-736877/
[9] https://www.zdnet.com/article/a-third-of-all-chrome-extensions-request-access-to-user-data-on-any-site/
[10] https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/risiken_node.html

Zur Blog-Startseite