Die digitale Welt boomt – und mit ihr die Cyberkriminalität. Denn das Internet bietet Kriminellen eine Vielzahl an Optionen, um sich auf Kosten von Fremden zu bereichern oder ihnen zu schaden. Dabei werden die Methoden immer perfider und der Zugang zu entsprechender Technologie einfacher, sodass die Zahl der Vorfälle tendenziell eher wächst als sinkt. Grund genug, sich kritisch mit der eigenen Website-Sicherheit zu befassen.
Die folgenden Tipps und Ansatzpunkte haben wir aus unserer über 25-jährigen Praxis als Digitalagentur abgeleitet. Wir nehmen das Thema Cybersicherheit bei Webseiten und Onlineshops sehr ernst und möchten Sie an unserem breiten Erfahrungsschatz teilhaben lassen. Gemeinsam verhelfen wir so auch Ihnen zu einer sicheren Webseite!
Darum ist die Sicherheit einer Website so wichtig
Wir leben in einer digital vernetzten Welt, die für Kriminelle ein breites Spektrum an Möglichkeiten bietet. Ein besonders häufiges Ziel dabei sind Websites: 2024 entfielen laut statista 15,75 % der Phishing-Angriffe auf Web Services, was den Topwert darstellt. Dabei wird der Faktor Mensch als Einfalltor genutzt, um Angriffe auf entsprechende Onlinedienste durchzuführen.
2023 wurden allein in Deutschland 134.407 Straftaten im Bereich der Cyberkriminalität registriert. Da die Dunkelziffer in diesem Bereich besonders groß ist, geht man davon aus, dass die Zahl nur einen Bruchteil der tatsächlichen Fälle abbildet. In Deutschland beliefen sich die Schäden durch Computerkriminalität 2024 auf geschätzte 266 Mrd. Euro.
Diese Zahlen beweisen: Cyberkriminalität wächst stetig und Unternehmen müssen sich entsprechend vorbereiten. Das gilt gerade für die eigenen Web Services, also Webseiten, Onlineshops oder Apps.
Denn solche Services bieten viele Angriffspunkte, vom Login über Datentransfers bis hin zum Menschen selbst. Um teils immense Schäden für Ihr Unternehmen und Ihre Kundschaft zu vermeiden, müssen Sie sich in der heutigen Zeit zwangsweise mit Website-Sicherheit beschäftigen. Ansonsten präsentieren Sie sich also leichtes Ziel.
10 Tipps für sichere Webseiten
Die folgenden Tipps sind aus unserer Praxis als Digitalagentur abgeleitet. Mit ihnen wird eine Basis-Sicherheit erreicht, Ihre Webseite ist so also grundlegend gegen Angriffe gesichert.
Doch auch, wenn Sie alle Tipps befolgen, gibt es keinen garantierten Schutz vor Hackerangriffen. Daher übernehmen wir keine Verantwortung für jedwede Angriffe. Wenn Sie maximale Sicherheit benötigen, wenden Sie sich an spezialisierte Anbieter. Für die meisten Unternehmenswebsites sollten unsere Tipps aber ausreichen.
01. SSL/TLS-Verschlüsselung (HTTPS) nutzen
Ein SSL-Zertifikat (Secure Sockets Layer) gehört mittlerweile zum Standard für alle Webseiten. Die meisten Hostingpakete werden gar nicht mehr ohne dieses Zertifikat angeboten. Dennoch gibt es teilweise veraltete Webseiten, die ohne ein solches Zertifikat laufen.
Das Zertifikat wird zumeist automatisch auf dem Webserver hinterlegt. Dadurch werden das https-Protokoll und das Sicherheitsschloss aktiviert. In diesem digitalen Zertifikat sind verschiedene Daten enthalten, die vom Browser mit der Zertifizierungsstelle abgeglichen werden. Nur, wenn die Überprüfung erfolgreich war, wird eine Verbindung hergestellt.
Webseiten ohne ein solches Zertifikat werden von den meisten Browsern als unsicher markiert, Nutzerinnen und Nutzer erhalten einen Sperrbildschirm und die Verbindung wird nicht hergestellt. In Google Chrome erscheint u. a. eine solche Fehlermeldung:
02. Starke Passwörter und Zwei-Faktor-Authentifizierung (2FA) einsetzen
Der Login in Ihre Webseite ist ein häufiger Angriffspunkt. Viele Webseiten werden regelmäßig durch Login-Angriffe geflutet, manchmal erfolgen sie im Minuten- oder sogar Sekundentakt.
Was dagegen hilft? Starke Passwörter und eine Zwei-Faktor-Authentifizierung. Ein starkes Passwort zeichnet sich dadurch aus, dass es komplett willkürlich aus Zahlen, Buchstaben und Sonderzeichen zusammengestellt ist. Es sollte eine gewisse Länge (ca. 20 Zeichen) haben und nie für mehrere Services verwendet werden. Dazu sollten Sie es in regelmäßigen Intervallen ändern, um maximale Website-Sicherheit zu garantieren.
Durch eine zusätzlich eingerichtete Zwei-Faktor-Authentifizierung sorgen Sie dafür, dass der Login wirklich abgesichert ist und niemand unbefugt Zugriff auf Ihre Webseite erhält. Diese Authentifizierung bedeutet, dass neben Passwort und Benutzernamen ein weiterer Faktor nötig wird, z. B. ein Code, der per Mail, Anruf oder über ein separates System übermittelt wird.
03. Regelmäßige Updates durchführen
Moderne Content-Management-Systeme wie Contao, TYPO3 und WordPress kommen bereits im Standard mit breitangelegten Sicherheitsmaßnahmen. Doch die Cyberkriminalität entwickelt sich stetig weiter, Hacker finden neue Wege und Schlupflöcher.
Diese werden durch regelmäßige Updates geschlossen. Entsprechende Updates werden von den Entwicklerinnen und Entwicklern der Systeme teils kostenlos und teils kostenpflichtig angeboten.
Es ist unerlässlich für die Website-Sicherheit, dass Sie diese Updates wahrnehmen. Denn wenn Sie ein System mit einer veralteten Version nutzen, für die es keine Updates und auch keinen Support mehr gibt, riskieren Sie Sicherheitslücken. Halten Sie Ihr System also stets aktuell.
04. Zusätzliche Sicherheits-Plugins einsetzen
Für nahezu jedes Content-Management-System gibt es zusätzliche Sicherheits-Plugins und Firewalls. Aufgrund der Vielfalt würde es den Rahmen dieses Beitrags sprengen, tiefer in die Materie einzusteigen. Deshalb belassen wir es an dieser Stelle mit der klaren Empfehlung, sich mit entsprechenden Erweiterungen zu beschäftigen. Prüfen Sie, welches vom Preis-Leistungs-Verhältnis gut zu Ihrer Webseite passt.
05. Backup-Strategie implementieren
Auch wenn Sie sich wirklich ausgiebig mit Maßnahmen beschäftigen und so die Website-Sicherheit maximieren, können Sie doch niemals zu 100 % sicher sein. Daher ist es wichtig, dass Sie sich auf den Fall des Falles vorbereiten.
Damit Sie vor möglichem Datenverlust durch einen Hackerangriff geschützt sind, braucht es einen festen Backup-Plan für Ihre Webseite. So können Sie im Zweifelsfall Ihre Inhalte wiederherstellen und die Seite ohne längeren Ausfall direkt wieder online stellen.
06. Benutzerrechte und Zugang regulieren
Manchmal ist weniger mehr: Im Backend Ihrer Webseite können Sie Benutzerrechte für alle Personen mit Zugriff auf die Website regulieren. Dabei geht es nicht um fehlendes Vertrauen den Mitarbeitenden gegenüber, sondern darum, ob die jeweiligen Rechte wirklich notwendig sind.
Denn je weniger Rechte unter den Nutzerinnen und Nutzern verteilt sind, umso geringer ist die Angriffsfläche. Ein Hacker, der z. B. lediglich über einen Redakteurszugang auf Ihre Website gelangt, hat beschränktere Möglichkeiten als mit einem Adminzugang. Hinterfragen Sie also immer, welche Berechtigungen die jeweilige Person wirklich braucht, um ihre Arbeit machen zu können.
Darüber hinaus sollten Sie auch die menschliche Fehlerkomponente nicht unterschätzen. Wir alle machen mal Fehler und Spamlinks sind bei weitem nicht mehr so einfach zu enttarnen wie man gemeinhin denkt. Und je mehr Menschen beteiligt sind, desto höher ist die Wahrscheinlichkeit. Sprich: Je weniger Menschen einen Zugang zum Backend haben, desto besser. Prüfen sie also genau, wer diesen Zugang wirklich braucht.
07. Datei-Uploads sichern
Wann immer Dateien von extern auf Ihren Webserver hochgeladen werden, besteht ein potenzielles Sicherheitsrisiko. Denn auch, wenn Mitarbeitende nach bestem Wissen und Gewissen handeln, könnte diese Datei womöglich trotzdem schadhaft sein.
Auch, wenn Sie es z. B. Website-Nutzerinnen und -Nutzern ermöglichen, über einen Uploadbereich Dateien an Sie zu übersenden, besteht ein gewisses Risiko.
Es ist also notwendig, dass der Dateiupload möglichst sicher gestaltet wird. Idealerweise wird dazu eine AV-Scan-Engine eingesetzt, die hochgeladene Dateien automatisch prüft. Da eine solche Lösung aber nur von einem Provider selbst bereitgestellt werden kann, haben Sie darauf nur bedingten Einfluss.
Eine Möglichkeit, die Sie selbst in der Hand haben, ist die Einschränkung der verfügbaren Datei-Typen. Insbesondere bei Uploads, die für Website-Nutzerinnen und -Nutzer bereitgestellt werden, sollten Sie diese Option nutzen.
Wenn Sie z. B. ein Bewerbungsformular anbieten, sollten nur PDF-Dateien oder Word-Docs als Anhang verfügbar sein. Für die Einreichung von Fotos für Support-Anfragen o. Ä. könnten Sie den Upload auf Bilddateien (jpg, png, heif) eingrenzen.
Dadurch schränken Sie die Möglichkeiten ein, mit denen Hacker schädliche Dateien über solche Angriffspunkte einbringen können. Auch im Backend selbst können Sie die Uploadoptionen begrenzen. Solche Einschränkungen können auch mit den jeweiligen Nutzerrechten Hand in Hand gehen. So können Sie festlegen, dass RedakteurInnen nur Bild- und PDF-Dateien hochladen können, während Administratoren freie Wahl haben.
08. Fehlermeldungen und Logins überwachen
In jedem System werden Fehlermeldungen und fehlerhafte Logins protokolliert. Es ist wichtig, dass Sie diese Protokolle regelmäßig überwachen. Wenn z. B. eine bestimmte IP immer wieder am Login scheitert, sollten Sie diese zur Wahrung Ihrer Website-Sicherheit einfach blockieren.
Darüber hinaus gibt es auch andere Fehlermeldungen, die auf einen möglichen Angriff hindeuten können. Was wir sagen wollen: Die meisten Systeme geben Ihnen Bescheid, wenn etwas im Argen liegt. Sie müssen nur zuhören und entsprechende Maßnahmen ergreifen.
09. Sichere Kontaktformulare nutzen
Ein Kontaktformular ist grundsätzlich ein Risiko für die Website-Sicherheit. Denn nicht nur werden die versendeten Daten auf Ihrem Webserver gespeichert, wo sie bei einem Angriff potenziell Schaden anrichten können, sie landen auch in Ihrem Postfach und können dort bei falschem Umgang schnell zu einem Problem werden.
Das heißt natürlich nicht, dass Sie keine Kontaktformulare nutzen sollten. Denn für die Performance Ihrer Website, z. B. in Sachen Conversion-Optimierung, sind sie zumeist unerlässlich.
Für eine sichere Webseite müssen Sie die Formulare einfach richtig konfigurieren. Ein Klassiker ist dabei die Captcha, also ein Feld, in dem man Buchstaben und Zahlen von einem Foto eintragen, sich selbst als kein Roboter bestätigen oder aus neun Bildern die mit z. B. Autos drauf anklicken muss.
Das verhindert den Missbrauch durch Bots bereits massiv. Eine weitere Möglichkeit ist ein sogenannter Honeypot, eine Art Köder. Das ist ein Feld im Kontaktformular, das für Nutzerinnen und Nutzer im Frontend nicht sichtbar ist, sondern nur aus dem Code herausgelesen werden kann. Ihre Kundschaft hat also keine Möglichkeit, es auszufüllen. Alle Anfragen, in denen das Feld angeklickt wurde, kommen also zwangsweise von einer Maschine – und sind somit Spam.
10. Interne Schulungen durchführen
Das größte Risiko für Cyberangriffe sind auch heute noch die Mitarbeitenden. So auch bei der Website-Sicherheit. Denn Menschen machen potenziell Fehler, Menschen sind womöglich etwas nachlässig in solchen Themen.
Das bedeutet natürlich nicht, dass Sie Ihre Mitarbeitenden als Risikofaktoren betrachten sollten. Aber es ist umso wichtiger, dass Sie ihnen die Dringlichkeit einer guten Sicherheitspraxis nahebringen.
Daher ist es sinnvoll – nicht nur für die Website-Sicherheit, sondern auch für die Ihres Unternehmens an sich – regelmäßige Schulungen durchzuführen, in denen über mögliche Angriffspunkte von Cyberkriminellen gesprochen wird. Nehmen Sie das Thema ernst und bringen Sie es Ihrer Belegschaft bei. Nur so können Sie wirklich sicher sein!
Machen Sie Ihre Webseite jetzt sicherer!
Sie haben beim Durchlesen bereits gemerkt, dass Sie viele der Punkte nicht berücksichtigen? Dann wird es jetzt Zeit, dass Sie sich der Website-Sicherheit widmen. Denn die genannten Punkte sind vor allem eins – Basisarbeit, die jede Webseite haben sollte.
Wenn Sie alle Punkte bereits erfüllt haben, heißt das im Umkehrschluss nicht, dass Sie sich zurücklehnen können. Denn die Cyberkriminalität entwickelt sich stets weiter und auch Sie müssen in Sachen Website-Sicherheit immer am Ball bleiben. Wir wünschen Ihnen viel Erfolg!
Sichere Webseiten von forty-four aus Koblenz
Seit über 25 Jahren begleiten wir KMU als Agentur in der digitalen Welt. Kern unserer Arbeit ist dabei die Erstellung von Websites und Onlineshops. Ein wichtiges Thema dabei: die Website-Sicherheit. Wir achten stets darauf, alle Projekte nach bestem Wissen und Gewissen sowie den aktuellsten Erkenntnissen zur Cybersicherheit umzusetzen. Gerne beraten wir auch Sie zu Ihrer sicheren Webseite!
