Anfang dieser Woche erreichte mich die Nachricht, dass die Website eines Grünen Ortsverbandes “gehackt” worden ist. Die gesamten bisherigen Inhalte wurden dabei durch eine einzige schwarze Seite mit islamistischen Inhalten ersetzt. Der Fehler wurde scheinbar relativ schnell behoben, doch die Aufregung bei Einigen war groß: “Kann uns das auch passieren? Ist unsere Seite sicher?”. Zwar besitze ich als Unbeteiligter zu dem genannten Fall keine Informationen – weiß also weder wie der Angriff durchgeführt worden ist, noch wo die Schwachstelle lag – möchte aber an dieser Stelle fünf grundsätzliche Dinge in Puncto “Sicherheit” loswerden.
Screenshot der gehackten Seite - weitere "Hacks" werden angekündigt
1. Verantwortung
Bevor wir zu den konkret greifbaren Maßnahmen kommen: Ist es einmal soweit und die eigene Website schmückt sich mit fremden Inhalt, steht meistens schnell fest: “Da war ein Hacker am Werk!”. Oft wird aber fälschlicherweise von einem Hackerangriff gesprochen, denn erst die eigene Fahrlässigkeit hat dem Angreifer sein Tun ermöglicht. Das kann zum Beispiel eine zu simple Kombination aus Benutzernamen und Passwort sein. Auch gerne genommen werden Standard-Passwörter, die von bestimmten Systemen angelegt werden und nicht geändert worden sind. Eine offene Einladung für manche Gestalten, aber von einem “Hackerangriff” ist so etwas weit entfernt. Sicherheit entsteht nicht einfach so, man trägt eine (seine eigene) Verantwortung dafür, dass niemand Unbefugtes leichtfertig Zugang zum System erhält.
2. Benutzername und Kennwort
Eigentlich eine Selbstverständlichkeit, die aber oft dem Altar der Bequemlichkeit geopfert wird: Die Auswahl des richtigen Kennworts. Die klassischen Dont’s, ein leeres Kennwort oder Benutzername = Kennwort, sollte man dabei tunlichst unterlassen. Eine gesunde Mindestlänge (mindestens 6, besser 8 Zeichen), sowie eine Mischung aus Buchstaben, Ziffern und Groß- und Kleinschreibung sollten es schon sein. Damit das Passwort trotzdem halbwegs merkbar bleibt, kann man z.B. einzelne Buchstaben durch ähnlich aussehende Ziffern ersetzten. Den Buchstaben “e” kann man so durch die “3″ ersetzen, das “s” durch die “5″, das “o” durch die “0″. Aus dem fiktiven Passwort “hasenohr” wird so z.b. “ha53n0hr”. Jetzt noch zwei Buchstaben in Großschrift und schon haben wir ein annehmbares Kennwort. Daneben sollte man die folgenden Dinge berücksichtigen:
- Regelmäßig das Kennwort wechseln:
Alle 6 – 12 Monate sollte man sein Kennwort trotzdem ändern, je öfter desto besser. Auf diese Art und Weise kann man nicht nur die Gefahr von Brutforce-Angriffen (die bei einem starken Kennwort ungefähr so lange für die richtige Kombination benötigen) minimieren, auch der längst in Vergessenheit geratene Praktikant aus dem letzten Jahr kommt nicht mehr in das System.
- Jedem sein eigenes Kennwort:
Apropos Praktikant: Wenn mehrere Personen zum System Zugang haben, dann aber bitte mit eigenen Zugängen. So kann man nämlich nicht benötigte Zugänge umgehend deaktivieren. Und natürlich gilt: Sein eigenes Passwort wird nicht weitergegeben und klebt auch nicht auf einem Post-It am Monitor.
- Standard-Benutzernamen vermeiden:
In der Regel erfolgt der Zugang zum System über eine Kombination aus Benutzernamen und Kennwort. Dabei kann die Auswahl des richtigen Benutzernamens schon fast wie ein eigenes Kennwort wirken. Auf “admin”, “administrator” oder “root” sollte man deshalb besser verzichten.
- Aus dem System ausloggen:
Nach getaner Arbeit sollte man sich unbedingt aus dem Redaktionssystem ausloggen – die “Logout”-Buttons sind ämlich nicht zum Spaß erfunden worden. Ansonsten kann es zu sogenannten MITM-Angriffen kommen, bei dem der Angreifer über offene Sessions in das System eindringt.
Diese Hinweise gelten natürlich nicht für den Benutzer im Redaktionssystem, auch z.B. für den FTP-Benutzer oder ganz besonders den eigenen Mail-Account. Denn ist dieser offen wie ein Scheunentor, kann ein Dritter über die “Passwort vergessen”-Funktionen auf nahezu sämtliche Accounts zugreifen, sofern diese nicht noch über einen extra Schutzmechanismus verfügen.
3. Regelmäßige Updates
Egal welches Redaktionssystem man nutzt, man sollte es immer aktuell halten. Oft werden mit einem Update nämlich nicht nur neue Funktionen zur Verfügung gestellt, sondern auch Sicherheitslücken geschlossen. Matt Mullenweg, der Entwickler von WordPress, schreibt in einem Blogpost:
The only thing that I can promise will keep your blog secure today and in the future is upgrading.
Bei TYPO3 erscheinen Sicherheitsupdates auch für die verschiedene Versionsstränge, so dass ein Update nicht zwangsläufig mit einem Versionssprung einhergeht und eine Aktualisierung nicht auf die lange Bank geschoben werden muss.
Um rechtzeitig über neue Updates informiert zu werden, sollte man angebotene Security-Mailinglisten o.Ä. abonnieren – so ist man zumindest nicht wesentlich später als der mögliche Angreifer informiert. Nützlicher Link dazu: Die TYPO3 Security Bulletins.
4. Der Webserver
Auch ein Webserver will gewartet und gepflegt werden. Und das nicht nur bei der Hardware. Das Betriebsystem, PHP, MySQL und Co. verlangen genauso nach permanenten Aktualisierungen wie das Redaktionssystem. Nur wenige von Euch werden einen eigenen Root-Server gemietet haben und müssen sich selbst um solche Updates kümmern. In der Regel ist es die Aufgabe des Hosters, solche Aktualisierungen einzuspielen und für Sicherheit und Stabilität zu sorgen. Leider verzichten einige Billiganbieter aus Kostengründe gerne darauf und spielen selten bis nie Updates ein. Im Zweifel hilft hier aber nur der Wechsel zu einem seriösen Anbieter mit entsprechender Leistung.
5. Der eigene PC
All die tollen Hinweise und Tipps nutzen recht wenig, wenn der Rechner mit dem man seine tägliche Arbeit verrichtet, verseucht ist und Dritte so Zugang zu sensiblen Daten erhalten. Deshalb gilt auch für das Betriebssystem des eigenes Rechners: Systemupdates sollten regelmäßig eingespielt werden. Nutzt man eine veraltete Version, für die keine Updates mehr erscheinen, sollte man ein Upgrade zu einer neuen Version des Betriebssystems in Betracht ziehen.
Ausserdem sollten zumindest Windows-Nutzer unbedingt eine Virensoftware nutzen, für die täglich neue Virendefinitionen erscheinen. Nutzt man ein Windows-Betriebssystem, kann man z.B. auf die kostenlosen Security Essentials von Microsoft zurückgreifen.
Generell gilt bei Windows-Rechnern: Wurde ein System einmal kompromittiert, ist es nicht mehr vertrauenswürdig. Sensible Daten sind dort nicht mehr sicher. Auf Versuche, den Virus oder Trojaner zu beseitigen kann man deshalb verzichten, stattdessen sollte man seine Zeit lieber in die Neuinstallation investieren.Dieses Vorgehen hat Microsoft selbst vor Jahren in einem Knowledgebase Artikel empfohlen.
Fazit
Für ein Mindestmaß an Sicherheit zu sorgen ist nicht schwer. Man muss nur den inneren Schweinehund und die eigene Bequemlichkeit ablegen. Der Name der Ehefrau taugt nicht unbedingt als Passwort für seinen Mailaccount, eBay und den WordPress-Admin. Wenn man ein paar Grundlagen beachtet und sich etwas Mühe macht, entstehen die am häufigsten genutzten Sicherheitslücken erst gar nicht.
Weitere Tipps, Hinweise und Kritik sind natürlich gerne in den Kommentaren gesehen.
Update: Christian hat zu dem Punkt “sichere Passwörter” einen eigenen Blogbeitrag geschrieben und gibt noch ein paar sehr nützliche Tipps.
