7 Tipps wie Sie die Sicherheit Ihrer Website hochhalten und vor Hackern schützen können

Sie mögen glauben, dass Ihre Website nichts für unerschrockene Hacker ist, nur weil Sie ein kleines Unternehmen führen und hauptsächlich ein lokales Publikum ansprechen. Doch dies ist leider sehr weit von der Realität entfernt.

Daten des Internet Security Threat Report von Symantec zeigen, dass bis zu 43% aller Cyberattacken kleine Unternehmen angreifen, und die meisten dieser Angriffe über das Web verübt werden.


Was also muss Ihre Firma unternehmen, um dieser wachsenden Bedrohung entgegenzutreten? Durch die Anwendung von Security Best Practices, können Sie Ihre Website langfristig von Cyberattacken schützen.

1. Arbeiten Sie mit einem sicheren Web-Host

Es gibt Hunderte von Web-Hosting Anbietern im Internet und viele bieten ähnliche Serviceleistungen. Sich durch all diese Optionen durchzuarbeiten kann überwältigend sein, besonders für denjenigen, der über keine spezifische Expertise verfügt. Während Bewertungsseiten und Foren einen Eindruck über die Zuverlässigkeit und Qualität eines Web-Hosts geben, so gibt es einige wenige Schlüsselkriterien, die jeder sichere Webhosting-Anbieter erfüllen sollte:

  • Der Hosting-Anbieter sollte einen Online-Backup Service anbieten, der Ihre verlorenen oder gestohlenen Daten ohne Einschränkungen wiederherstellen kann. Erkundigen Sie sich und finden Sie heraus, welche Daten Ihr Hosting-Anbieter sichert, sowie wo und wie lange diese gespeichert werden, bevor Sie Ihre Entscheidung treffen.
  • Verbreitete Denial-of-Service Angriffe (DDoS) sind eine gängige Hackertechnik, um Websites lahmzulegen. Angreifer generieren mit mehreren Computern und Verbindungen unzählige Anfragen, um auf Ihre Website zuzugreifen und bringen so Ihren Internet-Service zum Absturz (Denial of Service). Ein guter Serviceprovider sollte Filter installiert haben, die echte von falschen Anfragen unterscheiden können und so Ihre Website schützen.
  • Normaler Webverkehr von und zu Ihrer Website ist nicht sicher und für jeden Hacker, der lauschen möchte, offensichtlich. SSL Zertifikate entfernen diese Schwachstelle, indem Sie Inhalte der Datenpakete, die Sie zu Ihren Kunden schicken, verschlüsseln. Sensible persönliche Daten, wie Kreditkartendetails, physische Adressen und vollständige Namen, werden nur als verschlüsselter Text angezeigt.

2. Verwenden Sie Sicherheits-Plugins

Es gibt mehrere Methoden, die Hacker anwenden können, um Ihre Website zu infiltrieren und zu stören. Content –Managementsysteme, wie zum Beispiel WordPress, bieten eine Vielfalt an Sicherheits-Plugins, die diese Angriffe abwehren.
Die besten Sicherheits-Plugins bieten die folgenden Leistungen:

  • Sie scannen Ihre Dateien, Datenbanken, Posts und Kommentare nach bösartigen Dateien oder Schadcodes und alarmieren Sie, wenn Dateien verändert wurden, so dass Sie die infizierten Dateien, je nach Bedarf, reparieren oder entfernen können.
  • Sie sperren Benutzer aus, die mit brachialer Gewalt den Zugang zu Ihrer Website, mit Hilfe von automatisierten Scripts, die Tausende von Passwärtern in Ihr System eingeben, erzwingen wollen. Diese Scripts schließen Benutzer aus, wenn sie zu viele Anmeldefehler gemacht haben, und sie hindern WordPress an der Herausgabe von vitalen Login-Informationen.
  • Sie erkennen bekannte Schwachstellen in Ihrer Website und stoppen diese unverzüglich.
  • Sie limitieren die Zahl der Zugangsanfragen von spezifischen IP-Adressen, um zu verhindern, dass Ihre Website-Ressourcen, im Falle eines Angriffs, überfordern sind.

3. Verbessern Sie das allgemeine Netzwerkschutzlevel

Sie sollten Ihre Passwörter regelmäßig ändern. Erstellen Sie Passwörter, die Nummern, Buchstaben und Symbole kombinieren und einen Satz bilden, den Sie sich leicht merken können. Es gibt einen Weg, um komplex aussehende Passwörter  zu kreieren, die leicht zu merken sind, zum Beispiel: “2 H0t pi33a$” verwendet eine Kombination von Zeichen des Satzes “two hot pizzas”.

Unterschiedliche Passwörter für Ihre E-Mail und Ihr Bankkonto zu haben ist ein Muss, das Sicherheit zu einem Trainingsprogramm für Ihr Gedächtnis macht. Um Ihre verschiedenen Passwörter zu speichern und leicht abrufen zu können, ziehen Sie die Nutzung eines Passwort-Management-Tools in Erwägung. Sprechen Sie uns an. Wir können Ihnen dabei helfen, das Beste für Ihr Unternehmen auszuwählen.

Anmeldeinformationen zu Ihrer Website sollen bei Inaktivität nach einer gewissen Zeit ungültig werden. Stellen Sie sicher, dass Ihr eigenes Administratorkonto nicht “Admin” heißt, denn dies macht es Hackern extrem einfach, Ihren Anwendernamen zu erraten. Löschen Sie dieses Konto und erstellen Sie stattdessen ein neues Administratorkonto.

4. Aktualisieren Sie regelmäßig die Software

Jedes gute Contentmanagement-System veröffentlicht regelmäßig Patches und Updates, um Sicherheitslücken in ihrer Software zu schließen. Stellen Sie sicher, dass Sie diese Updates regelmäßig installieren, damit Ihre Website immer über die aktuelle Version verfügt.

Websites werden von Hackern ständig nach Schwachstellen gescannt, um diese zu auszunutzen, das bedeutet, dass eine Verzögerung bei Updates die Chance, Ziel eines Angriffs zu werden, exponentiell erhöht. Besonders gefährdet sind kleine Unternehmen,  in denen Finanzinformationen derart zentral gespeichert sind, dass ein potenzieller Angriff, den gesamten Betrieb zu erliegen bringt. Die meistverwendete Methode von Hackern ist das sogenannte Phishing, das sich in der Regel an Personen wendet, die verantwortlich für Finanz- und Geschäftstransaktionen sind.

5. Nutzen Sie Zwei-Faktor-Authentifizierung

Auch bekannt als mehrstufige Überprüfung, fügt dieser Mechanismus dem Anmeldevorgang Ihrer Website eine zusätzliche Schutzebene hinzu und erzeugt einen strengeren Standard zur Identitätsprüfung. Der zweite Faktor zu Autorisierung kommt üblicherweise nach der Eingabe des Benutzernamens und Passworts ins Spiel. Die nächste Eingabeaufforderung kommt von Anwendungen wie Google Authenticator, die Sie auffordert, ein zweites Passwort auf Ihrem Handy einzugeben (durch Sendung einer Textnachricht oder Nutzung der Authenticator APP).

Der zweite Schritt muss nicht unbedingt ein Passwort sein, Es kann ein Pincode, der minütlich aktualisiert wird, sein oder sogar eine geheime Frage, um Ihre Identität zu bestätigen. Die Zwei-Faktoren Authentifizierung ist in der Regel mit physischen Geräten verbunden, kann aber auch auf biologische Informationen, wie Fingerabdrücke oder Spracherkennung basieren. In einigen Fällen werden Zeitpunkt und Standort des Logins zur Bestätigung genutzt.

Dieser Schritt macht es Hackern viel schwerer in Ihre Website einzudringen und reduziert das das Betrugs- und Datendiebstahlsrisikos.

6. Sicherheit von Mobilgeräten

Angestellte nutzen manchmal Geräte, die von der Firma zur Verfügung gestellt werden, aber es ist nicht unüblich, dass sie ihre eigenen Smartphones für die Arbeit nutzen. Diese Art der Überschneidung öffnet Hackern mehrere Möglichkeiten, die Integrität Ihrer Netzwerksicherheit zu beeinträchtigen.

Die Sicherung Ihres eigenen Smartphones ist unverzichtbar, auch wenn Sie es nicht für Geschäftszwecke nutzen. Hacker können eine Schwachstelle in einem persönlichen Gerät als Einstieg nutzen, um an sensible Firmendaten heranzukommen. Halten Sie Ihr Gerät immer auf dem neuesten Stand und installieren Sie nur Anwendungen von vertrauenswürdigen Anbietern. Senden Sie niemals personenbezogene Informationen (PII) in einer Textnachricht, E-Mail oder ähnlichem. Es empfiehlt sich, Datenbackups durchzuführen, und ein starkes Passwort, um das Gerät zu sperren, ist essenziell.

Seien Sie sich darüber im Klaren, dass die Möglichkeit der Kompromittierung Ihrer Daten durch Hacken, Phishing oder Malware so groß sind, wie die Fehler, die Sie versehentlicher Weise verursacht haben – Kriminelle lieben es, sich ungewollte menschliche Fehler Zunutze zu machen. Menschliches Versagen war schon immer ein wichtiger Faktor für die Cybersicherheit und muss mit der Bedeutung bedacht werden, die es wirklich verdient.

7. Ransomware

Dies ist eine Art von Malware, die sich auf Daten bezieht und mit Kidnapping bei Menschen vergleichbar ist. Ein Beispiel ist das Stehlen und Blockieren von Daten durch Verschlüsselung. Der Kidnapper hofft, dass Sie Ihre Daten unbedingt zurückhaben möchten und bereit sind, dafür zu zahlen.

Es gibt zwei grundlegende Möglichkeiten, wie dies funktioniert – Eine vertraut dem vorab bereits beschriebenen menschlichen Versagen, kombiniert mit einem Schuss Social Engineering, während sich die Andere einzig und allein auf Software-Schwachstellen konzentriert. Das beste Ergebnis bekommt man durch die Kombination beider Methoden: Erpressersoftware wird von Manipulatoren genutzt, die nicht nur technisch versiert sind, sondern auch Kenntnisse der menschlichen Psychologie haben. Sie müssen sich dessen bewusst und immer an beiden Fronten wachsam sein.

Benötigen Sie weitere Hilfe bei der Sicherheit Ihrer Website?

CodeCoda hat eine Reihe von maßgeschneiderten Lösungen für Sicherheitsbedenken jeglicher Art von Organisationen entwickelt. Wenden Sie sich noch heute an uns, um eine Website-Sicherheitsüberprüfung und spezifische Empfehlungen zum Schutz Ihrer Website zu erhalten.

Autor

Andreas Maier, CEO

Andreas ist ein ergebnisorientierter CEO, der knapp 30 Jahre an Erfahrung in der Hightech-Branche mit sich bringt. Seine Führungsrollen in Fortune-100 Unternehmen wie bei rentalcars.com (PCLN) und Intrasoft International, einem führenden R&D 21 Softwareanbieter mit Sitz in der EU, verleihen ihm wertvolle Kompetenzen.
Er hält einen Doktortitel der Universität Köln im Fachbereich Neuronale Netze.
Andreas gründete und mitbegründete in seiner Karrierelaufbahn zahlreiche erfolgreiche Startups wie XXL Cloud, ein Cloud-Speicherdienst, der letztendlich von einem Wettbewerber übernommen wurde.