Security-Checkliste für Webseitenbetreiber

Veröffentlicht am:
von Ralph Dombach     1 Kommentare Security

 

Der Weg zu einer guten Webseite ist mühsam! Denn interessante Inhalte, ständig neue Informationen, eine ansprechende grafische Gestaltung und eine gewisse Individualität kommen nicht von allein, sondern müssen Schritt für Schritt erarbeitet werden.
Doch vor lauter SEO, Affiliate-Marketing und HTML-Optimierung bleibt oft die IT Sicherheit auf der Strecke.

 

IT Security ist aber ein wichtiger Bestandteil eines Webauftritts. Wie wichtig dieser sein kann, zeigt sich spätestens dann, wenn es um Haftung und Schadenersatz geht. Die nachfolgende Checkliste dient als Einstieg, um „grobe“ Schnitzer zu vermeiden. Alle Punkte werden sich nicht umsetzen lassen, es sollte aber versucht werden, so viele Optionen als möglich einzuführen.

Part A – Der eigene PC

IT

  1. Sorgen Sie dafür, dass auf Ihrem PC alle relevanten Security-Patche für Ihr Betriebssystem und die von Ihnen genutzten Anwendungsprogramme installiert sind. Um fehlende Patches zu identifizieren verwenden sie z.B. den <link http: secunia.com vulnerability_scanning online external-link-new-window>Secunia Online Software Inspector oder ein vergleichbares Tool.

  2. Schützen Sie Ihren PC vor Schadsoftware, indem Sie ein professionelles Antivirenprodukt einsetzen. Kaufen Sie nicht nur einen Virenscanner, sondern die „Internet-Suite“ (bzw. das entsprechende Produkt des Herstellers), um ihren PC bestmöglich zu schützen. 

  3. Verwenden sie auf Ihrem PC sichere Passwörter (schwer zu erraten) und nutzen Sie für jeden Zugang ein anderes. Verwenden Sie kein Passwort doppelt! 

  4. Installieren Sie, sofern Sie es noch nicht getan haben, die gängigen Browser auf Ihrem PC (IE, FF, Safari, Opera und Chrome). Erweitern Sie den Funktionsumfang jedes Browsers, indem Sie ein Reputations-Plug-In installieren. Nutzen Sie auf jedem Browser ein <link http: www.searchsecurity.de themenbereiche applikationssicherheit web-application-security articles external-link-new-window>anderes Produkt um eine breite Reputationsbasis abzudecken.
    Diese Plug-Ins ermöglichen es Ihnen, die Reputation Ihrer eigenen Webseite im Auge zu behalten.

  5. Führen Sie alle Aktivitäten, die mit Ihre Webseite zusammenhängen, in einer abgeschotteten Umgebung aus. Sie minimieren damit das Risiko, dass Aktivitäten auf Ihrem PC ihre Web-Tätigkeit negativ beeinflussen. Idealerweise nutzen Sie dazu eine Gratis-VM-Umgebung (Virtuelle Maschine). Diese werden z.B. von <link http: www.microsoft.com germany windows virtual-pc default.aspx external-link-new-window>Microsoft und <link http: www.vmware.com de products desktop_virtualization player overview external-link-new-window>VMWare angeboten.

  6. Wenn Sie Ihren Webauftritt mit einem Content-Management-System erstellt haben, stellen Sie sicher, dass auch dort die neuesten Versionen und Sicherheits-Updates installiert sind. Informationen dazu finden Sie unter:
    <link http: drupal.org security external-link-new-window>Drupal
    <link http: www.joomla-security.de external-link-new-window>Joomla
    <link http: www.workshop.ch openmind typo3-security-checklist-aktualisiert external-link-new-window>TYPO3
    <link http: dailytechpost.com index.php external-link-new-window>Wordpress

  7. Führen sie eine regelmäßige Offline- Sicherung Ihre Web-Dateien am heimischen PC durch. Arbeiten Sie nach dem Großvater-Vater-Sohn-Prinzip und halten Sie mindesten drei Sicherungsbestände aktiv. 


Part B - Die eigene Webseite und das Recht

Das Internet ist kein rechtsfreier Raum und Gesetze und Vorschriften gelten auch im WWW. Viele Gesetze sind im Normalfall dem Webseitenbetreiber unbekannt. Es gilt aber „Unwissenheit schützt nicht vor Strafe“, daher sollte man zumindest den bekannten Empfehlungen folgen und im Umfeld Recht & Datenschutz keine Experimente eingehen.

  1. Überprüfen Sie Ihre auf der Webseite genutzten Bilder! Verwenden Sie nur selbst erstellte oder solche, für die Sie das Nutzungsrecht haben. Sollten sich im Laufe der Zeit andere Bilder eingeschlichen haben, ersetzen Sie diese Umgehend durch eigenes Material.

  2. Wenn Sie Bilder von Fotoagenturen verwenden, prüfen Sie ob alle gemäß den Agentur-Vertragsregeln beschriftet bzw. betitelt sind.

  3. Wenn Sie externe Medien in Ihre Webseite einbinden, entfernen Sie dort eingebettete Bilder. Sie haben i.d.R. nicht das Nutzungsrecht für diese Bilder! Klären Sie vorab den Sachverhalt mit dem Herausgeber des externen Mediums.

  4. Prüfen Sie Ihr Impressum. Wenn diese älter ist als 2 Jahre, sollten Sie dieses durch eine aktuelle Version ersetzen, da diese ggf. erfolgte Gesetzesänderungen nicht berücksichtigen. <link http: www.e-recht24.de impressum-generator.html external-link-new-window>Impressums-Musterseitenfinden Sie i.d.R. im Web. 

  5. Verzichten Sie darauf, Ihr Impressum zum Schutz vor SPAM-Attacken, als Image abzulegen. Dies kann Personengruppen von der Kenntnisnahme des Impressums ausschließen und entspricht daher nicht der <link http: www.linksandlaw.info impressumspflicht-notwendige-angaben.html external-link-new-window>Gesetzgebung.

  6. Fügen Sie an zentraler Stelle oder einem speziellen Download-Bereich den Hinweis ein, dass alle Dateien dieser Webseite zum Zeitpunkt der Bereitstellung durch einen aktuellen Virenscanner überprüft wurden. 
    Handeln Sie auch danach und stellen Sie keine Datei (gleich welchen Dateityps), ungeprüft online!

  7. Als Webseitenbetreiber haftet man auch für Kommentare, die im Forum veröffentlicht werden. Im Idealfall sollten Sie daher keine Kommentare ungeprüft veröffentlichen.
    In der Praxis wird sich das schwer umsetzen lassen, da sonst die Dynamik eines Forums „in den Keller geht“. Um hier Haftungsrisiken zu minimieren, sind folgende Optionen empfehlenswert:

    1. Nutzen Sie einen Filter, um Beiträge, die kritische Begriffe enthalten zu säubern oder in eine „temporäre Quarantäne“ zu verschieben

    2. Prüfen Sie Forums-Beiträge so zeitnah als möglich

    3. Stellen Sie Link-Empfehlungen als nicht direkt anklickbar dar. Dies ist u.U. wichtig, wenn es darum geht, wie leicht Verlinkungen zugänglich sind.

    4. Erlauben Sie schreibenden Zugriff auf ein Forum nur für Personen, die sie verifiziert haben. Erlauben Sie keine Freemailer-Adressen zur Verifizierung.

    5. Sofern Sie es erlauben, dass über das Forum File-Uploads getätigt werden, scannen Sie jedes File auf Schadsoftware bevor sie einen Download durch andere User gestatten. Erste wenn der Scan-Vorgang ohne Befund ist, geben Sie die Datei frei! Sinnvollerweise sollten Sie eine Upload-Größenbeschränkung einführen, damit nicht über Ihr Forum eine „Tauschbörse“ etabliert wird.

    6. Wenn Sie kein Programmier-Forum betreiben, entfernen sie ggf. vorhanden Sprach-Code (JavaScript, PHP, etc.) aus den Beiträgen. 

  8. Sofern Sie Statistik-Software nutzen wie z.B. Google-Analytics oder PIWIK, weisen Sie darauf in den Datenschutzbestimmungen Ihre Webseite darauf hin.
    Verwenden Sie die Analysesoftware nach den Vorgaben des Datenschutzes (<link http: de.piwik.org blog unabhangiges-landeszentrum-datenschutz-uld-piwik-datenschutzkonform-einsetzbar external-link-new-window>PIWIK<link http: www.datenschutzbeauftragter-info.de fachbeitraege google-analytics-datenschutzkonform-einsetzen external-link-new-window>Google Analytics)

  9. Ein Organisationsverschulden liegt, stark vereinfacht ausgedrückt, dann vor, wenn man als Webseitenbetreiber an den organisatorischen Rahmenbedingungen „geschlampt“ hat. Es gilt, wer eine Arbeit einem Dritten überträgt, der muss für Anleitung und Kontrolle sorgen.
    Wer dies nicht tut haftet – daher gilt, wenn mehrere Personen an einer Webseite beteiligt sind, sollte z.B. klar abgegrenzt werden, wer wofür zuständig ist und wie er die Aufgabe (nachweisbar) zu erledigen hat.


Die eigene Webseite

Der eigentliche Webauftritt beinhaltet überschaubare Risiken, da die Risiken oft im Umfeld minimiert werden können. Trotzdem gibt es auch hier einige Schutzmechanismen, welche die Sicherheit der Webseite verbessern können.

  1. Verwenden Sie für die externe Verlinkung sichere Kurz-Links, wie z.B. von <link http: mcaf.ee external-link-new-window>McAfee. Diese werden auf Malware überprüft und erhöhen so die Sicherheit bei der Verlinkung, nicht auf Schadsoftware zu verweisen. 

  2. Führen Sie eine Önderungs-Protokolldatei ein, in der Sie mit einem Zeitstempel Önderungen (Wer, Was, Wieso, Wo) in ihrem Webauftritt dokumentieren. Dies betrifft auch Önderungen die Sie an der .htaccess-Datei vornehmen und Zugriffsrechte die Sie ggf. auf File- oder Verzeichnis-Ebene modifizieren.

  3. Überprüfen Sie die Accounts, die Zugriff auf Ihren Webauftritt haben. Löschen Sie Accounts, die nicht länger benutzt werden bzw. nicht mehr berechtigt sind. 

  4. Übertragen Sie die Log-Files Ihres Servers auf den heimischen PCs. Führen Sie, sofern erforderlich, eine Anonymisierung durch und entfernen Sie, analog zu den Bestimmungen für Google-Analytics und PIWIK, die letzten 3 Ziffern der IP-Adresse.

  5. Erstellen Sie (innerhalb Ihres Webauftritts) eine Webseite, bei der Sie verschiedene Tools einbinden, die Ihren Webauftritt bewerten. Verwenden Sie dazu Tools, wie <link http: www.seitenreport.de external-link-new-window>Seitenreport. Eine Liste von adäquaten Tools um eine Webseite zu bewerten finden Sie unter: <link http: www.secuteach.de __htmlfiles security-scan-tools.htm>www.secuteach.de/__htmlfiles/security-scan-tools.htm und <link http: www.searchsecurity.de themenbereiche applikationssicherheit web-application-security articles>www.searchsecurity.de/themenbereiche/applikationssicherheit/web-application-security/articles/320370/

  6. Nutzen Sie das Gratis-Angebot von <link http: www.qualys.com forms trials stopmalware external-link-new-window>Qualys, um Ihre Webseite automatisch auf Schadsoftware prüfen zu lassen

  7. Wenn Ihre Web-Software es ermöglicht, ändern Sie Ihre Datentransfermodus auf UPLOAD. Dabei werden immer die Dateien von Ihrem PC auf das Web-System übertragen! Sollten Sie den Datentransfer im Modus „Synchronisieren“ betreiben besteht die Gefahr, dass infizierte Files von Ihrem Web-Auftritt auf Ihren PC gelangen und so ihre virenfreie Datenbasis schädigen.
    Bei UPLOAD hingegen besteht diese Gefahr nicht. Zusätzlich überschreiben Sie dabei immer ggf. modifizierte Dateien auf Ihrem Web-Server mit sicheren Dateien von ihrem PC aus. 
    Sollten Sie darauf angewiesen sein, auch einzelne Dateien/Verzeichnisse von Ihrem Server auf Ihren PC zu übertragen, führen sie einen eigenen Datentransferlauf durch. Dies sollte im Modus DOWNLOAD erfolgen (Server -> PC).

  8. Führen Sie einen wöchentlichen On-Demand-Scan mit Ihrem Virenscanner durch. Dabei wird z.B. über ein Terminplanungsmodul jeden Freitag um 18:20h eine Überprüfung Ihres Web-Ordners durchgeführt. Archivieren Sie die Resultate (Report) dauerhaft auf Ihrem PC.

  9. Sofern Ihre Internet-Box dazu in der Lage ist, lassen Sie einen wöchentlichen Report erstellen, der Ihre Arbeits-/Logon-Zeiten dokumentiert und archivieren Sie diese Reports dauerhaft. Sie können damit nachweisen, zu welchen Zeiten Sie Online waren.

  10. Tun Sie Ihren Usern etwas Gutes und informieren Sie über IT Sicherheit auf Ihre Webseite – z.B. mit <link http: www.secuteach.de secutipp secutipp.htm external-link-new-window>SecuTipp ... das war jetzt Eigenwerbung ;-)

Hinweis
Diese unverbindliche Checkliste basiert auf persönliche Empfehlungen des Autors und stellt keine Rechtsberatung dar. Die Checkliste ist als Best Practice 
anzusehen und soll dabei helfen, grobe Fehler im eigenen Web-Auftritt zu vermeiden. Der Autor haftete nicht für jegliche Schäden, Folgeschäden, Verluste oder Benachteiligungen, die dem User durch die Umsetzung der unverbindlichen Empfehlungen entstehen

(Illustration: istockphoto® / thesuperph)

Über den Autor

R. Dombach

Einstieg 1980 in das Berufsleben bei einem Elektro-/Elektronikkonzern. nach einigen Jahren als Operator erfolgte ein Wechsel in die wachsende Sparte der Computersicherheit.Seit 1987 mit Security befasst, Schwerpunkt Computerviren (JA - ich erlebte noch DOS-und Bootsektorviren). Entwurf und Programmierung von Schutzprogrammen (z.B. HASI) für DOS/Windows-Computer. Seit 1997 mehrheitlich in der Sicherheitsadministration tätig und beschäftigt mit dem Versuch, die breite Masse der Computeranwender für das Thema Sicherheit zu interessieren.Seit 2001 ein neuer Arbeitgeber, aber nach wie vor aktiv mit/für IT Security! Link

Kommentare (1)

Matthias (masa8) schrieb am

Die Checkliste ist schon recht Umfangreich, und zeigt, worauf es ankommt.

Aber - Die USer, die sich auskennen, brauchen nur einen Bruchteil davon, denn sie wissen was sie tun. Der andere Teil der "frisch fromm freien Surfer" kümmert sich nicht darum, bzw. weiss mit den ganzen Begriffen nichts anzufangen.

Das erinert ein wenig an AIDS. Heute weiß fast jeder, dass man sich mit Kondomen schützen kann, trotzdem gibt es immernoch Neuerkrankungen in einem beträchtlichen Maß.

« zurück zur Artikelübersicht