Willkommen zurück!
Ich begrüße Sie zum zweiten Teil meines Fachartikels zum Thema Internetsicherheit. Im ersten Teil habe ich Ihnen bereits einen groben Einblick in die Schattenseiten des World Wide Web gegeben. Sie haben erfahren, welche Bedrohung mit den Vorzügen des Internets einhergeht, wer die Übeltäter sind und wie ein Angriff auf Ihr System aussehen kann.
Wir haben ein Zwischenfazit gezogen: Die Gefahr durch kriminelle Übergriffe im Internet ist allgegenwärtig. Der Schutz Ihrer Systeme sollte höchste Priorität genießen.
Nun will ich Ihnen zeigen, wie Sie einer Übernahme Ihrer Server durch kriminelle Angreifer vorbeugen können, welchen Effekt Hilfsmittel wie Firewalls haben und was der übergeordnete Leitgedanke bei der Absicherung Ihrer Webpräsenzen sein sollte.
Welche Schutzmaßnahmen gibt es?
Die beliebtesten Antworten auf diese Frage enden oftmals auf „Virenscanner" und „Firewall". Dass dies jedoch nicht der Weisheit letzter Schluss ist, zeigt allein schon der logistische Aufwand. Denn solche Programme müssen schließlich installiert, konfiguriert und letzten Endes ebenso gepflegt und mit Updates versorgt werden, wie alle anderen verwendeten Dienste.
Zusätzlich verwendete Sicherheits-Software verbraucht Ressourcen und bekämpft die Ursache nicht.
Virenscannern wird es mittlerweile immer schwieriger gemacht, schädliche Programme überhaupt zu erkennen. Da Cracker Ihre Angriffe mitunter äußerst professionell zu verschleiern wissen, wird es für einen Virenscanner sehr kompliziert, Schadcode aus normalem Code herauszufiltern. Diese Problematik teilt der Virenscanner mit anderen Tools, wie etwa der Firewall.
Diese gibt Ihnen die Möglichkeit, ein- und ausgehende Programme manuell zu verwalten und so nicht gewünschte Fremdzugriffe zu unterbinden. Mit etwas mehr Aufwand ist es dem Cracker jedoch möglich, eine Sicherheitslücke in einem Ihrer genehmigten Dienste zu verwenden, um Schadcode einzuschleusen. Stellen Sie sich das wie eine Art Tunnel vor, der durch die Firewall hindurch führt. Hundertprozentiger Schutz besteht somit auch hier nicht. Die Firewall ist sicherlich eine willkommene Bereicherung für Ihr Sicherheitskonzept, sie sollte aber nicht als alleinige Schutzmaßnahme zum Einsatz kommen.
Darüber hinaus existieren zahlreiche Tools und Erweiterungen, die alle dem Virenscanner und der Firewall ähneln. Sehr beliebt: das Modul „mod_security" für den populären Apache-Webserver. Beispielhaft für alle Zusatz-Tools ist auch diese Erweiterung grundsätzlich keine schlechte Sache, kommt in Ihrer Funktion aber lediglich einem Pflaster gleich, das auf eine offene Wunde geklebt wird. Statt auf solche oberflächlichen Erste Hilfe-Maßnahmen zu vertrauen, sollten Sie sich der eigentlichen Heilung widmen. Verlieren Sie als Webmaster nie die essenzielle Form der Abwehr aus den Augen: Angriffe werden schließlich überhaupt erst durch Fehler im Programmcode möglich gemacht. Vor diesen kann man sich durch folgende einfache Maßnahmen schützen:
- Die zeitnahe Einspielung von Sicherheits-Updates
- Alle unnötigen Programme / Tools sollten deinstalliert werden.
Zahlreiche Erfahrungsberichte im Internet zeigen, dass es oftmals schon ausreicht, ein simples Sicherheits-Update unmittelbar nach Veröffentlichung einzuspielen. So werden lange bevor potenzielle Angreifer Ihr System überhaupt ins Visier genommen haben bestehende Sicherheitslücken geschlossen.Oberste Priorität sollte also sein, diese Lücken zu beseitigen.
Welche Auswirkungen kann ein Angriff haben?
Die Auswirkungen einen Angriffs auf Ihr System können unterschiedliche Folgen haben. Im besten Fall kommen Sie wie auch CDU-Politiker Wolfgang Schäuble, dessen Website lediglich ein Link eingepflanzt wurde, mit einem blauen Auge davon. Allerdings können die Konsequenzen eines illegalen Zugriffs auch drastischere Folgen haben.
Eines der vielen Worst Case-Szenarien ist die Auslesung von privaten Kundendaten durch den Angreifer. Ein irreparabler Schaden entsteht und nur mit viel Glück ist der Verursacher durch hinterlassene Spuren wie eine IP-Adresse auffindbar. Problematisch wird es jedoch, wenn der Täter seine Herkunft verschleiert und beispielsweise andere Server als Brücke zwischen sein und Ihr System schaltet. Ein Angriff wird so mit der IP-Adresse des verbindenden Servers getarnt.
Im Jahr 2007 wurden auf diese Weise mehrere Server der Ubuntu-Community zweckentfremdet. Fünf der insgesamt acht Server konnten wegen eines nicht getätigten Sicherheits-Updates durch einen Angreifer übernommen und dazu benutzt werden, andere Server zu attackieren. Durch die Fahrlässigkeit der zuständigen Administratoren war es zudem möglich, User-Passwörter auszuspionieren. Wie so viele andere Übergriffe hätte auch dieser durch simples Updating verhindert werden können.
Die Konsequenz
Seien sie stets auf einen Ernstfall vorbereitet – egal wie vorsorglich Sie Ihr System abgesichert haben. Sollten Sie doch mal Opfer eines Angriffs werden, ist es wichtig, dass Sie einen kühlen Kopf bewahren und angemessen auf den Vorfall reagieren. Stellen Sie umgehend fest, ob und wie schwerwiegend Ihr System kompromittiert wurde. Nehmen Sie dazu Ihr Gerät vom Netz, dokumentieren und archivieren Sie die Schäden und beseitigen Sie sie. Stellen Sie fest, wie sich der Angreifer Zugang zu Ihrem System verschaffen konnte und informieren Sie sich darüber, wie Sie sich für die Zukunft absichern können.
Es ist wichtig, dass sie verstehen, dass ein effizientes Sicherheitskonzept permanente Arbeitsvorgänge verlangt. Sicherheitslücken in allen möglichen Programmen werden täglich entdeckt – Ziel muss es sein, zeitnah darauf zu reagieren, einzugreifen, bevor es zu spät ist.
Erhöhen Sie Ihren Sicherheitspegel, indem Sie bereits im Vorfeld bestimmte Vorkehrungen treffen. Überdenken Sie zum Beispiel Ihre Rechtevergabe. Stellen Sie sich immer die Frage, ob es sinnvoll ist, einem bestimmten User oder einem bestimmtes Programm neben lesenden auch schreibende Rechte zu gewähren. Statten Sie nur die Personen und die Dienste mit administrativen Rechten aus, die sie auch benötigen. Verwenden Sie außerdem sichere, möglichst komplexe Passwörter – niemals Ihren Benutzernamen oder gar das Wort „admin".
Natürlich wird die Arbeit, die insbesondere das regelmäßige Einspielen von Sicherheits-Updates mit sich bringt, deutlich aufwändiger. Aufgrund der Verantwortung, die Sie als Webmaster gegenüber Ihrem eigenen Unternehmen und natürlich Ihren Kunden bzw. Lesern haben, sollten Sie vor diesem Mehraufwand jedoch nicht zurückschrecken. Investieren Sie lieber mehr Zeit in die Absicherung Ihres Systems, als dass Sie sich mit den Folgen eines geglückten Cracker-Angriffs auseinandersetzen. Und wenn es Ihr Gewissen beruhigt: Sobald Sie die von mir empfohlenen Vorkehrungen getroffen haben, können Sie immer noch eine Firewall und einen Virenscanner installieren.
Fazit
Einen hundertprozentigen Schutz vor Angriffen gibt es nicht und wird wahrscheinlich niemals geben. So wie zum Beispiel der Administrator immer wieder Mittel und Wege findet, Systeme sicherer zu machen, so werden auch die Angriffe immer kreativer und raffinierter. Wie definiert sich also die thematisierte Internetsicherheit? Wir haben bei der LAMP solutions GmbH für uns folgende Definition gefunden:
Ein System kann dann als „sicher" bezeichnet werden, wenn der entstehende Aufwand, das System zu übernehmen, größer ist als der Nutzen, den sich der Angreifer durch die Übernahme verspricht.
Kaschieren Sie bestehende Schwächen in Ihrer Verteidigung dabei nicht nur mit Zusatz-Tools. Machen Sie Ihr System für den Angreifer unattraktiv, indem Sie Sicherheits-Updates zeitnah – wenn möglich sogar schon am Tag der Veröffentlichung – einspielen. So schrecken Sie einen potenziellen Angreifer meistens schon nach einem portscan ab, da dieser keine erhofften Sicherheitslücken offenbart. Beseitigen Sie den Schaden, bevor er entsteht!
Ich hoffe, Ihnen mit diesem Artikel die Wichtigkeit von vorsorgenden Sicherheits-Updates näher gebracht zu haben. Ich freue mich über Fragen, Anregungen aber auch Kritik!
Heiko Schubert
Kommentare von Besucher !
