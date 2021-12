Ratgeber Webseite gehackt? IT-Experten sagen, was Sie tun können – und wie Sie es verhindern Von Hackerangriffen sind auch kleine und private Websites nicht gefeit. Wir haben Tipps, was Sie prophylaktisch tun können und wie Sie reagieren müssen, wenn es dennoch passiert ist. Martin Oswald 13.12.2021, 13.12 Uhr

Exklusiv für Abonnenten

Treffen auch kleine Websites: Aufforderungen, Geld zu überweisen. Bild: Imago Images

Im Sommer diesen Jahres traf es die Toggenburger Gemeinde Mosnang. Ein Angriff führte dazu, dass die Webseite nach einer längeren Pause komplett neu programmiert werden musste. Immer wieder kommt es zu solchen Hacker-Attacken, auch auf kleinere Organisationen und Vereine. Gegen 2000 Fälle werden pro Jahr bei der Domain-Registrierungsstelle Switch gemeldet. «Das sind meist vollautomatische Angriffe», sagt Michael Hausding, Sicherheitsexperte bei Switch. Und darum erwische es auch kleine Webseiten, aus purem Zufall.

Viren suchen sich eine Schwachstelle im System – zum Beispiel in einem Content Management System wie Wordpress – und platzieren einen Code, der User weg von der Seite auf andere Angebote führt. Plötzlich taucht dann statt der gewünschten Webseite Werbung auf: «Gratulation, Sie haben ein Handy gewonnen.» Es gehe bei solchen Angriffen letztlich immer darum, Geld zu verdienen, erklärt Hausding. «Die eigentlichen Opfer sind darum die Besucher der Webseite.»

Der Sicherheitsexperte von Switch rät Betreibern von Webseiten, solche Fälle umgehend zu melden. «Helfen können die Web-Agentur, die Hosting-Firma oder eine spezialisierte Sicherheitsfirma.» Switch geht auch proaktiv auf die Kundschaft zu, wenn festgestellt wird, dass eine Seite angegriffen wurde.

Die häufigsten Angriffe DoS: Bei einem Denial-of-Service-Angriff wird das System mit so vielen Anfragen bombardiert, dass es kollabiert. Schadsoftware: Diese unerwünschte Software, wird ohne Zustimmung auf dem System installiert. Sie kann sich unbemerkt an gewöhnliche Anwendungen anhängen oder sich selbst vermehren. Phishing: Ein Phishing-Angriff besteht darin, E-Mails aus offenbar vertrauenswürdigen Quellen mit dem Ziel zu versenden, persönliche Informationen abzugreifen oder den Empfänger zu einer bestimmten Handlung zu verleiten. Kennwortangriff: Zugriff auf das Kennwort einer Person erhalten Angreifer, indem sie die Netzwerkverbindung «abhören», um unverschlüsselte Kennwörter abzugreifen, Social-Engineering-Techniken nutzen, sich Zugriff auf eine Kennwortdatenbank verschaffen oder einfach raten.

Hackerangriffe gibt es permanent. Die Web-Security-Firma KastGroup hat in 24 Stunden 36'621 Webseiten analyisert und dabei 295'318 Sicherheitslücken entdeckt. In der Schweiz sind 2,4 Millionen Domains mit der Endung .ch registriert – also reichlich Angriffsfläche. Wie kann man sich besser vor solchen Angriffen auf die Webseite des Vereins oder der Gemeinde schützen?

Ausführliche Tipps von IT-Sicherheitsspezialist Martin Schlatter von Hostpoint

Martin Schlatter, Head of Abuse Desk bei Hostpoint. Bild: Hostpoint AG

Warum gerade die eigene Website von einem Hacking-Angriff betroffen ist, lässt sich nicht immer genau sagen. Die meisten Hacking-Fälle richten sich nicht persönlich an die Website-Betreibende. In vielen Fällen spielt es für Angreifer aber schlicht keine Rolle, ob es sich bei ihren Opfern um Private, Unternehmen oder andere Organisationen handelt. Sie suchen sich vor allem einfache Ziele aus.

Das Internet wird systematisch und oftmals automatisiert nach Websites mit Sicherheitslücken und Schwachstellen abgesucht. So werden mit gewissen Tools (Schwachstellen-Scanner) überall auf der Welt Websites identifiziert, die einfache und potenziell lukrative Ziele sind.

Es kommt aber immer darauf an, welche Ziele die Cyberkriminellen mit ihrem Angriff verfolgen. Bei der Verbreitung von Schadsoftware (Malware) oder der Generierung von Phishing-Zugriffen sind Angreifer vor allem auf möglichst viele Website-Besuche aus. Es kann aber auch sein, dass gezielt eher kleine Websites angegriffen werden, da diese weniger auffallen und die kriminellen Prozesse so länger unentdeckt bleiben.

Angriffe mit schwerwiegenden Folgen

Häufig werden auf dem Webserver der gehackten Websites sogenannte Webshells hochgeladen. Dabei handelt es sich um Kommando-Schnittstellen, mit der sich die Angreifer – oft für lange Zeit unbemerkt – Zugriff auf alle möglichen Systeme im Netzwerk der Opfer verschaffen können. Diese Webshells sind leider oft nur schwer zu identifizieren.

Hacking-Angriffe auf Websites von Privaten, Selbstständigerwerbende oder Unternehmen können potenziell fatale Folgen haben. Es gibt leider Fälle, bei denen Unternehmen grosse finanzielle Schäden bis hin zur Insolvenz erleiden mussten. Für Privatpersonen kann es von einer öffentlichen Blossstellung bis hin zu existenziellen Schäden reichen.

Die Anwendungen sind sehr breit. Manche Websites werden für den Versand von Spam-Nachrichten oder als Ausgangspunkt für Phishing-Attacken missbraucht. Andere verstecken Schadsoftware (Malware) auf der Website und antizipieren, dass diese von ahnungslosen Website-Besuchenden versehentlich heruntergeladen, installiert und weiterverbreitet werden.

Diese Malware kann zum Beispiel dazu genutzt werden, um die Computer und Daten der Opfer zu verschlüsseln, um dann Geld zu erpressen (Ransomware). Oder sie versuchen, über die Website an sensible Daten zu gelangen, um diese dann wiederum illegal zu veräussern, zum Beispiel über das Darknet.

Auch für sogenannte DDoS-Attacken (Distributed-Denial-of-Service) werden Websites missbraucht: Die Website wird gehackt, um damit schlussendlich weitere Systeme lahmzulegen, die mit der Website verknüpft sind.

Das CMS als Schwachstelle

Schliesslich gibt es auch Fälle, wo eine Website gehackt wird, um sie beispielsweise zu Propaganda-Zwecken, zur Machtdemonstration, aus Spass oder anderen Beweggründen absichtlich zu verunstalten (sogenanntes Defacement). Das gab es vor allem in früheren Zeiten als das Hacken noch nicht kriminell kommerzialisiert war. Es kann zwar auch heute noch vorkommen, ist aber für organisierte cyberkriminelle Banden schlicht nicht lukrativ.

In vielen Fällen sind veraltete Versionen von Systemen zur Inhaltserstellung (CMS) die Einstiegspunkte für Angreifende. Viele Website-Betreiberinnen und -Betreiber setzen alte CMS-Versionen ein, bei denen die erforderlichen Sicherheitsupdates nicht gemacht wurden. Oder sie lassen alte Versionen als Backups auf ihrem Webserver und updaten diese nicht. Aber auch ein CMS auf dem neusten Stand ist nicht zwingend vor Angriffen geschützt, denn auch die eingesetzten Website-Plugins bergen gewisse Sicherheitsrisiken, wenn sie nicht regelmässig aktualisiert werden.

Nutzerinnen und Nutzer sind vorsichtiger geworden

Erfreulicherweise sind die Internetnutzer auch hierzulande in den letzten Jahren etwas vorsichtiger geworden und haben dazugelernt. Oft mussten Benutzerinnen und Benutzer jedoch leider selbst einmal Opfer eines Angriffes werden, um sich der reellen Gefahr bewusst zu werden. Die öffentliche Wahrnehmung zu den Gefahren, die von der Cyberkriminalität ausgehen, ist aber sicher stärker geworden.

Leider gibt es aber nach wie vor genug Website-Betreibende, Webmaster, Webdesigner oder Webagenturen, die das Thema Sicherheit vernachlässigen oder gegenüber ihren Kundinnen und Kunden die nötige Sorgfalt in Bezug auf Wartung und Sicherheitsupdates vermissen lassen. Auch für viele Kunden ist Website-Sicherheit zu wenig wichtig. Sie fühlen sich nach einem Website-Relaunch oft in falscher Sicherheit und meinen, dass sie nun für ein paar Jahre Ruhe haben.

IT-Sicherheitsspezialist Martin Schlatter bei seiner Arbeit. Bild: Hostpoint AG

Website-Betreibende sollten dem Thema Sicherheit und Wartung von Anfang an genug Wichtigkeit einräumen. Das A und O ist die regelmässige Pflege der Website sowie der angebundenen Applikationen. Dazu gehört, dass Sicherheitsupdates und andere Aktualisierungen der entsprechenden Softwarehersteller regelmässig und vor allem auch zeitnah installiert werden.

Dabei sind nicht nur die allgemeinen Versionen der CMS gemeint, sondern auch sogenannte Plugins oder Themes. Wie häufig man das eigene CMS und die eingesetzten Plugins updaten sollte, hängt unter anderem von der Anzahl der installierten Applikationen ab. Hostpoint empfiehlt jedoch, sich mindestens einmal pro Woche dem Thema zu widmen und nachzuschauen, ob es anstehende Updates gibt.

Alte Plugins löschen

Nicht verwendete Plugins sollten nicht nur deaktiviert, sondern gleich ganz vom Server entfernt werden. Generell empfehlen wir Plugins oder Themes zu verwenden, die vom jeweiligen CMS-Hersteller selbst herausgegeben oder zumindest verifiziert wurden. Die Verwendung von Gratis-Software (teilweise Raubkopien), die über Drittseiten angeboten wird, ist mit Vorsicht zu geniessen, da diese oft Malware enthalten.

Test-Websites, die nicht mehr in Betrieb sind, sollte man löschen sowie generell bei solchen Test-Installationen einen vorgelagerten Passwort-Schutz einbauen. Ebenso sollten alte und nicht mehr verwendete Accounts von CMS-Administratoren entfernt werden.

Heikler Umgang mit Passwörtern

Für die Administratoren von Firmen- oder Vereinswebsites ist der verantwortungsvolle Umgang mit Passwörtern von grosser Bedeutung. Das gleiche Login sollte möglichst nicht von mehreren Personen genutzt werden und Passwortlisten in Excel oder ähnlichen Anwendungen sollten tabu sein. Martin Schlatter empfiehlt die Verwendung eines modernen Passwort-Managers (Schlüsselbundsysteme). Ebenso sollten Passwörter nie in mehreren Systemen eingesetzt werden, sowie über eine ausreichend hohe Komplexität verfügen (Kombinationen von Buchstaben, Zahlen und Sonderzeichen sowie ausreichende Länge).

Immer häufiger anzutreffen und auch von Hostpoint empfohlen ist der Einsatz der sogenannten Zwei-Faktor-Authentifizierung. Hierbei handelt es sich um eine zusätzliche Sicherheitsmassnahme, bei der zwei unterschiedliche Angaben für ein Login benötigt werden. Neben dem Passwort kann dies in Form eines per E-Mail oder SMS zugestellten Verifizierungs-Codes oder über eine dafür vorgesehene Dritt-App wie etwa Google Authenticator geschehen. Man kennt dieses Prinzip der zweifachen Verifizierung von den meisten Online-Banking-Systemen.

Regelmässig Backups machen

Hostpoint erstellt über einen langen Zeitraum sämtliche Backups für ihre Kunden. Sie empfehlen ihrer Kundschaft jedoch auch regelmässige eigene Backups für Ihre Website-Dateien und -Datenbanken anzulegen. Nichts ist ärgerlicher als nach einem erfolgten Angriff am Ende ohne Daten da zu stehen. Solche regelmässigen Backups sollten aber vorzugsweise lokal oder gegebenenfalls in einer abgesicherten Cloud-Umgebung gespeichert werden, nicht aber auf dem Webserver.

Andere mögliche Vorsorgemassnahmen wären etwa ein stets aktualisierter Virenschutz auf Computern und mobilen Geräten, ein Monitoring der Website oder die verschlüsselte Datenübertragung über das SFTP-Protokoll. Die für die Bearbeitung der Websites eingesetzten Computer und Webbrowser sollten zudem auf dem neusten Stand sein: Auch hier sind regelmässige Updates zentral. Darüber hinaus könnte der Einsatz einer Firewall sowie einer Überwachung des Dateisystems sinnvoll sein. Firewall-Plugins senden nötigenfalls eine Warnung per E-Mail an den Website-Betreiber, wenn es zu unerwarteten oder verdächtigen Veränderungen an Dateien kommt.

Manchmal geht es ganz schnell

Eine Garantie, vor Hacking-Angriffen vollständig sicher zu sein, gibt es kaum. Bei sogenannten «Zero-Day»-Angriffen (Hacker entdecken Schwachstelle und nutzen diese sofort aus) hat man zudem ohnehin kaum eine Chance, rechtzeitig zu reagieren. Aber da solche Schwachstellen oft bei Plugins vorkommen, tut man gut daran, diese wie bereits beschrieben regelmässig zu aktualisieren sowie nicht mehr verwendete Plugins zu entfernen.

Wenn Hacker eine noch unbekannte Sicherheitslücke der CMS-Kernsoftware oder eines weit verbreiteten Plugins entdecken, haben sie unter Umständen mit relativ wenig Aufwand Zugriff auf sehr viele Websites. Bei Websites, die professionell selbst programmiert wurden, ist die Chance von einem automatisierten Hackbot angegriffen zu werden, dagegen geringer. Selbstverständlich sind aber auch solche Seiten nie vollständig sicher, solange die Wartung und Sicherheitsaspekte nicht verantwortungsvoll und seriös behandelt werden.

Sicherheitsfragen extern in Auftrag geben

Wer sich mit dem Thema Sicherheit so wenig wie möglich herumschlagen möchte, der kann diese Aufgabe entweder an entsprechende Stellen auslagern. Oder man setzt auf sogenannte Managed SaaS-Produkte (Software-as-a-Service). Bei diesen Systemen kümmert sich der jeweilige Webhosting-Provider um das Monitoring, die Updates und die Sicherheit.

Auf den Websites des vormals unter dem Namen Melani bekannten Nationalen Zentrums für Cybersicherheit (NCSC), der Schweizerischen Kriminalprävention (SKP) oder der Swiss Internet Security Alliance (iBarry) finden sich zudem weitere nützliche Tipps zur Vorbeugung von Cyberangriffen.

Wer von einem Hacking-Angriff betroffen ist, sollte umgehend entweder direkt oder über den Webmaster den Provider informieren. In vielen Fällen können die dort zuständigen Mitarbeitenden bei der Bekämpfung und Behebung der Angriffe helfen. Prozesse können gestoppt und die verursachenden Schadcodes identifiziert, lokalisiert und entfernt werden.

Für Webhosting-Provider wie Hostpoint ist es sehr wichtig, über Hacking-Angriffe so schnell wie möglich in Kenntnis gesetzt zu werden. Die zuständigen Abteilungen beim Provider untersuchen die Ursachen und die Umstände zum Hacking-Fall genau und stellen sicher, dass keine zusätzlichen Schäden an der Infrastruktur entstehen. Zudem können Provider auch dabei helfen, dass nicht noch weitere Websites desselben Kunden auf dem gleichen Server betroffen werden.

Meldepflicht bei Datenklau

Die Betreiber der betroffenen Websites sollten zudem umgehend alle Arbeiten an der Website einstellen und die betroffenen Seiten entweder selbst, vom Webmaster oder vom Provider deaktivieren. Es besteht immer die Gefahr, dass ahnungslose Website-Besuchende sich Schadsoftware einfangen könnten.

Wenn durch einen Hackerangriff angenommen werden muss, dass personenbezogene Daten von den Angreifern ausgelesen und gestohlen worden sind, besteht je nachdem allenfalls eine behördliche Meldepflicht; zum Beispiel für Websites, die der Europäischen Datenschutz-Grundverordnung (DSGVO) unterstehen.

Vorsicht vor Hintertüren

Es empfiehlt sich, die eigenen Computer und Mobilgeräte auf Viren und Schadsoftware zu überprüfen und diese zu beseitigen. Haben Hacker Zugriff auf den Computer des Webmasters, werden nicht selten Hintertüren eingebaut. So ist es ein Leichtes für sie, die Website (und andere Systeme) später erneut zu hacken.

Das Ändern der für die Website-Verwaltung eingesetzten Passwörter ist sicher nicht falsch, nützt aber unter Umständen allein wenig, da die Hacker sich inzwischen zu viel mehr Bereichen Zugriff verschafft und entsprechende Hintertüren eingebaut haben könnten. Viel wichtiger ist es, nach einem Hacking-Angriff die Passwörter auch überall dort zu ändern, wo das gleiche Passwort verwendet wurde.

Wir empfehlen unseren Kunden zwar immer, vom mehrfachen Einsatz desselben Passwortes grundsätzlich abzusehen. Aber in der Realität gibt es leider viele Benutzer, die das trotzdem tun. In diesen Fällen ist das Ändern der Passwörter nach einem Hacking-Angriff unerlässlich.

Backup nur auf einem sauberen System

Versierte Website-Betreibende mit entsprechendem Know-how können vorhandene Backups selbst einspielen. Oder aber man bittet den Hosting-Provider dies zu tun. Wichtig dabei ist aber, dass dies in einem gesicherten Umfeld passiert. Das Einspielen eines Backups auf einem infizierten oder infiltrierten Webserver nützt wenig. Beim Neuaufsetzen sollte auf jeden Fall darauf geachtet werden, dass keine infizierten Dateien wiederverwendet werden.

Generell gilt aber, dass das Einspielen eines Backups immer erst dann erfolgen sollte, wenn die Ursache des Angriffes, dessen Zeitpunkt sowie das Hacking-Einfallstor bekannt sind. Aus diesen Informationen lässt sich dann auch eruieren, welche Backup-Version einzusetzen ist. Natürlich muss es ein Backup aus der Zeit vor dem Angriff sein.

Zum Schluss: Konsequent aufräumen

Ist das Backup eingespielt, die gehackte Version der Website gelöscht und alle Passwörter neu gesetzt, sollte man gleich als Erstes genau das tun, was man im Vorfeld vermutlich nicht oder nicht konsequent genug gemacht hat: Updates von CMS und Plugins einspielen! Zudem auch alle nicht mehr benötigten Elemente wie Plugins oder Dateien entfernen und prüfen, ob gegebenenfalls weitere Malware vorhanden ist.

Gegebenenfalls empfiehlt es sich für Website-Betreiber, die einen Hackingangriff erlitten haben, alle Seiten, Dateien und Datenbanken von einem spezialisierten und professionellen Anbieter bereinigen zu lassen.

Auf keinen Fall einfach nichts unternehmen! Das könnte in vielerlei Hinsicht fatal sein. Es könnten ahnungslose Website-Besuchende infiziert werden oder Schäden an der Infrastruktur des Providers sowie für andere Kundinnen und Kunden des Providers entstehen.

Schlatter warnt zudem davor, sich auf den Einsatz von lokal auf dem Computer eingesetzten Antivirus-Programmen zu verlassen. Diese sind oft nicht in der Lage die Malware auf einer Website vollständig zu identifizieren und zu entfernen. Gewisse potenziell gefährliche Elemente können auf diese Weise auch schlicht nicht erkannt werden.

Grundsätzlich darf dieselbe Website-Datenbank nie für die wiederhergestellte Seite eingesetzt werden, denn diese kann versteckte Skripte und Malware enthalten. Und selbstredend ist es ein absolutes Tabu dieselben Passwörter nach der Bereinigung wiederzuverwenden.

Dieser Ratgeber ist in Zusammenarbeit mit der Firma Hostpoint entstanden. Hostpoint verwaltet als grösster Schweizer Webhosting-Provider rund 800’000 Domains.