Sicherheitsupdates: Sichern Sie ab was Ihnen lieb ist

 

WEB-Frühjahrsputz verpasst? Dann wird es höchste Zeit für essentielle Updates Ihrer Webseite oder Ihres Webshops. Web-Updates werden oft als unnötige Kosten abgetan und so fristen tausende Websites Ihre Existenz als potentielle Ziele für Hacker. Was die Website-Betreiber für ein Risiko eingehen ist ihnen oft nicht bewusst oder wird einfach ignoriert. Geben Sie in Google den Begriff „Hackerangriff“ ein und Sie werden sehen wie leicht sie Opfer einer Attacke sein können. Wir wollen mit unserem aktuellen Blogeintrag keine Angst schüren, sondern informieren weshalb Sie das Upgrade Symbol Ihrer Website oder Webshop nicht ignorieren sollten.

Bereits im Mai 2016 haben wir in unserem Blog über die hinterlistigen Angriffe von Ransomware berichtet. Auch hilfreiche Tipps für Maßnahmen, die im Vorfeld gegen einen Hackerangriff schützen können, haben wir damals in einem Artikel für unsere Leser zusammengefasst. Eine dieser Maßnahmen betraf das Thema „Sicherheitsupdates“. Aufgrund der steigenden Relevanz dieser Thematik veröffentlichte Google im Jahr 2017 im Rahmen seiner #NoHacked-Kampagne regelmäßig Studien zur Sicherheit von Webseiten und gab Anweisungen für deren sicheren Betrieb. Laut dieser Kampagne ist die Anzahl der gehackten Webseiten in den letzten Jahren rasant angestiegen und es ist längst kein Ende in Sicht. In Österreich wurden im Jahr 2018 rund 19.628 Fälle von Internetkriminalität bei der Polizei zur Anzeige gebracht. Der Anstieg von 16,8 Prozent gegenüber dem Vorjahr zeigt auch im Jahr 2018 eine steigende Tendenz der Anzeigen im Bereich Cybercrime. Die gute Nachricht -> Rund 37 Prozent der Fälle konnten aufgeklärt werden. (Quelle: Bundesministerium für Inneres Österreich

Cyberkriminalität beschreibt im weiteren Sinn die Gesamtheit illegaler Handlungen im Computer-und Telekommunikationsbereich zum Beispiel Datenmanipulation oder das widerrechtliches Eindringen in Systeme. Im Bereich Internetbetrug gab es 2018 den größten Anstieg der angezeigten Fälle im Zehnjahresvergleich.

Software von Menschen für Menschen

Generell kann man sagen das die Entwicklung einer Software nie zu Ende geht (solange die finanziellen Mittel gegeben sind), da man immer wieder Dinge finden wird die man besser machen kann oder sich Funktionen im Laufe der Zeit weiterentwickeln. Dies trifft auch bei CMS Systemen wie z.B. WordPress und TYPO3 zu oder auch im e-commerce Bereich für Webshop Systeme wie z.B. Magento oder Shopware.

Als professioneller Web-Dienstleister ist es unsere Pflicht auf die Notwendigkeit von Versionsupdates hinzuweisen. Im Bereich von TYPO3 betrifft dies Sicherheitsupdates der im Oktober 2018 erschienenen Version 9 LTS und allgemein empfohlene Versionsupdates der im März 2017 abgelaufenen Version 4.5. Diese Version ist seit Jänner 2011 auf dem Markt und somit schon 8 Jahre alt. Aufgrund der hohen Verbreitung wurde der Support dieser Version bereits zweimal verlängert. Mit März 2017 war dann endgültig Schluss. Neben Neuerungen im Backend und der Unterstützung von responsive View für Mobile Devices ist das Sicherheitsthema eines der wichtigsten Gründe für regelmäßige Aktualisierungen. Wo bis vor kurzem ein Update auf Version 6.5 der nächste logische Schritt gewesen ist, gilt dies aufgrund eines Technologiesprungs in der TYPO3 Struktur nicht mehr. Wir empfehlen nun bis auf Ausnahmen, ausschließlich den Sprung zur Version 9.5.5 (oder neuer wenn stabil).

Im Bereich von Magento hat sich mit dem Umstieg auf Version 2 so einiges in der Datenstruktur getan. Die erfolgreiche Onlineshop Software Magento wurde im März 2008 veröffentlich und immer weiter verbessert. Da sich die erste Version hoher Beliebtheit erfreut, wurde der Support bis November 2018 verlängert. 7 Monate später sind auch in diesem Bereich noch unzählige Shops mit veralteter Software online. Da es sich hier um ein komplexes System handelt, weisen viele Magento-Versionen Schlupflöcher für Schadcode auf und gefährden so Onlineshops. Dies ist auch der Grund weshalb in regelmäßigen Abständen abgesicherte Ausgaben erscheinen, welche die Schwachstellen der jeweiligen Version minimieren. Entscheidet man sich gegen ein Sicherheitsupdate, können Angreifer die zum Teil als “kritisch” eingestuften Sicherheitslücken ausnutzen und im schlimmsten Fall Shops komplett übernehmen.

Das höchste Risiko in Sachen „Cyberattacke“ liegt beim am weitest verbreiteten System „WordPress“. Aufgrund der niedrigen Anschaffungskosten entscheiden sich Kunden gerne für diese Website Lösung. Um Kosten zu sparen, wird bei der Grundinstallation wird oft nicht an das Thema „Sicherheit“ gedacht wodurch schon beim Launch eine große Lücke für Hacker entsteht. Eine solche Webseite ist ein gefundenes Fressen für Hacker und wird dementsprechend mit voller Härte angegriffen. Wir haben fast täglich mit der Beseitigung solcher Schäden zu tun wobei die Wiederherstellungskosten bei weitem jene eines Sicherheitsupdates übersteigen. Die Kosten/Nutzen Rechnung des Kunden geht dann in solch einem Fall nicht auf.

Generell kann man sagen dass das Thema „Versionsupdates“ für viele Kunden ein rotes Tuch ist, da einerseits zusätzliche Kosten und andererseits ein interner Arbeitsaufwand entstehen können. So wird dann oft aus „Gemütlichkeit“ auf ein Update verzichtet und das Risiko eines WEB-Angriffs in Kauf genommen. Dass man damit fahrlässig handelt und ein großes Sicherheitsrisiko für seine Kunden eingeht wird oft mit dem Motto: Wenn bisher nichts passiert ist, dann wird auch weiterhin nichts passieren, abgetan.

Gefahr für sensible Kundendaten

Werden auf der Webseite Kundendaten verwaltet, verstärkt sich das Risiko noch um ein Vielfaches. Gerade solche Seiten bieten für Hacker ein wahres Fest an „kostenlosen“ Informationen, welche über diverse illegale Foren weiterverkauft werden. Die Verantwortung im Umgang mit diesen Daten ist vielen Unternehmen oft gar nicht bewusst. Fahrlässiges Verhalten ist somit an der Tagesordnung. Speziell die Datenschutzgrundverordnung, welche ab dem 25.05.2018 in Kraft getreten ist, wird sich besonders um solche Fahrlässigkeiten „kümmern“.

Speziell dem Thema Sicherheitsupdates sollte ein besonders hohes Maß an Aufmerksamkeit geschenkt werden. Bei unseren Recherchen zu diesem Thema mussten wir leider feststellen, dass bei vier von fünf Webshops zumindest ein relevantes Sicherheitsupdate gefehlt hat. Das Interesse von Kunden in diesem Bereich etwas zu unternehmen war gering bis gar nicht vorhanden.

Sei es TYPO3, WordPress oder Magento -> Es werden regelmäßig kostenlose Updates angeboten um sensible Daten zu schützen. Diesen Vorteil sollte man sich als auf jeden Fall zu Nutze machen.
Fehlt einem die technische Expertise, dann stehen wir als kompetenter Partner im WEB Bereich gerne zur Verfügung.

Fazit

Während man im Internet von Informationen zu Sicherheitsrelevanten Themen beinahe erschlagen wird, halten sich die tatsächlich getroffenen Maßnahmen zur Vorbeugung von Hacker-Angriffen bei vielen Webseiten- und Webshop-Betreibern in Grenzen. Dabei fällt die regelmäßige Implementierung von Sicherheitsupdates oft günstiger aus als vermutet. Zusätzlich, kann man diese Gelegenheit nutzen die Inhalte seiner Webseite wieder mal zu überarbeiten und veraltetes zu aktualisieren oder gar zu entfernen. Entschließt man sich dagegen, muss man mit dem Worst Case rechnen: Neben den Kosten für die Wiederherstellung der gehackten Daten und der Tatsache, dass Ihre Webseite wohl eine Weile offline sein wird, ist nun auch das Vertrauen Ihrer Besucher in Gefahr. Erfahren Diese nämlich von einer Sicherheitsschwachstelle, wird sich auch der treuste User nochmal überlegen ob er Ihnen seine Bankdaten nun anvertrauen soll.

Mit der regelmäßigen Durchführung von Sicherheitsupdates, sowie einem gelegentlichen Versionsupgrade, schützen Sie sich und letztendlich Ihre Webseitenbesucher von Hacker-Angriffen und deren Konsequenzen.

Wollen Sie den Sicherheitsstand Ihrer Webseite oder IT Infrastruktur überprüfen lassen, helfen wir Ihnen natürlich auch gerne weiter. Senden Sie ein Mail an [email protected] oder rufen Sie uns an unter 01/ 581 01 30.

Firmen bietet die WKO Förderungen für Beratungen im Bereich von WEB und IT an. IXSOL als WKO zertifiziertes Unternehmen im IT & WEB Bereich, unterstützt Sie hier gerne.