Im Jahr 2017 wurden wir mit zahlreichen Sicherheitsthemen im Bereich Web konfrontiert. Besonders dreist gestalteten sich Hacking Angriffe durch Ransomware wie Locky, TeslaCrypt, Cryptolocker oder Cryptowall. Auch Google verstärkt aufgrund der gestiegenen Hacking Angriffe die Information an die User und rät besonders zu Sicherheitsupdates bei CMS Systemen und Webshops.
Im Mai 2016 haben wir in unserem Blog bereits über die hinterlistigen Angriffe von Ransomware berichtet. Auch hilfreiche Tipps für Maßnahmen, die im Vorfeld gegen einen Hackerangriff schützen können, haben wir in einem Artikel für unsere Leser zusammengefasst. Eine dieser Maßnahmen betraf das Thema Sicherheitsupdates. Aufgrund der steigenden Relevanz dieser Thematik veröffentlicht Google im Rahmen seiner #NoHacked-Kampagne regelmäßig Studien zur Sicherheit von Webseiten und gibt Anweisungen für deren sicheren Betrieb. Laut dieser Kampagne ist die Anzahl der gehackten Webseiten in den letzten Jahren rasant angestiegen und es ist längst kein Ende in Sicht. Im Jahr 2016 betrug der Anstieg ganze 32%; für 2017 kann man sicher noch höhere Anstiegsraten erwarten.
Sicherheitsupdates werden zu oft vernachlässigt
Als professioneller Web-Dienstleister weisen wir unsere Kunden oft auf die Notwendigkeit von Versionsupdates hin. Im Bereich von TYPO3 betrifft dies die im März 2017 abgelaufene Version 4.5. Diese Version ist seit Jänner 2011 auf dem Markt und somit schon 6 Jahre alt. Aufgrund der hohen Verbreitung dieser Version wurde der Support bereits zweimal verlängert. Mit März 2017 war dann endgültig Schluss. Neben Neuerungen im Backend und der Unterstützung von responsive View für Mobile Devices ist das Sicherheitsthema eines der wichtigsten Gründe für ein Versionsupgrade. Ein Update, zumindest auf Version 6.5, wäre somit der nächste logische Schritt.
Leider reagieren viele Kunden eher gereizt auf das Thema Versionsupdates, da einerseits zusätzliche Kosten und andererseits ein interner Arbeitsaufwand entstehen können. So wird dann oft aus „Gemütlichkeit“ auf das Update verzichtet. Dass man damit ein großes Sicherheitsrisiko eingeht wird oft mit: Wenn bisher nichts passiert ist, dann wird auch weiterhin nichts passieren, abgetan.
Welche Risiken bestehen bei Missachtung von Updates?
Werden auf der Webseite Kundendaten verwaltet, verstärkt sich das Risiko noch um ein Vielfaches. Gerade solche Seiten stellen für Hacker ein gefundenes Fressen dar. Die Verantwortung, die man in diesem Fall trägt, ist vielen Unternehmen oft gar nicht bewusst. Fahrlässiges Verhalten ist somit an der Tagesordnung. Speziell die Datenschutzgrundverordnung, welche ab dem 25.05.2018 in Kraft tritt, wird sich besonders in der Anfangsphase verstärkt um Unternehmen „kümmern“, die sich nicht an die gesetzlichen Bestimmungen halten. Das wird speziell Webshops betreffen, die ja bekanntlich viel mit Kundendaten arbeiten. Dem Thema Sicherheitsupdates sollte hier ein besonders hohes Maß an Aufmerksamkeit geschenkt werden. Bei unseren Recherchen zu diesem Thema mussten wir leider feststellen, dass bei vier von fünf Webshops zumindest ein relevantes Sicherheitsupdate gefehlt hat. Das Interesse von Kunden in diesem Bereich etwas zu unternehmen war gering bis gar nicht vorhanden.
Die von uns angebotene e-commerce Lösung Magento, welche in der Zwischenzeit schon in der Version 2.x erschienen ist, liefert regelmäßige Sicherheitsupdates. Auch bei der vorigen Version 1.9 wurde aufgrund der hohen Verbreitung eine Verlängerung des Supports beschlossen. Diesen Vorteil sollte man sich als Webshop-Betreiber auf jeden Fall zu Nutze machen.
Vorteile von Sicherheitsupdates
Das Informationsangebot zu sicherheitsrelevanten Themen für den Bereich von Webseiten und Webshops ist sehr groß. Der Wille der Kunden etwas für die Sicherheit zu tun ist hingegen eher verhalten. Wobei Maßnahmen oft nicht teuer sind und Updates für viele Webseitbetreiber auch eine Möglichkeit sein können, bereits veraltete Webseiteninhalte wieder einmal zu aktualisieren.
Was man auf jeden Fall beachten sollte, sind die Kosten für die Wiederherstellung von gehackten Webseiten bzw. Webshops. Diese sind um ein vielfaches höher und bringen neben dem kostentechnischen Aufwand noch einen nicht zu verachtenden negativen psychologischen Effekt für die Kunden aber auch das Unternehmen. Die Zeit, die es benötigt, um den Kunden wieder ein sicheres Gefühl beim Besuch der Webseite zu geben ist oft nicht absehbar und die Ausfallskosten für lahmgelegte Webshops sind hier noch gar nicht einkalkuliert. Ein Versions- bzw. Sicherheitsupdate hingegen hat in vielen Fällen bereits Abhilfe geschaffen.
Wollen Sie den Sicherheitsstand Ihrer Webseite oder IT Infrastruktur überprüfen lassen, helfen wir Ihnen natürlich auch gerne weiter. Senden Sie ein Mail an support@ixsol.at oder rufen Sie uns an unter 01/ 581 01 30.
