Solche modernen CMS erlauben es, Webseiten bequem zu verwalten und neue Inhalte zu veröffentlichen. Vor lauter Bequemlichkeit, die das mit sich bringt, geht aber leider öfters vergessen, dass auch Software – genau so wie zum Beispiel ein Auto – regelmässige Pflege benötigt. Dies zeigen auch Zahlen, die die Melde- und Analysestelle Informationssicherung des Bundes, kurz MELANI, in ihrem jüngsten Halbjahresbericht liefert.
Erschreckend: Über 70% aller Schweizer WordPress ungeschützt
Am Beispiel von zwei WordPress-Sicherheitslücken (CVE-2015-3429 und CVE-2015-3440) aus dem letzten Jahr zeigt MELANI nämlich auf, wie erschreckend wenig viele Schweizer Webseitenbetreiber in die Sicherheit ihrer eigenen Webseiten investieren. Obwohl für beide Sicherheitslücken jeweils bereits am nächsten Tag ein Sicherheitsupdate zur Verfügung stand, war bei fast 75% aller WordPress-Installationen in der Schweiz das Sicherheitsupdate auch nach zwei Wochen nicht installiert.
Macht nichts? Doch: Die Folgen für den Webseiteninhaber sind fatal!
Weil nicht ausreichend geschützte Webseiten mit entsprechenden Tools automatisiert gefunden werden können, ist es für Kriminelle nicht weiter schwierig, solche Webseiten danach mit Malware oder Viren zu manipulieren. Doch es kann noch schlimmer kommen: Erlangt der Angreifer durch die Sicherheitslücke Zugriff auf die Daten, kann der Webseitenbetreiber sogar erpresst werden. Gemäss MELANI war dies – besonders bei KMU – bereits im ersten Halbjahr 2015 mehrfach der Fall.
Ist die Website erst einmal gehackt, hat das weitere, unangenehme Folgen. Um weiteren Schaden, etwa für die Besucher der Seiten zu verhindern, müssen wir als Webhosting Provider die betreffenden Webseiten sperren. Läuft die Webseite zudem mit einer .ch-Domain, so besteht die reele Gefahr, dass die Schweizer Domain-Registry den Domainnamen sperrt. Damit wäre nicht nur die Webseite nicht mehr erreichbar, sondern zum Beispiel auch der Empfang und Versand von Emails nicht mehr möglich.
Über die Gründe, weshalb CMS – oder Web-Applikationen ganz allgemein – nicht regelmässig gewartet und aktualisiert werden, lässt sich nur spekulieren. Sicher ist, dass sich viele Nutzer gar nicht bewusst sind, dass auch Software entsprechende Pflege braucht. Ein grosses Problem sind auch Webseiten, die etwa von einer Agentur für einen Kunden erstellt wurden. Ist das Projekt erst einmal abgeschlossen, werden die Seiten samt CMS „schlüsselfertig“ dem Kunden übergeben. Dass der Kunde diese Installationen dann auch entsprechend pflegen muss, ist diesem meist nicht bewusst.
Rechtzeitig schützen!
Als Webseitenbetreiber tut man deshalb gut daran, seine Webseiten und die dahinterliegenden Applikationen regelmässig zu pflegen. Dazu gehört etwa die zeitnahe Installation von Sicherheitsupdates und anderen vom Herstellern herausgegebenen Aktualisierungen. Dies gilt vor allem auch für Plugins. Gleichzeitig sollten nicht genutzte Plugins nicht nur deaktiviert, sondern auch vom Webserver gelöscht werden. Ebenfalls sollten Webseiten, die nicht in Betrieb sind, zum Beispiel Testinstallationen, wieder vom Server entfernt werden. Weitere mögliche Vorsichtsmassnahmen hat MELANI in einem PDF zusammgefasst.
