Schwachstellen, die Ihrer Website Schaden zufügen können

Transkript

1 Schwachstellen, die Ihrer Website Schaden zufügen können Wissen ist Macht: der Symantec-Leitfaden zum Schutz Ihrer Website

2 Inhalt 3 Ein falsches Gefühl der Sicherheit kann Sie teuer zu stehen kommen 4 Wie können Sie sich schützen? 5 Wie Schwachstellen Ihrer Website Schaden zufügen können 6 Das Schlachtfeld ist größer, als Sie denken 7 Die Größe Ihres Unternehmens spielt keine Rolle 8 Wissen ist Macht, das gilt auch für Ihre Kunden 9 2

3 Schwachstellen, die Ihrer Website Schaden zufügen können Im Jahr 2012 führte Symantec jeden Tag über 1400 Schwachstellenanalysen von Websites durch. Über die Hälfte der geprüften Websites wiesen nicht behobene, eventuell durch Hacker ausnutzbare Schwachstellen auf. Unter den anfälligen Websites war ein Viertel tatsächlich mit Malware infiziert. Dadurch könnten die Rechner von Besuchern infiziert werden, was wiederum dazu führen könnte, dass die betreffende Website auf den schwarzen Listen von Suchmaschinen landet. Diese Zahlen zeigen, dass Millionen legitimer Websites jeden Tag dem Risiko durch schwerwiegende Angriffe und Übergriffe durch Internetkriminelle ausgesetzt sind. Trotzdem waren ein Drittel der im Rahmen der Studie Mangelndes Wissen über Schwachstellen von Symantec befragten Unternehmen der Ansicht, dass ihre Website sehr sicher wäre, obwohl sie diese nicht wirklich auf Schwachstellen oder Infektionen überprüft hatten. 1 Wie groß wäre Ihr Vertrauen in die Sicherheit Ihres Geldes, wenn Ihre Bank aus Versehen die Daten der Hälfte der Konten preisgeben würde? Das Problem liegt darin, dass viele Unternehmen sich einfach nicht des Risikos bewusst sind, das ihre Website für ihr Geschäft darstellt, und nicht wissen, wie verwundbar ihre Websites ohne richtige Sicherheits- und Überwachungsvorkehrungen eigentlich sind. Warum sind Schwachstellen von Bedeutung? Warum greifen Kriminelle Websites an? Weil es dort Geld zu holen gibt. Im Jahr 2002 betrug das Umsatzvolumen durch E-Commerce 76 Milliarden Euro. Zehn Jahre später war diese Zahl auf 175,5 Milliarden Euro gestiegen. Etwa 2,7 Milliarden Menschen nutzten im Jahr 2013 das Internet; das ist fast die Hälfte der Weltbevölkerung. 2 Durch das Kapern von Websites erhalten Kriminelle Zugriff auf Besucher, deren Daten und ihr Geld. Die erste Wissenslücke, die Sie schließen müssen, ist das mangelnde Verständnis dafür, warum Ihr Unternehmen und dessen Website so attraktiv für Online-Betrüger sind. Das Wissen über prozessuale und technische Schwachstellen ist zwar wichtig, doch vor allem müssen Sie sich über das mit ihnen verbundene Risiko und die Wahrscheinlichkeit, dass sie ausgenutzt werden, im Klaren sein. Nur so ist ein wirksamer Schutz möglich. Über Ihre Unwissenheit lachen die sich sonst ins Fäustchen Nicht nur der Gewinn, den Kriminelle mit Websites erzielen können, macht diese zu einem interessanten Angriffsziel. Auch die Methode ist von Bedeutung. Websites und die Server, auf denen sie laufen, verfügen über zahlreiche inhärente Schwachstellen, deren sich die meisten Betreiber nicht bewusst sind und die daher einfach ausgenutzt werden können. Website-Hosting ist einerseits sehr einfach: Sie bezahlen ein Hosting-Unternehmen und veröffentlichen Ihre Website. Andererseits ist dies eigentlich ein sehr komplexer Prozess, an dem mehrere Schichten aus Software und Hardware beteiligt sind, die alle korrekt funktionieren müssen, damit Ihre Website sicher bleibt. Da es so einfach scheint, liegt oft die Schlussfolgerung nahe, es wäre alles in Ordnung. Da die technischen Einzelheiten schwer verständlich sind, fällt es leicht, ein Auge zuzudrücken und darauf zu vertrauen, dass sich schon jemand anderes für Sie darum kümmern wird. 3

4 Ein falsches Gefühl der Sicherheit kann Sie teuer zu stehen kommen Eine der Schwachstellen, die am wahrscheinlichsten auf einer Website ausgenutzt wird, ist das sogenannte Cross- Site-Scripting. Trotzdem haben von Symantec befragte Unternehmen dieses als am wenigsten wahrscheinlich eingestuft. Die am meisten gefürchtete Schwachstelle waren Brute-Force-Angriffe, d. h. Versuche von Hackern, in die Server einzubrechen, auf denen Websites gehostet werden. Diese Art von Angriffen ist seltener, wird aber im Fernsehen und in Filmen gezeigt und daher als augenfälliger empfunden. 3 Die Wahrscheinlichkeit, dass Ihre Website zum Opfer eines Botnets wird, das Tausende von Websites auf bekannte Schwachstellen untersucht, ist viel höher als der Angriff durch einen Meister-Hacker. Wo liegen Ihre Schwachpunkte? Eine einzelne Schwachstelle in einer Anwendung kann für ein Unternehmen kritisch werden, wenn sie erfolgreich ausgenutzt wird, so der Bericht über Bedrohungen für Websites (WSTR) von Symantec. 4 Im Jahr 2012 wurden 5291 Schwachstellen gemeldet, gegenüber 4989 im Jahr Sie sind weder ungewöhnlich noch selten und jede stellt gleichermaßen eine Bedrohung für Ihr Unternehmen dar. Darum ist es von wesentlicher Bedeutung, die gängigsten Schwachstellen zu verstehen, denen Ihre Website ausgesetzt ist. Falschinformationen sind genauso gefährlich wie überhaupt keine Informationen, da diese nicht nur verbergen, wo Ihre Schwachstellen tatsächlich liegen, sondern auch zu Geldverschwendung führen, wenn Unternehmen ihre Ressourcen falsch einsetzen. Im Jahr 2012 wurden 5291 Schwachstellen festgestellt, gegenüber 4989 Schwachstellen im Jahr

5 Wie können Sie sich schützen? Schwachstelle Worum handelt es sich? Wie können Sie sich schützen? Server ohne Sicherheitspatches Die Entdeckungsrate neuer Schwachstellen betrug im letzten Jahr nur sechs Prozent, aber Angriffe von gekaperten Websites stiegen um 30 Prozent. Kurz gesagt: Internetkriminelle nutzen beim Hacken der meisten Websites ältere Schwachstellen aus, für die noch kein Patch eingespielt wurde, ergab die Untersuchung von Symantec. Es ist wie bei einem PC: Wenn Sie Ihre Website nicht mit Sicherheitsupdates versorgen und auf dem neuesten Stand halten, gehen Sie ein Risiko ein. Durch regelmäßige automatische Schwachstellenanalyse, die bei jedem Erwerb eines Symantec-SSL- Zertifikats vom Typ Extended Validation oder Pro kostenlos enthalten ist, werden Sie über ungepatchte Schwachstellen informiert. Schwachstellen bei der Autorisierung Schwache Kennwörter, Preisgabe der Benutzernamen von Administratoren, Standardeinstellungen bei Netzwerkhardware und gängiger Software machen Systeme anfällig für Angriffe durch Personen, die sich als legitime Benutzer ausgeben. Setzen Sie Richtlinien für starke Kennwörter und streng geregelte Zugangskontrollen durch, idealerweise mittels Zweifaktoren-Authentifizierung. Stellen Sie sicher, dass alle Kennwörter und Einstellungen auf neu in Betrieb genommener Hardware und Software geprüft und gegebenenfalls geändert werden. Beschränken Sie den Administratorzugriff so weit wie möglich auf vertrauenswürdige, überprüfte Personen und erteilen Sie den Zugriff stets nur für Einzelsysteme. Cross-Site- Scripting Beim Cross-Site-Scripting wird Code aus einer Website der Hacker in die Website des Opfers geschleust. Auf diese Weise können Internetkriminelle ihren eigenen Code auf Ihrer Website ausführen, um Besucher anzugreifen, zu infizieren oder zur Preisgabe wertvoller Informationen, wie z. B. von Kennwörtern, zu verleiten. Halten Sie Ihre Webserver-Software stets aktuell, um alle bekannten Schwachstellen für diese Art von Angriffen zu beseitigen, und stellen Sie bei angepasstem Code sicher, dass alle Eingaben sorgfältig überprüft werden. Führen Sie auf Ihren Websites regelmäßig Malware-Scans durch, um nach Änderungen oder unerwarteten Ergänzungen zu suchen. Brute-Force- Angriffe Wie der Name schon sagt, werden bei diesen Angriffen alle möglichen Kennwort- und Verschlüsselungskombinationen durchprobiert, bis der Code zum Zugriff auf Ihre Website geknackt ist. Die schlimmste Variante dieses Angriffs ist, wenn Hackern der Zugriff auf Ihre verschlüsselten Daten gelungen ist und sie nicht länger durch Beschränkungen für Online-Anmeldeversuche behindert werden. Diese Angriffsart geschieht häufig, wobei manche großen Websites 500 versuchte Brute-Force- Angriffe pro Stunde melden. 6 Ändern Sie regelmäßig die Kennwörter für Ihre Server und Content-Management-Systeme und speichern Sie alle Ihre Daten verschlüsselt. Achten Sie darauf, Verschlüsselungsmethoden nach dem neuesten Stand der Technik zu verwenden, da alte Algorithmen bekannte Schwachstellen aufweisen, die sich leicht knacken lassen. Wenn Ihre Website über ein Anmeldeportal für Kunden verfügt, stellen Sie sicher, dass die Zahl der Anmeldeversuche begrenzt ist und dass Versuche, nacheinander zu viele unterschiedliche Kennwörter durchzuprobieren, blockiert werden. Dieses Funktionsmerkmal ist bei Serversoftware meistens vorhanden, aber eine zusätzliche Kontrolle schadet nicht. Zero-Day- Lücken Diese Schwachstellen sind niemandem bekannt, bis ein Krimineller beginnt, sie auszunutzen. Der Angriff beginnt am Tag null ab dem Bekanntwerden des Risikos und die Zahlen stiegen im letzten Jahr an, als 14 neue Zero-Day-Schwachstellen entdeckt wurden. Im ersten Quartal 2013 stellte Symantec 11 Zero- Day-Lücken für Oracle Java, Adobe Flash, Adobe Reader und Microsoft Internet Explorer fest. 7 Wenn Sie Ihre Website selbst hosten, müssen Sie Notfallpläne vorsehen, um die Auswirkungen durch derartige Angriffe zu minimieren. Stellen Sie sicher, dass alle Anwendungen mit den neuesten Sicherheitsaktualisierungen versorgt werden. Obgleich es keine Patches gegen Zero-Day-Lücken gibt, bieten die neuesten Updates Schutz vor bereits bekannten Schwachstellen. Eine regelmäßige automatische Schwachstellenanalyse, wie Sie sie zusammen mit SSL-Zertifikaten von Symantec erhalten, hilft dabei, Schwachstellen so früh wie möglich zu erkennen, sobald diese bekannt geworden sind. 5

6 Wie Schwachstellen Ihrer Website Schaden zufügen können Ihre Website stellt eine Verbindung zwischen Ihnen und Ihren Kunden dar. Das bedeutet, dass Kriminelle Schwachstellen vor allem auf drei Wegen ausnutzen können: 1. Zugriff auf die Informationen und die Leistung Ihres Servers. Sie haben in Ihrer Website alle möglichen Arten von Informationen gespeichert, z. B Kundendaten und Kennwörter. Serverleistung stellt für Kriminelle auch eine potenzielle Ressource für Rechenleistung zur Weiterverteilung von Malware dar. Zugriff auf Ihren Server bedeutet Datenlecks, Vertrauensverlust und eine Geschäftsschädigung. Darum ist eine regelmäßige Schwachstellenanalyse so wichtig. 2. Belauschen des Informationsaustauschs zwischen Ihnen und Ihren Besuchern. Zwischen Ihren Besuchern und Ihrer Website findet ein ständiger Informationsaustausch statt. Wenn Sie nicht über aktuelle SSL-Zertifikate verfügen, mit denen diese Informationen verschlüsselt werden, besteht für Sie und Ihre Besucher das Risiko durch Man-in-the-Middle-Angriffe. Viele Websites, z. B. Facebook und Google, verwenden jetzt Always- On SSL. Das bedeutet, dass, egal ob Ihr Besucher sich angemeldet hat oder nicht, die gesamte Kommunikation zwischen Website und Server verschlüsselt erfolgt Einschleusen von Malware auf die Geräte Ihrer Besucher. Wenn es einem Online-Betrüger gelungen ist, einen verborgenen JavaScript-Schnipsel oder ein paar Zeilen Code einzuschleusen, mit deren Hilfe eine Verbindung zu einer anderen Website hergestellt wird, von der aus Malware installiert werden kann, dann besteht für alle Besucher Ihrer Website und die zum Zugriff verwendeten Geräte ein Risiko. Dieser Schadcode sucht nach Schwachstellen auf dem Gerät Ihres Besuchers, und falls er eine solche findet, lädt er Malware herunter, um dessen Tastenanschläge aufzuzeichnen, auf Dateien zuzugreifen, das System zu sperren oder die Rechenleistung des Geräts zur Weiterverbreitung von Malware zu nutzen. Zugriff auf die Informationen und die Leistung Ihres Servers Belauschen des Informationsaustauschs zwischen Ihnen und Ihren Besuchern Einschleusen von Malware auf die Geräte Ihrer Besucher 6

7 Das Schlachtfeld ist größer, als Sie denken Website-Schwachstellen sind eine komplexe Angelegenheit und ihre Ausnutzung ist nicht unbedingt trivial. Es gibt jedoch zahlreiche einfallsreiche Internetkriminelle und -banden, die Toolkits entwickeln und verkaufen. Diese Toolkits enthalten Informationen über bekannte Schwachstellen sowie den erforderlichen Code zu deren Ausnutzung und sind sehr weit verbreitet. Das bedeutet, dass eine viel größere Gruppe von technisch weniger begabten Kriminellen durch Kaufen oder Stehlen dieser Toolkits die Fähigkeiten erlangen kann, Ihre Website auszunutzen oder anzugreifen. Im Jahr 2012 war beispielsweise ein einziges Toolkit, das Blackhole-Toolkit, verantwortlich für 41 Prozent aller webbasierten Toolkit-Angriffe. Beispiele aus dem echten Leben Natürlich ist es einfach, ganz abstrakt über Schwachstellen zu reden, aber die Auswirkungen durch webbasierte Angriffe sind nur zu real. Weitere Informationen zur Funktionsweise von Malware finden Sie in unserem Whitepaper How Malware Works 9, aber einige aktuelle Beispiele aus dem echten Leben beweisen, wie gefährlich Schwachstellen für Sie sein können: SQL-Injection-Angriffe. Der letzte Imperva Web Application Attack Report (WAAR) kam zu dem Ergebnis, dass eine typische Webanwendung an 12 Tagen pro Monat mindestens einem Angriffsversuch ausgesetzt war, im schlimmsten Fall jedoch während des sechsmonatigen Beobachtungszeitraums an 176 Tagen mindestens ein Angriff vorkam, d. h. fast täglich. Wir empfehlen daher, dass Unternehmen den schlimmsten Fall als Grundlage für ihre Sicherheitsmaßnahmen verwenden sollten, nicht den Durchschnitt, folgert der Bericht. 10 Unverschlüsselte Daten. Kashmir Hill, eine Reporterin von Forbes, konnte nicht nur eine Liste von Immobilien mit einer bestimmten Markensoftware zur Heimautomatisierung finden, sie konnte diese Software sogar hacken und Elektrogeräte fernsteuern durch eine einfache Google-Suche. Zum Zugriff auf das System waren weder Benutzername noch Kennwort erforderlich, und die Kundenliste war nicht gegen das Crawling durch Suchmaschinen blockiert, daher war sie mit einer schnellen Suche leicht aufzufinden. 11 Zero-Day-Angriffe. Im Mai 2013 wurde eine Zero- Day-Lücke im Linux-Kernel mit möglicherweise katastrophalen Auswirkungen für Web-Hosts bekannt. Sie erforderte systemweite Neustarts, durch die viele Websites ohne Vorwarnung offline gehen mussten. 12 7

8 Die Größe Ihres Unternehmens spielt keine Rolle Obwohl große Unternehmen wahrscheinlich die einträglicheren Opfer sind, bedeutet das nicht, dass kleinere Unternehmen sicher sind. Tatsächlich ergab die Untersuchung von Symantec zum Wissen über Schwachstellen, dass Kleinunternehmer schlechter über die Sicherheit ihrer Website informiert sind als die Inhaber größerer Unternehmen. Dies bedeutet ein erhebliches Risiko für sie, wenn man berücksichtigt, dass sich fast ein Drittel der gezielten Angriffe im Jahr 2012 gegen Unternehmen mit bis zu 250 Angestellten richtete. 13 Auch Personen und Abläufe sind eine Schwachstelle Beim Schutz gegen Website-Schwachstellen sind nicht nur technische Aspekte zu berücksichtigen. Sie müssen alle Angestellten über die Risiken durch Phishing-Angriffe oder Social Engineering aufklären, um den Zugriff auf Server und Content-Management-Systeme zu schützen. Zusätzlich sind strenge Richtlinien für die Aktualisierung von Kennwörtern vonnöten. Symantec verfügt über ein umfassendes Lösungsangebot zur Unterstützung von Unternehmen bei der effizienten Verwaltung ihrer SSL-Zertifikate. Diese Tools helfen Website-Managern, den Überblick über ihre SSL-Zertifikate zu behalten und benachrichtigen sie rechtzeitig über bevorstehende Ablauffristen. Je nach verwendetem Zertifikatstyp bieten sie auch die in diesem Dokument beschriebene Verwaltung von Malware-Scans und automatischen Schwachstellenanalysen. Symantec bietet außerdem Tools wie das Certificate Intelligence Center, das Unternehmen mit einer großen Anzahl an SSL-Zertifikaten bei der Überwachung und Automatisierung der Zertifikatsverwaltung unterstützt. 9 % 2 % 3 % 5 % 1501 bis bis bis bis 500 Zunahme um 13 % 18 % % 2012 bis zu 250 Mitarbeiter Fast ein Drittel der gezielten Angriffe im Jahr 2012 richteten sich gegen Unternehmen mit nur bis zu 250 Mitarbeitern. 8

9 Wissen ist Macht, das gilt auch für Ihre Kunden Ihre Kunden und die Besucher Ihrer Website sind möglicherweise nicht auf dem neuesten Stand in Bezug auf Website-Schwachstellen, aber sie wissen, dass Websites ein erhebliches Risiko für ihre personenbezogenen Daten und Geräte darstellen. Sie suchen nach Anzeichen dafür, dass Sie die Gefahren kennen und alles in Ihrer Macht Stehende tun, um sie zu schützen. Für SSL-Zertifikate mit Extended Validation (EV) beispielsweise müssen Sie und Ihre Website einen gründlichen Authentifizierungsprozess durchlaufen, in dem geprüft wird, dass Sie tatsächlich die Person sind, die Sie zu sein vorgeben. Besucher Ihrer Website sehen den Beweis in Form einer grünen Adressleiste im Browser. Dieses kleine Bestätigungszeichen kann vieles bewirken: EV-gesicherte Websites berichten Steigerungen von zehn Prozent oder mehr beim Durchklickverhalten von Kunden. 14 Identified by Norton Der Symantec WSTR ergab auch, dass im Jahr 2012 mehr Kunden Websites mit Vertrauensmarken wie z. B. dem Norton Secured-Siegel besuchten, der bekanntesten Vertrauensmarke im Internet. 15 Durch Nutzung der Symantec-Technologie Seal-in-Search können Besucher sich noch vor dem Besuch Ihrer Website von deren Sicherheit überzeugen, da Suchmaschinen in Suchergebnissen das Norton Secured-Siegel neben dem Namen Ihrer Website anzeigen. Dies bedeutet, dass Besucher Ihre Seite als vertrauenswürdiger wahrnehmen, noch bevor sie den Link zu Ihrer Website anklicken. Mit dem richtigen Partner sind Sie erfolgreicher Bei Website-Schwachstellen bedeutet Wissen ganz sicher auch Macht. Durch die Wahl des richtigen Sicherheitspartners, der Sie schützt und diese Schwachstellen überwacht, erhalten Sie zusätzliche Schlagkraft gegen Internetkriminelle. Symantec bietet eine umfassende Palette an Website- Sicherheitslösungen, einschließlich EV, einer Auswahl unterschiedlicher Verschlüsselungsalgorithmen, sowie der Prüfung auf Schwachstellen und Malware. Die hohen Standards, die wir für unsere eigene Sicherheit einsetzen, sind der Beweis für unsere Stärke: Wir verwenden z. B. für unsere SSL- und PKI-Infrastruktur KPMG-geprüfte Authentifizierungsprozesse und nach militärischen Maßstäben gesicherte Rechenzentren. Die Malware-Scans von Symantec sind eine nützliche externe Überprüfung und sorgen für einen zweiten Schutzschirm. All dies gehört zum Servicepaket eines Symantec SSL-Zertifikats dazu und unterstützt Sie dabei, die unliebsame Überraschung zu vermeiden, von einer Suchmaschine auf die schwarze Liste gesetzt zu werden. Mit Symantec erhalten Sie einen sachkundigen und gut ausgerüsteten Sicherheitspartner, der für die dauerhafte Absicherung Ihrer Website und des dahinter stehenden Unternehmens sorgen kann. Wenn Sie mehr über die Website-Sicherheitslösungen von Symantec erfahren möchten, besuchen Sie uns im Internet unter 9

10 Verweise 1. Schwachstellenanalyse von Symantec Sie fühlen sich verwundbar? Zu Recht!, 2. The Internet then and now (Das Internet damals und heute) von WhoIsHostingThis? 3. Schwachstellenanalyse von Symantec Sie fühlen sich verwundbar? Zu Recht!, 4. Bericht über Bedrohungen für Websites 2013 von Symantec, 5. Schwachstellenanalyse von Symantec Sie fühlen sich verwundbar? Zu Recht!, 6. Synthesis, WP Sites Under Attack Across the Globe!!! (WP-Sites weltweit im Fadenkreuz!) Facebook verwendet Always-On SSL, Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute (Händler doppelt so oft von SQL-Injection-Angriffen betroffen wie andere Branchen eine Anwendung wurde durchschnittlich 26 Mal pro Minute angegriffen) Hacking Smart Homes (Hackerangriffe auf Smart Homes), Synthesis, How We Kept You Safe During Yesterday s Zero-Day Security Emergency (So haben wir Sie gestern während des Zero-Day- Sicherheitsnotfalls geschützt) Bericht über Bedrohungen für Websites 2013 von Symantec, Online Trust Alliance, Zugriff am 10. September Symantec WSS, eine internationale Online-Verbraucherumfrage: USA, Deutschland, Großbritannien (Juli 2012) 10

11 Über Symantec Zu den Website-Sicherheitslösungen von Symantec gehören neben branchenführendem SSL und Zertifikatsmanagement auch die Schwachstellenanalyse und die Durchsuchung von Websites auf Malware. Das Norton Secured-Siegel und Symantec Seal-in-Search signalisieren Ihren Kunden, dass Ihre Website von der Suche über die Navigation bis hin zum Kauf sicher ist. Weitere Informationen finden Sie auf unserer Website: Schwachstellen, die Ihrer Website Website Security Schaden Threat zufügen Report können 2013