10 Gründe warum Ihre Website gehackt wird
Eigentlich ist alles ganz einfach: Sie updaten alle Softwarekomponenten Ihrer Webseite zeitnah, nachdem ein Sicherheitspatch dafür veröffentlicht wurde. Tun Sie das nicht, wird Ihre Webseite gehackt und missbraucht. Früher oder später garantiert und ohne Ausnahme. Der Schaden ist in der Regel unüberschaubar.
Die meisten Firmen sind sich dessen nicht bewusst, dass sie ohne schnelle Sicherheitsupdates in Ihrer Web-Infrastruktur bald infiltriert sind.
Wir haben in den letzten Jahren viele hundert Webprojekte übernommen, im Hosting, in der Maintenance oder für einen Relaunch. Die Update-Situation war in der Regel – gelinde gesagt – verbesserungsbedürftig. Fünf Jahre alte Redaktionssysteme waren keine Seltenheit, die Server in der Regel ungepatched. Aber das Schlimmste ist hier die Unwissenheit des Kunden. Die Erwartungshaltung ist zwar immer, ein sicheres System zu haben. Die Bereitschaft, dafür Geld auszugeben, ist aber noch nicht gelernt. Die vorherige Agentur hat mit Update-Empfehlungen beim Redaktionssystem schnell aufgegeben und von der Serversoftware keinen wirklichen Plan.
Das Worstcase-Szenario wird von allen Beteiligten stillschweigend in Kauf genommen. Drauf angesprochen heißt es dann:
Wir spielen dann ein Backup ein, und alles ist wieder gut.
Kaum jemand hat eine wirkliche Vorstellung, was die Konsequenz eines Hacks sein kann. In der Regel ist ein Hack aber ein Totalschaden, von dem man niemals sicher sein kann, dass er je wieder zu 100 % repariert ist.
Wer soll uns denn schaden wollen? Bei uns ist doch gar nichts zu holen!
Hacker verdienen Geld mit Ihrem Server
Ein Hacker bricht heute nicht mehr zwingend auf einem Server ein, er bricht in eine Sicherheitslücke ein. Und das am besten parallel auf 1.000.000 Servern. Vollautomatisiert, wenige Tage oder gar wenige Stunden nachdem das Sicherheitsupdate herauskam und der Hacker dieses analysiert beziehungsweise reverse engineert hat. Er schreibt sich ein Roboterscript, das erledigt die Arbeit für ihn. 20-30 % aller Webseitenaufrufe sind heute von Robots – und das sind nicht nur die von Google und Bing.
Es spielt also gar keine Rolle, dass auf dem Server aus Kundensicht gar nichts Verwertbares drauf ist. Das vorher zu prüfen, ist dem Hacker viel zu aufwendig.
Wir mussten lernen, dass unsere Kunden die Tragweite und die reale Gefahr erst beurteilen können, wenn sie verstehen, warum ein Hacker überhaupt Webserver hackt. Der Hacker will in der Regel nur eins: Geld verdienen. Dazu verkauft er Serverinhalte oder vermietet Serverleistung an andere Hacker. Nicht einzeln sondern im Bündel von 1.000 bis 5.000.000 Servern. Ich habe daher ohne Anspruch auf Vollständigkeit einmal 10 Gründe aufgeschrieben, wozu jemand diese Hacker-Dienstleistung in Anspruch nimmt.
#1 Kundendaten
Die eigentlichen Kundendaten können irrelevant sein. Zum Beispiel wird dort nur gespeichert ob ein Newsletterabo vorliegt oder nicht. Aber eine Kombination aus Usernamen und Passwörtern ist immer ein schöner Fund für Hacker. Denn er kann diese dann auf anderen relevanten Seiten ausprobieren. So wird ein Paypalkonto gehackt, weil auf einer gehackten Webseite die Anmeldedaten dazu identisch waren. Menschen benutzen viel zu oft dasselbe Passwort.
#2 Hacken um andere zu hacken
Ein Server wird benutzt, um weitere Server zu hacken. Ziel ist meistens, die Rückverfolgung zu erschweren. Wenn zum Beispiel das Weiße Haus gehackt wird, dann könnte die NSA nur sehen, von welchem Rechner der Hack direkt kam. Sprich, Ihr Webserver hat dann im Zweifel das Weiße Haus gehackt.
#3 Drive-by-Hack
Hacker mieten gehijackte Server, um Viren über die dortigen Webseiten verbreiten zu können. Es wird in diesem Fall ein Schadcode hinterlegt, mit dem sich die Besucher der Seiten einen Virus einfangen.
#4 DDoS-Attacken
DDoS-Attacken von vielen hackten Servern auf ein Ziel legen Webserver oder ganze Netzwerke lahm. Das kommt einem Stromausschalten gleich. Es werden so viele Anfragen generiert, dass der Zielserver keine mehr beantworten kann. Überlastung.
Hacker tun dies im Auftrag, um zum Beispiel den Shop eines Konkurrenten auszuschalten. Dieser verliert dann Umsatz, Kundenvertrauen und Google-Ranking.
Automatisiert gekaperte Server werden zum Teil über APIs für solche Attacken zur Verfügung gestellt.
#5 Viagra-Links
Der Hacker bekommt Geld für Traffic auf die Seiten seiner Kunden, das heißt, für die Anzahl der Klicks.
Er verändert hierfür Verlinkungen. Teilweise passiert dies offensichtlich oder sehr gut versteckt, wenn zum Beispiel nur ein Teil der Anfragen umgelegt wird. Dann werden die falschen Links eventuell erst viel später bemerkt.
Ein Krankenhaus kam einmal auf uns zu:
„Irgendwie stimmt was mit dem Google nicht. Immer wenn wir über Google unsere Seite suchen, finden wir dort Viagra-Hinweise. Aber auf unserer Seite ist alles korrekt.“
#6 SEO-Hack
Mit Hilfe seiner eroberten Server macht der Hacker SEO-Optimierung für seine Kunden. Er bringt unsichtbar zum Beispiel Viagra-Links auf der Webseite an, die nur für Suchmaschinen sichtbar sind. Er erhöht damit die Anzahl externer Links auf den Zielserver und damit das Ranking für die Seite seines Kunden. Und er wird dafür bezahlt.
#7 Spam-Mails
Vertrauenswürdige Server, die Mails versenden, lassen sich gut verkaufen. Die gehackten Server generieren so Einnahmen pro Minute durch Spam-Versand.
Eine Formel-1-Rennstrecke kam beispielsweise auf uns zu, weil sie immer auf Anti-Spam-Blacklists landeten. Sie konnten keine Mails verschicken, da sie geblockt waren.
Anstatt aber nach den Gründen zu forschen, hat sich der Admin nur aufwändig darum gekümmert, immer wieder von diesen Blacklists gelöscht zu werden. Am Ende kam heraus, dass mehrere 100 Millionen Mails über seinen Server versendet wurden.
#8 Bitcoins schürfen
Hacker nutzen die Server in ihrer Gewalt, um mit diesen Serverfarmen Bitcoins selbst zu erstellen: Der Stromverbrauch des gehackten Servers steigt, seine Rechenleistung sinkt.
#9 Peer-to-Peer zu illegalen Tauschbörsen
Der gehackte Server wird für Bereitstellung illegaler Downloads/Filme genutzt.
Wir hatten mal ein Bankhaus, das auf uns zukam, weil ihre Seite so langsam war. Wir haben das System zuerst auf unseren eigenen Servern getestet, alles war in Ordnung.
Eine Netzwerktraffic-Analyse deckte auf: Auf dem Server lagen Filme einer Tauschplattform, 95 % des Serverplatzes waren belegt, 100 % der Bandbreite wurde für die Filme benutzt.
#10 Tor-Exitnode
Das Ziel des Tor-Netzwerks ist, anonymes Surfen möglich zu machen. Jeder kann es für unterschiedliche Dinge nutzen – aber eben auch, um strafrechtlich nicht verfolgt zu werden. Der Austrittspunkt ist ein Schwachpunkt von Tor. Stellt jemand einen Austrittspunkt für das Tor-Netzwerk zur Verfügung, kann er Startpunkt für strafrechtliche Ermittlungen werden. Hacker schaffen mit infiltrierten Servern Austrittspunkte, die nicht freiwillig zur Verfügung gestellt werden und haben zusätzlich noch die Möglichkeit den ausgehenden Traffic zu manipulieren.
Wo sind die Angriffsflächen?
- Der Server und seine Dienste: z.B. PHP, Java, MySQL etc.
- Jede Websoftware hat potenzielle Sicherheitslücken
Was können Sie tun?
- Sorgen Sie zügig für ein Update der Websoftware, sobald eine neue Version zur Verfügung steht
- Halten Sie den oder die Server und ihre Dienste aktuell
- Stellen Sie sicher, dass eine Webapplication-Firewall aktiv ist
- Testen Sie regelmäßig die Wasserdichtigkeit Ihrer Formulare mit Intrusion-Tests durch eine qualifizierte Agentur
- Regelmäßige Penetrationtests durch dieselbe Agentur decken rechtzeitig Sicherheitslücken auf, bevor es ein Hacker tut
- Ein SSL-Zertifikat gehört inzwischen zum Pflichtinventar, und es schützt die Datenübertragung