[et_pb_section fb_built=“1″ _builder_version=“3.22″][et_pb_row _builder_version=“3.25″ background_size=“initial“ background_position=“top_left“ background_repeat=“repeat“][et_pb_column type=“4_4″ _builder_version=“3.25″ custom_padding=“|||“ custom_padding__hover=“|||“][et_pb_text _builder_version=“3.27.4″ z_index_tablet=“500″]<\/p>\n
IT-Sicherheit ist nicht erst seit gestern eines der wichtigsten Themen f\u00fcr Unternehmen. Mit Notfallpl\u00e4nen f\u00fcr den Worst Case, Security-Beratung und allerlei Compliance-Richtlinien wird versucht, diesem Thema zu begegnen. Ein sehr einfacher, aber oft vergessener Faktor hierbei ist die eigene Website. Denn 13% der F\u00e4lle von gravierenden Sicherheitsvorf\u00e4llen entstehen durch das Hacking von unsicheren Unternehmenswebsites.<\/p>\n
Die aktuelle YouGov-Studie zum Thema IT-Sicherheit kommt trotzdem zu einem ern\u00fcchternden Ergebnis: 39% der befragten IT-Verantwortlichen halten ihre Website nur f\u00fcr teilweise sicher und 11% sehen sie als unsicher an. Wir zeigen Ihnen die f\u00fcnf wichtigsten Faktoren, die ein Sicherheitsrisiko darstellen, und Ans\u00e4tze, wie sie dagegen vorgehen k\u00f6nnen.<\/p>\n
Injection-Schwachstellen beziehen sich auf SQL-, OS- oder LDAP-Injection. Dabei werden nicht vertrauensw\u00fcrdige Daten von einem Interpreter als Abfrage oder Teil eines Kommandos verarbeitet. Dadurch k\u00f6nnen Angreifer die Eingabedaten so manipulieren, dass nicht vorhergesehene Kommandos ausgef\u00fchrt oder ohne Autorisierung auf Daten zugegriffen werden kann.<\/p>\n
Dieses Problem betrifft vor allem Schnittstellen und kann gel\u00f6st werden, indem eine sichere API verwendet wird. Diese muss die direkte Nutzung des Interpreters unterbinden bzw. nur typgebunde Nutzung erlauben. Ein Whitelisting-Ansatz ist hier ein sicherer Weg. Dabei sind nur bestimmte Funktionen erlaubt und die restlichen gesperrt. Zus\u00e4tzlich k\u00f6nnen Sie sich absichern, indem Sie sicherstellen, dass Nutzerdaten entsprechend validiert und gefiltert werden oder durch eine entsprechende Sanitizer-Funktion laufen.<\/p>\n
Anwendungsfunktionen zur Authentifizierung und f\u00fcr das Session-Management sind die zweite gro\u00dfe Schwachstelle vieler Websites. Durch eine falsche Implementierung k\u00f6nnen Angreifer Passw\u00f6rter und Session-Token manipulieren. Dies f\u00fchrt dazu, dass sie die Identit\u00e4t anderer Benutzer annehmen k\u00f6nnen. So k\u00f6nnen sie sich vor\u00fcbergehend oder dauerhaft als ein anderer Nutzer ausgeben und dadurch unter Umst\u00e4nden Zugriff auf ihr Backend erhalten. Auch der Zugriff auf andere sensible Daten Ihres Unternehmens oder Ihrer Nutzer ist denkbar.<\/p>\n
Implementieren Sie eine Zwei- oder Mehrfaktor-Autorisierung f\u00fcr Ihre Nutzer. Insbesondere Benutzer mit administrativen Rechten gilt es hier zu sch\u00fctzen, da dadurch der gr\u00f6\u00dfte Schaden entstehen kann. Lassen Sie au\u00dferdem keine „Standardbenutzer“ anlegen bzw. bitten Sie Ihren Administrator oder Dienstleister, diese zu l\u00f6schen. Insbesondere Benutzernamen wie „Admin“ oder „Administrator“ mit beispielsweise dem Unternehmensnamen als Passwort sind dringend zu vermeiden.<\/p>\n
Sensible Daten wie Finanz- oder Kundendaten oder personenbezogene Informationen m\u00fcssen besonders gesch\u00fctzt werden. Durch das Auslesen oder Modifizieren dieser Daten k\u00f6nnen Angreifer Identit\u00e4tsdiebstahl oder Kreditkartenbetrug begehen. Meistens liegt das Problem hierbei in der unzureichenden Verschl\u00fcsselung der Daten. Aber auch F\u00e4lle, in denen Angreifer die entsprechenden Schl\u00fcssel stehlen konnten, sind vorgekommen.<\/p>\n
Die L\u00f6sung hierf\u00fcr ist relativ simpel: Speichern und \u00fcbertragen Sie niemals Daten in Klartext, also unverschl\u00fcsselt. Diese Regel klingt sehr einfach. Allerdings kommt es regelm\u00e4\u00dfig auch bei gro\u00dfen Unternehmen vor, dass Benutzerdaten und \u2013Passw\u00f6rter als Klartext in Textdateien gespeichert werden. Dies ist in den letzten Jahren unter anderem Facebook und Sony passiert.<\/p>\n
Bei der Verschl\u00fcsselung sollten Sie sichere Methoden und Algorithmen verwenden (z.B. BSI TR-02102). Auch verschiedene Sicherheitsstufen f\u00fcr unterschiedlich sensible Daten und entsprechend unterschiedliche Sicherungsverfahren k\u00f6nnen helfen, Angreifer abzuwehren.<\/p>\n
XML-Verarbeiter k\u00f6nnen von Angreifern verwendet werden, wenn diese XML direkt hochladen k\u00f6nnen. Auch die Aufnahme sch\u00e4dlicher Inhalte oder die Ver\u00e4nderung von normalerweise unbedenklichen XML-Dateien bietet Angriffsfl\u00e4chen. Hierzu wird entsprechend anf\u00e4lliger Code manipuliert oder Abh\u00e4ngigkeiten und Integrationen ausgenutzt. Insbesondere bei \u00e4lteren XML-Prozessoren ist die Spezifikation einer externen Entit\u00e4t standardm\u00e4\u00dfig erlaubt. Auch hier gilt es also, Ihr System m\u00f6glichst aktuell zu halten.<\/p>\n
Mit sogenannten SAST-Tools k\u00f6nnen Sie erkennen, inwiefern Schwachstellen vorhanden sind, da diese die Abh\u00e4ngigkeiten und Konfigurationen der XML-Verarbeitung erkennen. Diese sind den sogenannten DAST-Tools deutlich \u00fcberlegen, da diese zus\u00e4tzliche manuellen Schritte erfordern, um Probleme zu erkennen. Hierzu m\u00fcssen auch Ihre Anwender geschult werden. Deshalb sind die \u00dcberpr\u00fcfung Ihrer XML-Verarbeiter durch SAST-Tools und die regelm\u00e4\u00dfige Aktualisierung Ihrer Webanwendungen unverzichtbar, um Ihre Websites vor XML-Uploads zu sch\u00fctzen.<\/p>\n
Zugangskontrollen, zum Beispiel zu Ihrem Backend oder gesch\u00fctzten Kundenbereichen sind nat\u00fcrlich unabdingbar. Auch hier k\u00f6nnen Sie mit SAST- oder DAST-Tools fehlende Kontrollmechanismen erkennen. Allerdings k\u00f6nnen Sie damit nicht \u00fcberpr\u00fcfen, ob bestehende Kontrollen korrekt funktionieren. Je nach verwendetem Framework k\u00f6nnen Sie das allerdings automatisch erkennen lassen. Diese automatische Erkennung zusammen mit entsprechenden Funktionstests fehlt allerdings oftmals, insbesondere bei noch in der Entwicklung befindlichen Anwendungen.<\/p>\n
Um diese Angriffe zu verhindern, m\u00fcssen Sie Ihre Zugriffskontrollen wirksam und nicht-manipulierbar gestalten. Hierzu muss diese entweder im vertrauensw\u00fcrdigen serverseitigen Code oder \u00fcber eine Serverless API betrieben werden. Nur dann ist sichergestellt, dass potentielle Angreifer diese Pr\u00fcfung und die dazu verwendeten Metadaten nicht manipulieren k\u00f6nnen. Auch die standardm\u00e4\u00dfige Verweigerung aller Zugriffe, au\u00dfer auf eindeutig \u00f6ffentliche Ressourcen ist eine M\u00f6glichkeit, diese Gefahr einzud\u00e4mmen. Schlussendlich eignen sich allerdings manuelle Tests am besten, um m\u00f6glicherweise unsichere Zugriffskontrollen zu erkennen. Hierzu k\u00f6nnen HTTP-Methoden (GET, PUT, etc.) Controller oder direkte Objektreferenzen verwendet werden.<\/p>\n
Mit diesen 5 Tipps k\u00f6nnen Sie bereits einen Gro\u00dfteil der \u00fcblichen Schwachstellen von Websites und Webanwendundungen beheben bzw. ausschlie\u00dfen. Besprechen Sie diese Themen am besten mit Ihrem Webseitenverantwortlichen. Stellen Sie sicher, dass Ihre Systeme jederzeit auf dem neuesten technischen Stand sind. Nur so k\u00f6nnen Sie potentiellen Angreifern einen Schritt voraus sein. Denn insbesondere weit verbreitete Entwicklungsumgebungen und Frameworks werden von Hacking-Experten ausgiebig auf potentielle Schwachstellen \u00fcberpr\u00fcft. Dies erspart Ihnen den Aufwand der manuellen Schwachstellenfindung.<\/p>\n
[\/et_pb_text][et_pb_text _builder_version=“3.27.4″ z_index_tablet=“500″]<\/p>\n
Sicherheit nicht nur f\u00fcr Ihre Website, sondern Ihre ganze IT-Infrastruktur?<\/p>\n
[\/et_pb_text][et_pb_button button_url=“https:\/\/www.it-services-mittelstand.de\/it-security\/“ url_new_window=“on“ button_text=“Jetzt beraten lassen!“ button_alignment=“center“ _builder_version=“3.22.7″ custom_button=“on“ button_bg_color=“#ff9b00″ button_border_width=“0″ background_layout=“dark“ z_index_tablet=“500″ button_text_size__hover_enabled=“off“ button_text_size__hover=“null“ button_one_text_size__hover_enabled=“off“ button_one_text_size__hover=“null“ button_two_text_size__hover_enabled=“off“ button_two_text_size__hover=“null“ button_text_color__hover_enabled=“off“ button_text_color__hover=“null“ button_one_text_color__hover_enabled=“off“ button_one_text_color__hover=“null“ button_two_text_color__hover_enabled=“off“ button_two_text_color__hover=“null“ button_border_width__hover_enabled=“off“ button_border_width__hover=“null“ button_one_border_width__hover_enabled=“off“ button_one_border_width__hover=“null“ button_two_border_width__hover_enabled=“off“ button_two_border_width__hover=“null“ button_border_color__hover_enabled=“off“ button_border_color__hover=“null“ button_one_border_color__hover_enabled=“off“ button_one_border_color__hover=“null“ button_two_border_color__hover_enabled=“off“ button_two_border_color__hover=“null“ button_border_radius__hover_enabled=“off“ button_border_radius__hover=“null“ button_one_border_radius__hover_enabled=“off“ button_one_border_radius__hover=“null“ button_two_border_radius__hover_enabled=“off“ button_two_border_radius__hover=“null“ button_letter_spacing__hover_enabled=“off“ button_letter_spacing__hover=“null“ button_one_letter_spacing__hover_enabled=“off“ button_one_letter_spacing__hover=“null“ button_two_letter_spacing__hover_enabled=“off“ button_two_letter_spacing__hover=“null“ button_bg_color__hover_enabled=“off“ button_bg_color__hover=“null“ button_one_bg_color__hover_enabled=“off“ button_one_bg_color__hover=“null“ button_two_bg_color__hover_enabled=“off“ button_two_bg_color__hover=“null“][\/et_pb_button][\/et_pb_column][\/et_pb_row][\/et_pb_section]<\/p>\n","protected":false},"excerpt":{"rendered":"
IT-Sicherheit ist nicht erst seit gestern eines der wichtigsten Themen f\u00fcr Unternehmen. Mit Notfallpl\u00e4nen f\u00fcr den Worst Case, Security-Beratung und allerlei Compliance-Richtlinien wird versucht, diesem Thema zu begegnen. Ein sehr einfacher, aber oft vergessener Faktor hierbei ist die eigene Website. Denn 13% der F\u00e4lle von gravierenden Sicherheitsvorf\u00e4llen entstehen durch das Hacking von unsicheren Unternehmenswebsites. Die […]<\/p>\n","protected":false},"author":3,"featured_media":5546,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"on","_et_pb_old_content":"","_et_gb_content_width":"","content-type":"","footnotes":""},"categories":[3],"tags":[74,63],"_links":{"self":[{"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/posts\/5545"}],"collection":[{"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/comments?post=5545"}],"version-history":[{"count":4,"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/posts\/5545\/revisions"}],"predecessor-version":[{"id":6567,"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/posts\/5545\/revisions\/6567"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/media\/5546"}],"wp:attachment":[{"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/media?parent=5545"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/categories?post=5545"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.abilis.de\/blog\/wp-json\/wp\/v2\/tags?post=5545"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}