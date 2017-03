Die Google Kampagne #NoHacked hat das Thema Website-Sicherheit zum Thema. Im Rahmen eines Rückblicks auf die Arbeit der Kampagne im letzten Jahr, wurden im Google Webmaster Central Blog auch Zahlen rund um das Thema geliefert, die nicht besonders gut ausfallen. Um 32% hat sich die Zahl der gehackten Websites von 2015 auf 2016 erhöht. Man rechnet bei Google nicht damit, dass sich dieser Trend verlangsamen würde. Hier kämen immer aggressivere Angreifer und eine immer größere Zahl nicht aktueller Websites zusammen, was eher dazu führen dürfte, dass es in dem Tempo weiter gehen würde.

Als positiv bewertet Google, dass 84% der vom Suchmaschinenriesen über einen Hack informierten Sitebetreiber, ihre Website ordentlich aufräumen und säubern. Problematisch ist aber, dass Google nur diejenigen Websitebetreiber informiert, die ihre Site über die Google Search Console angemeldet und verifiziert haben. Dadurch konnten 61% der Betreiber gehackter Websites von Google gar nicht erst informiert werden. Tatsächlich ist eine Verifizierung der eigenen Site bei Google also nicht nur aus Gründen der Suchmaschinenoptimierung sinnvoll, sondern auch eine ergänzende Maßnahme, wenn es um die Sicherheit der Website geht.

Um betroffenen Websitebetreibern zu unterstützen, hat Google auch die entsprechenden Dokumentationen überarbeitet und neue Dokumente veröffentlicht, zum Beispiel zu den meistgenutzten Angriffswegen bei Attacken auf Websites. Wenig überraschend, ist hier „veraltete Software“ vorne mit dabei.

Einladung an Angreifer:

BSI: Über 20.000 veraltete ownCloud- und Nextcloud-Installationen

Tatsächlich machen Websitebetreiber es Angreifern auch viel zu oft viel zu leicht. Zum Beispiel das Passwort-Recycling: Immer wieder wird deutlich gesagt, dass man immer für jeden Dienst ein eigenes Passwort nutzen sollte, damit nicht andere Zugänge kompromittiert werden, falls ein Passwort bei einem Angriff geknackt werden sollte. Die Unsitte stirbt nicht aus, ein einziges Passwort, womöglich noch ein leicht zu erratendes, für mehrere Dienste zu nutzen.

Und dann natürlich das Thema Updates. Schon wieder. Das BSI informierte erst vor einigen Tagen über ein großes Problem mit fehlenden Updates bei ownCloud- und Nextcloud-Installationen, aber das Problem betrifft ja nicht nur diese. Auch bei Content-Management-Systemen schlampen Sitebetreiber viel zu oft, wenn es um Updates geht. Ein spezielles Problem stellt hier natürlich auch die große Verbreitung von WordPress dar, die frühere Blog-Software dürfte mit zu den lohnendsten Zielen für automatisierte Angriffe gehören. Aber zum Beispiel auch Joomla oder Drupal fallen hier regelmäßig auf. Allen drei Systemen gemeinsam sind die Erweiterungen, die das Basissystem oftmals nicht nur um zusätzliche Funktionen, sondern auch Sicherheitslücken ergänzen. Wenn dann dazu noch updatefaule Betreiber kommen, dann hat man das perfekte Biotop für Angriffe.

Persönlich erschreckend fand ich übrigens die Vielzahl an Fragen in WordPress-Foren, die nach der Einführung des automatischen Updates bei Sicherheitsproblemen für das WordPress-Grundsystem, die Frage behandelten, wie man diese automatischen Updates denn deaktivieren könne. Man habe Änderungen am Core-System gemacht habe, die bei so einen Update möglicherweise überschrieben würden.

Gerade WordPress und Joomla werden immer wieder für Anfänger empfohlen, was ja auch nicht ganz verkehrt ist: Eine simple Website kann man mit beiden Systemen schnell aufsetzen, Funktionen und das Layout per Plugins und Themes nachrüsten ohne eine Zeile PHP-Code schreiben zu müssen und das Pflegen von Inhalten ist nach sehr kurzer Einarbeitung möglich. Auf der anderen Seite fehlt eben vielen Anfängern einfach der technische Hintergrund zu wissen, was sie da eigentlich installieren.