IT-Sicherheit & Website Security ist nicht nur ein großes Thema – sondern es wird auch immer präsenter. Mittlerweile machen täglich Nachrichten die Runde, dass es mal wieder einen Datendiebstahl gab, eine Sicherheitslücke aufgetaucht ist oder es findet ein Defacement einer Website statt. Über letzteres wird nur dann berichtet, wenn das Opfer ausreichend prominent ist.
Webseitenbetreiber haben jedoch selten die nötigen Kenntnisse, die Webpräsenz vor Hackern zu härten. Im ersten Schritt gibt es aber für kleine und große Unternehmen die gleichen Tools. Auf der einen Seite gibt es die aktiven Scanner, wie z.B. das Mozilla Obversatory.
Auf der anderen Seite gibt es aber auch Werkzeuge von Internetriesen wie z.B. die Google Search Console, die einem einen kontinuierlichen Blick auf die Website verschaffen. Vor allem dann, wenn etwas nicht stimmt. Die Einschätzung von Cyber Risiken sollten sich besonders geschäftsführende Personen zu Eigen machen.
Sicherheitsprobleme mit Mozilla Obversatory aufdecken
Bekannt ist Mozilla vor allem wegen Firefox – dem Web Browser. Doch die Organisation rund um Firefox stellt viele weitere Werkzeuge bereit, um die Sicherheit und Privatsphäre zu erhöhen. Mozilla Observatory ist eines davon und erlaubt es jede beliebige Website zur Überprüfung einzureichen.
Nach wenigen Sekunden hat man die Ergebnisse der Analyse. Hierbei werden vielerlei Dinge überprüft. Folgende Ergebnisse sind bei der Analyse des technique-blog.de herausgekommen:
Seit der Einführung der Datenschutzgrundverordnung ist z.B. die Anzahl der Cookies interessant. Gerade dann, wenn der Zähler “0” erreicht, ist kein Cookie-Banner notwendig. Aber auch die anderen Erkenntnisse erhöhen das Sicherheitsniveau einer Website. Durch diese Liste kann man sich peu à peu durcharbeiten, etwas lernen und außerdem die Sicherheit der Website steigern. Das besondere an dem Observatory von Mozilla ist, dass dort mehrere Website Security Analysetools zum tragen kommen. So wird z.B. das ausgestellte Zertifikat, welches eine verschlüsselte Verbindung ermöglicht, untersucht. Aber auch externe Scanner werden angestoßen.
Die Ergebnisse der anderen Scanner werden einem unkompliziert in einer Art Notensystem angezeigt. Interessiert man sich für ausführlichere Ergebnisse der Analysen, dann hat man die Möglichkeit diese durch einen Klick anzusehen.
Tendenziell werden Websites eher schlecht als gut gerankt. Erst wenn man gute Schritte in Sachen Website Security getan hat, lassen sich die ersten Punkte verzeichnen. Neben den Problemen erteilt die Plattform auch umfangreiche Vorschläge und Handlungsempfehlungen. Nach und nach sollte man die eigene Website durch den Scanner überprüfen lassen, die Ergebnisse abwarten und Fortschritte verzeichnen. Diese Scanner kann jeder für Ihre Website verwenden. Probleme die auf dieser Ebene also aufgedeckt werden, sind für jeden offensichtlich. Wenn Sie Ihre Website oder Web App tiefergehend analysieren und schützen lassen wollen, ist ein Penetrationstest das Mittel der Wahl.
Schnittstellen und komplexere Anwendungen können und werden an dieser Stelle nicht vom Mozilla Observatory untersucht. Wer also eine umfangreiche Web Anwendung hat und die Schnittstellen (API) untersuchen lassen will, der sollte hier auf einen professionellen Anbieter zurückgreifen.
Website Security mit der Google Search Console feststellen
Die Google Search Console ist ein beliebtes Werkzeug für Webmaster. Im ersten Schritt muss bestätigt werden, dass man Eigentümer der Website ist. Das wird durch ein HTML Tag, DNS Eintrag oder ähnliche, typische Vorgehensweisen verifiziert. Ist das geschafft, verrät euch Google vor allem, über welche Suchbegriffe die Nutzer zu der eingetragenen Website gelangen.
Suchmaschinen Analyse & Warnungen im Dashboard der Search Console
Die Google Search Console ist das Werkzeug für Webmaster. Mit diesem Tool hat man die Möglichkeit, seine Website bei dem Suchmaschinenkonzern einzureichen. Dies hat diverse Vorteile:
- Über welche Keywords kommen Besucher auf meine Seite?
- Für welche Keywords rankt meine Seite generell?
- Wie oft wurde meine Website eingeblendet?
- Wie viele Seiten meiner Website befinden sich im Index von Google?
- usw. usf.
Es ist also ein durchaus nützliches Tool, wenn man bedenkt dass Google ein beinahe Monopol in Europa besitzt. Gute Rankings bei Google sprechen häufig für eine hohe Besucheranzahl.
Hinter den wenigen Menüpunkten halten sich allerlei Statistiken zu Eurer Website bereit. Diese werden jedoch erst aufgezeichnet, sobald ihr damit begonnen habt, die Website bei Google einzureichen. Die Daten reichen 90 Tage zurück – es ist daher sinnvoll, falls ihr einen Rückblick über einen längeren Zeitraum haben wollt, zu speichern. Diese Informationen sind aus Marketingsicht höchstinteressant, mit Blick auf die Suchmaschinenoptimierung. Es hilft einem bis zu diesem Punkt jedoch wenig bei der Sicherheit der Website. Doch auch dafür hält die Google Search Console Informationen bereit – nämlich dann, wenn diese Fälle eintreten. So ein Fall tritt ein, wenn die Website Malware verteilt.
Die Search Console verrät Euch mehr über Sicherheitslücken!
Die Safe Browsing Engine spielt dabei eine zentrale Rolle bei der Entdeckung von Sicherheitsprobleme. Ist Ihre Website betroffen, dann erhalten Sie unverzüglich eine Nachricht in der Google Search Console. Bislang wurde dort mitgeteilt, dass es Sicherheitsprobleme auf Eurer Website gibt. Google will den Webmastern nun entgegenkommen und detailliertere Informationen zu Sicherheitsproblemen liefern. Dabei wird die Search Console um vier Kategorien erweitert:
- Malware
- Deceptive Pages
- Harmful Downloads
- Uncommon Downloads
So kann die Sicherheit einer Website festgestellt werden. Bei auftauchenden Probleme ist also die Google Search Console ein gutes Mittel, um diesen Status festzustellen. Für weiterführende Website Security sollten kostenfreie Scanner wie z.B. das Mozilla Observatory in Anspruch genommen werden. Gerade für klein- und mittelständische Unternehmen sind diese Werkzeuge viel wert. Studien haben ergeben, dass jede zweite Firmenwebsite Sicherheitslücken aufweist.