Dipl.-Inform. Carsten Eilers

Egal wie sich die Hackergruppen auch nennen, zur Zeit wird ja wohl alles gehackt, was sich hacken lässt und sich irgendwie unbeliebt gemacht hat oder interessante Daten verspricht. Egal ob Unternehmen oder Behörde, kein Server ist vor Angriffen sicher. Vorerst scheinen sich die Angriffe auf prominente Unternehmen zu konzentrieren, aber es gibt keine Garantie, dass das 1. so bleibt und das nicht 2. weitere Hacker auf den Zug aufspringen und ihrerseits ihre Fähigkeiten beweisen wollen. Und dann kann es jede Website treffen. Würde Ihre Website einem Angriff widerstehen?

Kleine Ursache, große Wirkung

Es ist nicht in jedem Fall bekannt, wie der Angriff erfolgte. Im Fall der Angriffe auf Sony wurden u.a. altbekannte und nicht gepatchte Schwachstellen ausgenutzt sowie SQL-Injection-Angriffe durchgeführt. Und bei der Citibank reichte schon die Manipulation eines URL-Parameters, um Zugriff auf Kundendaten zu erlangen. Solche Fehler und Schwachstellen müssen nun wirklich nicht sein.

Selber machen?

Sie können Ihren Webserver und Ihre Webanwendung(en) zumindest theoretisch selbst auf Schwachstellen testen. Wie, habe ich zumindest teilweise in About Security #144 ff. beschrieben, eine Übersicht aller Folgen finden Sie hier. Etliches fehlt natürlich, es konnten weder alle möglichen Tests noch alle möglichen Schwachstellen behandelt werden, aber sie erhalten zumindest einen Überblick über Umfang und Ablauf von Schwachstellentests.

Viel Routineaufgaben können Ihnen verschiedene Tools abnehmen, und ein Test mit solchen Tools kann nie schaden. Zwar finden die nicht alle Schwachstellen, und nicht jede gefundene "Schwachstelle" ist wirklich eine, aber: Das, was ein Tool finden kann, findet früher oder später auch ein Hacker. Spätestens, wenn einer mit dem entsprechenden Tool Ihre Website auf mögliche Angriffspunkte prüft.

Besser machen lassen!

Wie Sie schon am Umfang der Beschreibungen erkennen können, ist die Suche nach Schwachstellen nicht mal so eben nebenbei erledigt. Und wenn Sie sich als Neuling auch noch erst in die Grundlagen einarbeiten müssen, dauert es noch länger, und ob sie alle Schwachstellen finden, ist auch zweifelhaft. Daher sollten Sie im Zweifelsfall jemanden damit beauftragen, der sich damit auskennt. Ist ein "Mich zum Beispiel" nun aufdringliche Werbung oder nur ein Hinweis auf einen sowieso bekannten Punkt? Aber ich schweife ab, denn viel wichtiger ist die Frage nach dem "Zweifelsfall". Wann ist es besser, einen Fachmann zu Rate zu ziehen und wann kann man die Schwachstellen auch selbst suchen?

Voraussetzung für eigene Tests sind entsprechende Grundkenntnisse. Wenn Sie sich schon mit Webserver und -anwendung nicht auskennen, ist ein eigener Test zwecklos. Kennen Sie sich damit gut genug aus, überlegen Sie sich einfach, wie schlimm ein Angriff werden kann. Haben Sie Kundendaten oder überhaupt vertrauliche Daten gespeichert, auf die ein Angreifer Zugriff erlangen könnte? Stellt Ihre Website Funktionen bereit, bei deren Missbrauch Ihnen Schaden entsteht, z.B. einen Webshop? Dann würde ich an Ihrer Stelle nicht zögern und einen professionellen Test in Auftrag geben, sofern das nicht bereits geschehen ist.

Oder handelt es sich "nur" um eine Website mit sowieso öffentlichen Daten? Ein gutes Beispiel dafür ist eine Website, die "nur" ein Blog enthält. Da gibt es, sofern es keine registrierten Kommentatoren etc. gibt, für einen Angreifer wenig zu holen. Ein Defacement wäre natürlich peinlich, und wenn das Blog für Drive-by-Infektionen präpariert wird, ist ein Angriff auch für die Besucher gefährlich, aber auszuspähende vertrauliche Daten gibt es nicht. Wenn Sie es sich wirklich zutrauen, können Sie so eine Anwendung erst mal selbst testen und erst im Zweifelsfall einen Spezialisten zu Rate ziehen.

Handelt es sich dann noch um eine Standard-Blog-Software wie z.B. das auch hier verwendete Serendipity, müssen Sie im Grunde "nur" sicher stellen, dass sich sowohl Blog-Software und alle Plugins als auch System samt Webserver etc. auf aktuellem Stand befinden und sicher konfiguriert sind. In vielen Fällen entfällt letzteres sogar, weil sich darum der Hoster kümmert. Wenn die Blog-Software weit verbreitet ist, kann man eigentlich davon ausgehen, dass sie ziemlich sicher ist und alle evtl. vorhandenen Schwachstellen bereits gefunden und behoben wurden. Wenn Sie davon überzeugt sind, alles richtig konfiguriert zu haben, können Sie auf einen Test verzichten.

Ein Test ist nicht genug

Falls Ihre Website schon vor einiger Zeit auf Schwachstellen getestet wurde und evtl. gefundene Schwachstellen behoben sind, ist ja alles in Ordnung. Denken Sie vermutlich. Leider ist das i.A. nicht der Fall.

Zum einen kann jede spätere Änderung an der Webanwendung zu neuen Schwachstellen führen, zum anderen werden auch immer wieder neue Angriffsmöglichkeiten entdeckt. Ich erinnere nur ans Clickjacking und Likejacking - entsprechende Schwachstellen konnten vor der Entdeckung dieser Angriffe mit keinem noch so ausgefeilten Test gefunden werden.

Ein Schwachstellentest ist immer nur eine Momentaufnahme, er muss zumindest dann wiederholt werden, wenn neue Funktionen implementiert oder sonstige Änderungen an der Webanwendung vorgenommen wurden. Wobei es dabei i.A. reicht, den neu hinzu gekommenen Teil zu prüfen.
Das gleiche gilt sinngemäß beim Bekanntwerden neuer Angriffe.

Darum ein guter Rat: Prüfen Sie ihre Website bzw. lassen Sie sie prüfen - bevor die Hacker es tun!

Carsten Eilers