Sicherheit der Website mit SSL verbessern
Die diesjährige Studie „Wie sicher sind die Webauftritte der deutschen Industrie“ analysierte die Website von über 5.000 deutschen Unternehmen. Dabei wurde festgestellt, dass 7,5 % der Unternehmen mindestens eine kritische Schwachstelle aufweisen. Weitere 30 % verwenden Softwarekomponenten mit Sicherheitslücken. 75 % deutscher Unternehmen waren in den letzten zwei Jahren von Cyber-Attacken betroffen. Verglichen mit den Jahren 2016/2017 ist die Anzahl um 22 % angestiegen. Der Gesamtschaden, der durch die Sicherheitslücken hervorgerufen wird, beläuft sich jährlich auf 102,9 Milliarden Euro – fast doppelt so hoch wie noch vor drei Jahren (55 Milliarden Euro in 2016/2017).
Deshalb ist die Sicherheit deiner Website so wichtig
Insbesondere Onlineshop-Betreiber müssen für die Sicherheit ihrer Website sorgen, damit die Gefahr vor Schad-Angriffen so niedrig wie möglich gehalten werden kann.
Auch die Besucher der Onlineshops legen bei einem Bestellprozess vermehrt Wert auf den Schutz ihrer Daten. Ohne Sicherheitsvorkehrungen kann kein Vertrauen zu den Nutzern aufgebaut werden.
Bei einer Umfrage zum Thema Sicherheit von persönlichen Daten im Internet vom Jahr 2019 ist erkennbar, dass die Mehrheit der befragten Internetnutzer (72%) die Sicherheit ihrer persönlichen Daten im Internet anzweifeln und als eher unsicher oder völlig unsicher einschätzen. Aus der Grafik ist eine leichte Verbesserung der Datensicherheit zu erkennen, da der Anteil an unsicheren Datenmengen in den vergangenen Jahren gesunken ist.
Quelle: Statista
Die Datenschutz-Grundverordnung der Europäischen Union (DSGVO) steigerte die Datensicherheit, woraus ein aktives Konsumentenverhalten in der digitalen Welt resultierte. Bei einer Umfrage des Deutschen Instituts für Vertrauen und Sicherheit im Internet (DIVSI) aus dem Jahr 2018 waren 20 % der Befragten der Meinung, dass die DSGVO den Schutz personenbezogener Daten verbessert. Doch wie kann das Bedenken der restlichen 80 % hinsichtlich Datenschutz und Website-Sicherheit bekämpft werden? Nach wie vor sind verstärkte Sicherheitsmaßnahmen notwendig, um Hacker-Angriffe zu verhindern, da die Methoden der Hacker komplexer werden.
So schaden Hackerangriffe der Sicherheit deiner Website
Der ausschlaggebende Grund, weshalb ein Hacker einen Webserver angreift, ist die Tatsache, dass er damit Geld verdient.
Viele Unternehmen sind davon überzeugt, dass kleinere Websites unattraktiv für Hacker sind, doch auch diese sind wertvoll genug. Auch wenn sie über eine vergleichsweise geringere Anzahl an Kundendaten verfügen, existieren neben dem Datendiebstahl zahlreiche andere Anreize für Hackerangriffe.
Bekannteste Angriffsmethoden im Internet
1. CEO-Fraud
Beim sogenannten CEO-Fraud nutzen Cyber-Kriminelle den Status des Geschäftsführers, um Mitarbeiter dazu zu verleiten, eine hohe Geldsumme auf ein fremdes Konto zu überweisen.
Bei diesem Betrugsfall geben sich Cyber-Kriminelle in E-Mails an Mitarbeiter eines Unternehmens als deren Chef aus. Dabei werden Mitarbeiter aufgefordert, eine Geldüberweisung zu tätigen, um an das Geld vom Unternehmen zu gelangen. Wenn der Mitarbeiter den Absender einer E-Mail nicht kritisch begutachtet, besteht die Gefahr, Opfer eines Betrugsversuches zu werden. Erst der Klick auf die Absender-Details verrät, dass es sich dabei um einen Absender außerhalb des eigenen Unternehmens handelt.
Die US-Bundespolizei FBI schätzt die Anzahl der Schäden im Jahr 2019 auf mehrere Milliarden weltweit. In Deutschland wurden über 200 Fälle ermittelt. Dabei handelt es sich jedoch nur um die gemeldeten Fälle. Die tatsächliche Anzahl der Angriffe wird deutlich höher liegen, da zahlreiche Unternehmen sich aus Angst vor einem Imageschaden scheuen, die Polizei zu alarmieren.
2. Ransomware
Ein Angriff auf Unternehmen ist für Hacker deutlich vielversprechender als der Angriff auf einzelne Internetnutzer, da sie höhere Einnahmen erzielen können. Die US-amerikanische IT-Sicherheitsfirma Malwarebytes veröffentlichte in ihrem Bericht zum Thema Cybercrime, dass die Anzahl der Ransomware-Angriffe im Jahr 2019 um 365 % gestiegen ist.
Bei dem sogenannten Ransomware-Angriff wird die Firmen-IT infiziert. Als Einbruchswerkzeug nutzen Hacker den Schadsoftware-Cocktail aus Emotet, Trickbot und Ryuk. Der Schadcode wird per E-Mail mit einem infizierten Anhang verschickt und mit nur einem Klick zum Download aktiviert. Die Aktivierung sorgt für eine Verschlüsselung der Server und der Zugriff auf das IT-System wird dadurch blockiert. Auf diese Seite kann auch die Sicherheit der Website nicht mehr garantiert werden.
Auf dem blockierten Bildschirm erscheint ein Hinweisfenster mit einer Zahlungsaufforderung. Das Unternehmen wird erpresst und wie die Bezeichnung “ransom” schon verrät, wird für die Freigabe der Daten ein Lösegeld verlangt.
3. Phishing
Betrüger nutzen das Design einer bekannten und sicheren Website als Deckmantel für Phishing-E-Mails, um Spam zu versenden. Das Ziel dabei ist es, Nutzer auf gefährliche Websites zu führen oder sie aufzufordern, infizierte Anhänge herunterzuladen. Eine gefälschte Website wird erstellt, damit Benutzer Log-In-Daten oder Bankdaten preisgeben.
Die Verbreitung von Spam-E-Mails führt zu einem Imageschaden für den Website-Betreiber, da in seinem Namen Spam verbreitet wird und Kundendaten missbräuchlich gesammelt werden.
4. Cross Site Scripting / XSS
Cross Site Scripting ist eine häufig verwendete Angriffsmethode im Internet mit dem Ziel, an vertrauliche Daten zu gelangen. Dabei wird ein Schadcode in einen vermeintlich vertrauenswürdigen Kontext eingeleitet. So werden Sicherheitslücken in Webanwendungen ausgenutzt, um das System des Website-Betreibers anzugreifen. Mit XSS lassen sich Internetseiten und Formulare zur Benutzeranmeldung verändern oder vertrauliche Informationen wie Passwörter werden weitergegeben. Während der User von einem anonymen Anmeldevorgang ausgeht, werden seine vertraulichen Daten illegal weitergereicht.
Folgen einer unsicheren Website für Website-Betreiber
Wenn Hacker Lücken in einem System erkennen und ausnutzen, können drastische Folgen für das betroffene Unternehmen resultieren:
So können Nutzer beim Aufrufen der infizierten Website gewarnt werden, dass diese verdächtig ist, da sie möglicherweise gehackt wurde. Diese Meldung könnte nicht nur für einen Vertrauensverlust sorgen, sie könnte sogar zahlreiche Umsatzausfälle auslösen, wenn Warnsignale in der Community verbreitet werden. Ein weiteres Problem, das eng mit der Digitalisierung verbunden ist, ist der Identitätsdiebstahl eines Unternehmens. Der sogenannte Corporate-Identity-Diebstahl kann schwerwiegende Auswirkungen mit sich bringen und das Unternehmen zum Absturz bringen, wenn ein Hacker seine böswillige Pläne unter dem Namen des seriösen Unternehmens verwirklicht.
Sicherheit der Website mit SSL umsetzen
Wir bieten dir passende Lösungen, wie du dein Unternehmen vor Hacker-Angriffen schützt und deinen Kunden mehr Sicherheit bieten kannst:
Du fragst dich, wie Nutzer eine verschlüsselte Website erkennen?
Mittlerweile sollte jedem Internetnutzer bewusst sein, dass ein Blick auf die Adresszeile ausreichend ist, um herauszufinden, ob eine Website verschlüsselt ist oder nicht. HTTPS und das Schloss-Symbol signalisieren die SSL-Verschlüsselung und damit die Sicherheit der Website. Eine grüne Färbung der URL-Leiste deutet übrigens auf die höchste SSL-Verschlüsselung hin: Die sogenannten EV-Zertifikate stellen dabei die sicherste SSL-Variante dar. Internetnutzer interpretieren das grüne Schloss-Symbol jedoch als Indikator für Sicherheit der Website und können dadurch getäuscht werden. Denn Hacker nutzen das grüne Schloss als Tarnung, indem sie ihre Phishing-Seiten verschlüsseln, damit die betrügerische Website als sicher eingestuft wird. Es wird Nutzern daher empfohlen, das grüne Schloss-Symbol allein nicht als Sicherheits-Indikator zu betrachten. Browser-Hersteller sind der Überlegung, die Grünfärbung abzuschaffen, damit Hacker diese Verwirrung nicht mehr ausnutzen können. Google Chrome und Mozilla Firefox haben diesen Schritt bereits gewagt.
Darstellung des SSL-Zertifikats in verschiedenen Browsern:
Damit Website-Besucher ein sicheres Gefühl haben und die aufgerufene Seite nicht verlassen, bietet eine SSL-Verschlüsselung die gewünschte Lösung. SSL-Zertifikate erschweren bei einer Datenübertragung den Hacker-Zugriff auf die übermittelten Daten. Gibt ein Kunde seine Zahlungsinformationen bei einem Bestellvorgang ein, so wird beispielsweise mithilfe eines DigiCert-Zertifikats sichergestellt, dass die Übermittlung der sensiblen Daten ausschließlich auf verschlüsseltem Weg erfolgt. Somit erhöht eine SSL-Verschlüsselung die Vertrauenswürdigkeit und Sicherheit der Website und vermittelt ein sicheres Gefühl im Internet.
SSL-Zertifikate sind nicht nur für die Sicherheit der Website sinnvoll
Abgesehen davon darf nicht unerwähnt bleiben, dass Google SSL-Verschlüsselungen fördert: SSL-Verschlüsselungen beeinflussen das Ranking in Suchmaschinen positiv, sodass SSL-Verweigerer benachteiligt werden, solange sie auf den Einsatz verzichten. Bei TLDs von Google Registry wie .app oder .dev ist eine SSL-Verschlüsselung bereits notwendig, sodass Registranten von sicheren TLDs einen Schutz sowohl für ihre Website als auch für die Besucher ihrer Seite erhalten.
Seit Mai 2018 ist in der EU eine SSL-Verschlüsselung von Websites gesetzlich vorgeschrieben und sollte somit ein fester Bestandteil jeder sicheren Website sein. Dabei vereinheitlicht die DSGVO europaweit die Regeln zur Sicherung personenbezogener Daten gegen äußere Angriffe. Gemäß Artikel 5 i.V.m. Artikel 32 DSGVO muss bei einer Verarbeitung von personenbezogenen Daten Sicherheit der Daten gewährleistet werden. Ein Verstoß gegen diese Vorschrift kann Abmahnungen, Bußgelder sowie Schadensersatzforderungen auslösen.
Werden Langzeit-Zertifikate als unsicher deklariert?
Derzeit steht die Herabsetzung der Gültigkeitsdauer von SSL-Zertifikaten zur Debatte.
Im August letzen Jahres hat Google im CA/B-Forum den Vorschlag eingebracht, die Gültigkeitsdauer von SSL-Zertifikaten von derzeit 24 auf 13 Monate herabzusetzen. Argumentiert wurde mit der Erhöhung der Sicherheit im World Wide Web. Ein kürzerer Lebenszyklus von SSL-Zertifikaten würde aufgrund des verkürzten Zeitfensters zur Reduzierung der Cyberkriminalität beitragen. Folglich könnten gestohlene SSL-Zertifikate frühzeitig erkannt werden. Dieser Vorschlag setzte sich jedoch nicht durch, da die Mehrheit gegen die Verkürzung abstimmte. Der Grund für diese Entscheidung ist der daraus entstehende Mehraufwand für Website-Betreiber.
Apple setzt sich durch, indem es am 19. Februar 2020 die eigene Position verdeutlicht: Ab dem 1. September 2020 werden neu ausgegebene SSL-Zertifikate mit einer Laufzeit von mehr als 13 Monaten im Safari-Browser als unsicher deklariert. Es besteht die Vermutung, dass andere Browser ähnliche Änderungen vornehmen werden.
Langzeit-Zertifikate reduziert erwerben und die Laufzeit nutzen
SSL-Zertifikate, die bis zum 31. August 2020 erworben oder verlängert werden, werden trotz einer Laufzeit von 24 Monaten nach wie vor anerkannt und bis zum Laufzeit-Ende als sicher eingestuft.
Aktuell kannst du von unserem Laufzeitrabatt profitieren und dir bis Ende August zertifikate mit einer Laufzeit von 24 Monaten sichern.
Damit keine Abmahnungen erfolgen, deine Website sicher ist und Seitenbesucher das direkt erkennen können, bieten wir dir für jeden Anwendungsbereich das passende SSL-Zertifikat an. Dabei stehen dir sowohl kostenlose als auch kostenpflichtige SSL-Zertifikate zur Auswahl. Wie diese sich unterscheiden, erfährst du hier.
Bei Fragen zum Thema SSL und der Sicherheit deiner Website stehen wir dir gerne zur Verfügung. Kontaktiere uns und wir unterstützen dich auf dem Weg in die digitale Sicherheit.