Zur Sicherheit einer Webseite gehören sichere und komplexe Passwörter, die sonst nirgendwo verwendet werden, technische Einstellungen, regelmäßige CMS-Updates, regelmäßige Serverupdates sowie regelmäßige Serverbackups, aber auch die sogenannte 2-Faktor-Authenitifizierung.
Passwortsicherheit
Wir sperren im täglich Leben überall ab, wenn wir nicht haben wollen, dass ungebetene Gäste eindringen (Haus, Wohnung, Geschäft, Büro, Auto…) und legen auch den Schlüssel nicht unbedingt vor der Wohnung ersichtlich ab oder lassen ihn ihm Auto stecken.
Die Passwortsicherheit ist das A & O. Viele User verwendet “1234” oder andere gebräuchliche vorausgefüllte “Allerweltspasswörter”, wie z.B. “password”. Die Versuche, einen Server zu kapern, sind aber derart massiv, dass wir z.B. beobachtet haben, dass alleine von einer einzigen IP aus China in 24 Stunden über 30.000 Versuche mit der Absicht gestartet wurden, sich unbefugt einzuloggen.
Es sind also weder Vornamen noch andere personenbezogene Passwörter geeignet. Schwierig wird es auch, wenn Passwörter auf verschiedenen Plattformen immer wieder verwendet werden, da man nicht weiß, wer sich Zugriff auf die Zugangsdaten verschafft hat und diese dann woanders ganz einfach ausprobiert. Eine ganz klare Empfehlung unsererseits gibt es für “Passwort-Generatoren” – bitte mit mindestens 10-12 Zeichen voreinstellen!
Wir raten auch dazu, nicht einfach nur “admin” als Benutzer zu wählen, sondern bereits hier einen eigenen Schwierigkeitsgrad zu schaffen, in dem man z.B. “admin7643-7” wählt.
Wir empfehlen allen Kunden, ein eigenes Dokument – wichtig: passwortgeschützt! – zu speichern (nicht ausdrucken!), in dem alle Passwörter angeführt sind und dieses auf allen verwendeten Geräten zu speichern (Handy, PC etc.), damit man sich zusätzlich gegen den Verlust oder Ausfall eines Gerätes absichert. Dies könnte eine Tabelle in Word oder Excel sein und in etwa so aussehen:
Firma | Benutzer | Passwort |
charly.kauerm@gmx.at | gfdt5%4_.loz98)_ | |
karl.kauermann@atfix.net | kjft.ä#][ds-_i/ | |
Homenet | admin7643-7 | fdf_.,adtTzz7%_ |
Firmenlogin | Kauermann | Music_zetw%,,.- |
Technische Einstellungen, SSL
Ein technisches Hilfsmittel zur Erhöhung der Sicherheit ist beispielsweise SSL. Verwendet man keine Verschlüsselung, so werden alle Eingaben – z.B. Benutzername und Passwort – genauso übertragen, wie man diese gerade eingegeben hat. Mit einer SSL-Verschlüsselung kann ein kann aber ein allenfalls “Mitlesender” mit Ihren Eingaben nichts anfangen, da er ohne den passenden Schlüssel mit mehreren hundert Zeichen nichts mit den abgefangenen Zeichen anfangen kann. Bei WebComplete sollten Sie unbedingt das günstige SSL-Zusatzpaket bestellen! Wir verwenden ausschließlich professionelle (kostenpflichtige) SSL-Zertifikate, da diese besser bewertet werden.
Wichtig ist es, die Computersysteme mit einer Firewall und einem sehr guten Anti-Viren-Programm abzusichern, da es nichts bringt, sich z.B. wie oben ausgeführt sich die besten Passwörter auszudenken, aber wegen Nichtverwendung eines Anti-Viren-bzw. Schadsoftware-Programmes ein Programm auf das Computersystem zu laden, dass “Key-Logging” betreibt und alles mitschreibt, was Sie über die Tastatur eingeben. In diesem Fall würde auch das beste SSL-Zertifikat nichts bringen.
CMS – Updates
CMS-Hersteller stellen oftmals wöchentlich mehrere Updates zur Verfügung und weisen mit einer Mitteilung darauf hin. Installiert man diese nicht, so besteht die Gefahr, dass eine entdeckte Sicherheitslücke im CMS nicht geschlossen wird und jemand darüber in Ihr System einfallen kann.
Serverupdates
Es werden jährlich mehr als 100 Updates je Server fällig. Manche Updates sind so wichtig, dass sie sofort umgesetzt werden müssen, da sonst die Sicherheit extrem gefährdet ist.
Serverbackups
Regelmäßige Serverbackups führen im Extremfall (zB durch ein defektes Bauteil eines Servers) dazu, dass der Inhalt nach der Konnektierung und der Wiederherstellungsphase auf einem Ersatzserver wieder aufgespielt werden kann. Dazu ist es aber notwendig, dass die Sicherungen in regelmäßigen Abständen auf anderen Servern gespeichert werden, um sie im Notfall von dort wieder abrufen zu können.
Diese Maßnahmen sind bei WebComplete weitestgehend automatisiert und werden engmaschig überwacht.
2-Faktor-Authentifizierung
Die 2-Faktor-Authentifizierung z.B. über Google Authenticator, der am Handy zu installieren ist, gewährleistet, dass nicht nur der Benutzername und das Passwort einzugeben ist, sondern auch der 6-stellige Passcode Ihres Authenicator-Programms. Damit ist sichergestellt, dass man ohne Ihr Handy nicht in die EDV kommt. Gegen den Verlust des Handys muss man sich natürlich absichern, damit man für diesen Fall sich auch weiterhin über ein Ersatzgerät einloggen kann.