Befolgen Sie diese Checkliste für die Website-Sicherheit mit den zehn wichtigsten Maßnahmen, die Unternehmen ergreifen sollten, um Nutzer zu authentifizieren und zu autorisieren, den Web-Traffic zu verschlüsseln, Risiken für Drittanbieter zu mindern, DDoS-Angriffe und Bots zu blockieren und vieles mehr.
Nach Lektüre dieses Artikels können Sie Folgendes:
Link zum Artikel kopieren
Website-Sicherheit ist kritisch für alle Unternehmen, die sich auf das Internet als Quelle für Einnahmen, Effizienz und Kundeninformationen verlassen. Unternehmen mit Websites, die sensible Daten erfassen und speichern oder kritische Infrastrukturen und Dienste bereitstellen, sind besonders anfällig für Angriffe unterschiedlicher Komplexität, Größenordnung und Herkunft.
Web Application Security als Disziplin ist breit gefächert und in ständiger Entwicklung, da sich die Bedrohungen aus dem Internet und das regulatorische Umfeld ständig verändern. Diese Checkliste konzentriert sich beispielsweise auf den Schutz von Websites, aber der Schutz von APIs und KI-fähigen Anwendungen (die zunehmend in Websites integriert werden) wird für große Unternehmen immer wichtiger.
Allerdings können öffentlich zugängliche Websites jeder Größe und Branche von technischen Kontrollen, Zugriffskontrolle und Benutzerverwaltung profitieren. Deshalb werden in diesem Leitfaden zur Website-Sicherheit die folgenden zehn Empfehlungen vorgestellt:Empfehlung: Verwenden Sie Zwei-Faktor-Authentifizierung anstelle einer reinen Passwort-Authentifizierung
Genauso wie eine Fluggesellschaft die Identität eines Passagiers anhand eines gültigen Ausweises überprüfen muss, bevor er an Bord gehen darf, müssen Unternehmen auch überprüfen, wer sich in die digitalen Systeme einloggt, auf denen ihre Web-Apps basieren.
Der Prozess der Verhinderung von unberechtigtem Zugriff (indem sichergestellt wird, dass die Person diejenige ist, die sie vorgibt zu sein) wird als Authentifizierung bezeichnet. Bei der Authentifizierung wird die Identität verifiziert, indem bestimmte Merkmale oder Faktoren mit einem digitalen Datensatz abgeglichen werden.
Die folgenden sind die häufigsten Authentifizierungsfaktoren:
Das Problem beim ersten Faktor ist, dass Passwörter von Angreifern oft erraten oder gestohlen werden können. Mit der Verbreitung von Phishing, On-Path-Angriffen, Brute-Force-Angriffen und Kennwortwiederverwendung ist es für Angreifer einfacher geworden, gestohlene Anmeldeinformationen zu sammeln.
Aus diesem Grund sollten Unternehmen eine Zwei-Faktor-Authentifizierung (2FA) für ihre Konten implementieren. 2FA erfordert (mindestens) zwei separate Formen der Authentifizierung was effektiver ist als nur eine. Obwohl es für Angreifer nicht unmöglich ist, 2FA zu knacken, ist es wesentlich schwieriger und teurer, 2FA zu kompromittieren, als eine reine Passwortauthentifizierung.
Empfehlung: Legen Sie rollenbasierte Berechtigungen nur für autorisierte Nutzer fest
Nur weil die Identität einer Person kontrolliert wurde, heißt das nicht, dass sie die Kontrolle über alles haben sollte. Autorisierung bestimmt, was ein authentifizierter Nutzer sehen und tun kann (z .B. ihre Berechtigungen).
Beispielsweise könnte nur ein Superadministrator die Berechtigung haben, alle Einstellungen und Seiten zu bearbeiten, während ein Nutzer mit Leseberechtigung nur die Analytics der Website sehen kann und sonst nichts.
Mit dem Wachstum von Unternehmen steigt auch die Anzahl der Rollen in Web-Teams: Frontend-Entwickler, Backend-Entwickler, Sicherheitsanalysten, Reporting-Analysten, Web- und Inhaltsredakteure und viele mehr. Daher ist es wichtig, die rollenbasierten Berechtigungen regelmäßig zu überprüfen und zu aktualisieren.
Empfehlung: Stellen Sie Verbindungen mit automatisch verwaltetem SSL/ TLS auf
Jede Website, die sensible Daten wie Anmeldedaten, Kontaktinformationen, Kreditkarteninformationen, Gesundheitsinformationen und mehr sammelt und überträgt, benötigt HTTPS. HTTPS verhindert, dass Websites ihre Informationen auf eine Weise übertragen, die leicht von Spähern im Netzwerk gelesen werden kann.
HTTPS funktioniert über ein Protokoll namens Transport Layer Security (TLS) frühere Versionen des Protokoll waren als Secure Sockets Layer (SSL) bekannt.
Suchen Sie nach einem Dienst, der automatisch verwaltete SSL/ TLS -Zertifikate anbietet, die es Websites und Apps ermöglichen, sichere Verbindungen aufzubauen.
TLS ist das Kommunikationsrückgrat für Datenschutz und Datensicherheit. Es ermöglicht den Nutzern, privat im Internet zu surfen, ohne ihre Kreditkartendaten oder andere persönliche und sensible Informationen preiszugeben.
Mit SSL/TLS kann ein Client (z. B. ein Browser) die Authentizität und Integrität des Servers überprüfen, mit dem er eine Verbindung herstellt, und Informationen per Verschlüsselung austauschen. Dies wiederum hilft, On-Path-Angriffe zu verhindern und bestimmte Anforderungen an die Daten-Compliance zu erfüllen.
Es gibt noch weitere Vorteile: TLS hilft, die Latenz zu minimieren, um die Ladezeit von Webseiten zu verkürzen, außerdem benachteiligen Suchmaschinen Websites tendenziell, die nicht verschlüsselt sind.
Denken Sie daran, dass jedes SSL/TLS Zertifikat ein festes Ablaufdatum hat und die Gültigkeitsdauer dieser Zertifikate mit der Zeit immer kürzer wird. Wenn ein Zertifikat abgelaufen ist, gehen Clients wie der Browser des Besuchers davon aus, dass keine sichere Verbindung hergestellt werden kann, was zu Warnungen oder Fehlern führt. Versäumte Zertifizierungsverlängerungen können auch zu einer Herabstufung der Website in Suchmaschinen führen, aber auch bestimmte Dienste können dies tun.
Empfehlung: Sorgen Sie mit DNS Verschlüsselung für sicheres und privates Surfen
Der Inhalt einer Website befindet sich technisch gesehen nicht unter einer URL wie www.example.com, sondern unter einer eindeutigen IP- -Adresse wie 192.0.2.1. Der Vorgang der Umwandlung einer URL in eine maschinenfreundliche IP-Adresse wird als Domain Name System (DNS)-Lookup bezeichnet; und DNS-Einträge sind die Anweisungen des Internets dafür, welche IP-Adresse einer bestimmten Domain zugeordnet ist.
Standardmäßig werden DNS-Abfragen und -Antworten jedoch im Klartext (UDP) gesendet, was bedeutet, dass sie von Netzwerken, ISPs und anderen, die Übertragungen überwachen, gelesen werden können. Das kann enorme Auswirkungen auf die Sicherheit und den Datenschutz haben. Wenn DNS-Abfragen nicht privat sind, wird es für Regierungen einfacher, das Internet zu zensieren, und für Angreifer, das Online-Verhalten der Nutzer überwachen.
Verwenden Sie einenkostenlosen DNS-Auflösung zur Verschlüsselung von DNS-Traffic mit einer dieser Optionen:
Empfehlung: Gehen Sie bestimmte Einschränkungen des DNS-Systems mit speziell entwickelter DNS-Sicherheit an
Das DNS-System selbst wurde nicht im Hinblick auf Sicherheit entwickelt und weist mehrere Designeinschränkungen auf. Zum Beispiel garantiert es nicht automatisch, woher die DNS-Einträge stammen, und akzeptiert jede Adresse, die es erhält, ohne Fragen zu stellen. Daher können DNS-Server anfällig für Domain-Spoofing, DoS-Angriffe (Denial of Service) und mehr sein.
DNS-Sicherheit (DNSSEC) hilft, einige der Designfehler von DNS zu beheben. DNSSEC schafft beispielsweise ein sicheres Domain Name System, indem bestehende DNS-Einträge mit kryptografischen Signaturen versehen werden. Durch die Überprüfung der zugehörigen Signatur können Unternehmen sicherstellen, dass ein angeforderter DNS-Eintrag von ihrem autoritativen Nameserver stammt und nicht gefälscht wurde.
Einige DNS-Auflösung integriert bereits DNSSEC. Suchen Sie auch nach einer DNS-Auflösung mit Funktionen wie Inhaltsfilterung (die Websites blockieren kann, von denen bekannt ist, dass sie Schadsoftware und Spam verbreiten) und Botnet-Schutz (der die Kommunikation mit bekannten Botnetzen blockiert). Viele dieser sicheren DNS-Resolver können kostenlos genutzt und durch Änderung einer einzigen Routereinstellung aktiviert werden.
Empfehlung: Erschweren Sie Angreifern das Auffinden Ihres Servers
Wenn ein Angreifer die IP-Adresse des Servers eines Unternehmens herausfindet (d. h. den Ort, an dem die eigentlichen Web-App-Ressourcen gehostet werden), kann er Traffic oder Angriffe direkt an den Server senden.
Je nach der bereits vorhandenen DNS-Auflösung können die folgenden Schritte ebenfalls dazu beitragen, die Ursprungs IP-Adresse zu verbergen:
Empfehlung: Implementieren Sie eine Always-on DDoS-Abwehr und Rate Limiting
Im schlimmsten Fall können DDoS-Angriffe (Distributed-Denial-of-Service) eine Website oder ein ganzes Netzwerk für längere Zeit stilllegen.
DDoS-Angriffe treten auf, wenn eine große Anzahl von Computern oder Geräten, die in der Regel von einem einzigen Angreifer kontrolliert werden, gleichzeitig versuchen, auf eine Website oder einen Online-Dienst zuzugreifen. Diese böswilligen Angriffe zielen darauf ab, Ressourcen offline zu nehmen und unbrauchbar zu machen.
DDoS-Angriffe auf Anwendungsschicht sind nach wie vor die häufigste Angriffsart gegen Web-Apps und werden hinsichtlich Umfang und Häufigkeit weiter raffinierter.
Achten Sie auf die folgenden wichtigen Tools zur DDoS-Prävention:
Eine umfassende Abwehr von DDoS-Bedrohungen hängt auch von mehreren Methoden ab, die je nach Größe des Unternehmens, der Netzwerkarchitektur und anderen Faktoren variieren können. Erfahren Sie mehr darüber , wie Sie DDoS Angriffe verhindern können:
Empfehlung: Suchen Sie nach Tools, die speziell zur Beseitigung von clientseitigen Risiken beitragen
Bei der Webentwicklung bezieht sich der Begriff „Clientseite“ auf alles in einer Webanwendung, was auf dem Client (Endbenutzergerät) dargestellt wird oder stattfindet. Dazu gehört das, was der Website-Nutzer sieht – Text, Bilder und der Rest der Benutzeroberfläche – sowie alle Aktionen, die eine Anwendung im Browser des Benutzers ausführt.
Die meisten clientseitigen Ereignisse erfordern das Laden von JavaScript-Code und anderem Code von Drittanbietern in den Browser des Webbesuchers. Aber Angreifer versuchen, diese Abhängigkeiten zu kompromittieren (zum Beispiel mit Magecart-Angriffen). Das macht Besucher anfällig für Schadsoftware, Diebstahl von Kreditkartendaten, Krypto-Mining und mehr.
Cookies sind auch mit clientseitigen Risiken verbunden. Angreifer können z. B. Cookies ausnutzen, um Website-Besucher Cookie-Manipulationen auszusetzen, die schließlich zu Kontoübernahme oder Zahlungsbetrug führen können. Website-Administratoren, Entwickler oder Compliance-Mitarbeiter wissen jedoch oft nicht einmal, welche Cookies ihre Website verwendet.
Um das Risiko durch Skripte und Cookies von Drittanbietern zu reduzieren, sollten Sie einen Dienst implementieren, der:
Empfehlung: Identifizieren und bekämpfen Sie böswilligen Bot-Traffic proaktiv
Manche Bots sind vertrauenswürdig und erbringen einen benötigten Dienst, zum Beispiel autorisierte Suchmaschinen-Crawler. Andere Bots hingegen können sich als störend und schädlich erweisen, wenn sie nicht entsprechend kontrolliert werden.
Unternehmen, die physische Waren oder Dienstleistungen online verkaufen, sind besonders anfällig für Bot-Traffic. Zu viel Bot-Traffic kann zu folgenden Problemen führen:
Suchen Sie einen Bot-Management-Service, der folgendes bietet:
Empfehlung: Erhöhen Sie die Web-Sicherheit mit datengesteuerten Entscheidungen
Analysen und Protokolle mit verwertbaren Daten sind wichtig, um die Web-Performance und -Sicherheit kontinuierlich zu verbessern.
Protokolle und Anwendungssicherheits-Dashboards liefern beispielsweise Einblicke in:
Einblicke in Web Traffic-Analysen sind ein wesentlicher Baustein für eine kontinuierliche Risikobewertung. Mit ihr können Unternehmen fundiertere Entscheidungen darüber treffen, wie sie ihre App-Performance verbessern und wo sie ihre Sicherheitsinvestitionen erhöhen können.
Die Connectivity Cloud von Cloudflare vereinfacht die Sicherheit und Bereitstellung von Web-Apps mit einer ganzen Reihe integrierter Dienste, die Web-Apps und APIs von Unternehmen verbinden und schützen.
Dazu gehören DDoS-Schutz, eine branchenführende Web Application Firewall (WAF), Bot-Management, clientseitige Sicherheit, ein API-Gateway, kostenlose öffentliche DNS-Auflösung, kostenlose SSL/TLS-Zertifikate, umfassende Web-Performance und -Sicherheitsanalysen und vieles mehr mehr.
Entdecken Sie unter https://www.cloudflare.com/de-de/plans/ die Dienste, die den Anforderungen Ihrer Website entsprechen.