Bereits ein Klick kann ausreichen, um sich beim Besuch einer scheinbar harmlosen Internetseite zu infizieren und unbemerkt Schadsoftware auf den eigenen Rechner zu laden. Auch für Profis kann es in diesem Kontext nützlich sein, sich noch einmal die Security-Basics zu Gemüte zu führen. Das Perfide bei diesem Angriffsszenario: Viele dieser Webseiten waren kurz zuvor noch sicher und galten als ungefährlich, warnt Juraj Malcho, Chief Technology Officer bei Eset. Was Betreiber von Webseiten und Anwender tun können, um sich und andere zu schützen, hat der Security-Spezialist in nachfolgendem Ratgeber zusammengefasst.

Um Schadsoftware auf die Computer ihrer Opfer zu schleusen, wenden Cyberkriminelle heute immer geschicktere Methoden an. Für die Anwender wird es zunehmend schwierig, den im Internet aufgestellten Fallen zu entgehen. Denn viele der Attacken laufen über gezielt manipulierte Webseiten. „Gestern waren diese Webseiten noch sauber und heute infizieren sie den Rechner, während sie gleichzeitig die gewünschten Inhalte bereitzustellen scheinen, die man gesucht hat“, umreißt Malcho die Gefahr. Die Anwender bemerken davon in der Regel nichts und wissen nicht, dass die zuvor noch sichere Webseite „umgedreht“ wurde und ihren Rechner längst mit gefährlicher Schadsoftware verseucht hat.

Dabei spielt es den Kriminellen in die Hände, dass manche Webseitenbetreiber ihre Internetauftritte oft monate- oder sogar jahrelang nicht aktualisieren und dadurch versäumen, wichtige Sicherheits-Updates aufzuspielen. Deshalb werden immer öfter Sportvereine und kleine Unternehmen mit eigener Seite zum Angriffsziel der Cyberkriminellen. Sie infiltrieren oder kapern die Webseite und infizieren sie mit Schadcode. Der reine Besuch einer solchen Website kann bei nur unzureichend geschützten PCs dann bereits zu einer Infektion mit Schadcode führen.

Surfer können also nicht vorsichtig genug sein, um sich keine Schadsoftware einzufangen. Dabei bestehen gute Chancen, nicht in die Falle zu tappen. Elementar ist es, kein Betriebssystem-Update zu verpassen. Das Gleiche gilt auch für die Updates wichtiger Programme, also etwa des benutzten Office-Pakets oder des Internet-Browsers. Kein User sollte außerdem darauf verzichten, eine Sicherheitslösung zu installieren, die manipulierte Seiten sofort beim Aufrufen erkennt. So analysiert Eset Internet Security nach Angaben des Herstellers beispielsweise den gesamten http-Traffic permanent und blockiert das Aufrufen infizierter Webseiten automatisch – und das bereits, bevor der Schadcode den Rechner erreichen kann.

Wer selbst eine Website pflegt, kann mit einigen Sicherheitsmaßnahmen dafür sorgen, dass die Seite nicht gekapert wird. Die meisten Attacken auf Websites werden durch die Brute-Force-Methode durchgeführt: Mit einer entsprechenden Software starten die Angreifer zahllose Login-Versuche, bei denen nach einem Muster von gebräuchlichen Logins und Passwörtern hin zu ungebräuchlichen Kombinationen durchgeprüft werden. Aus diesem Grund ist es hochgefährlich, als Login für das Backend der Site leicht zu erratene Begriffe wie den eigenen Namen, Admin oder Ähnliches zu verwenden.

Gleiches gilt für Passworte: „123456“, Namen, Geburtsdaten oder Prominente erleichtern es Hackern ungemein, eine Webseite mittels Brute-Force-Attacke zu kapern. Der Zugang zum Webseiten-Backend sollte deshalb durch ein sicheres, starkes Passwort erschwert werden, das regelmäßig ausgewechselt werden muss. Hier empfiehlt sich der Einsatz eines Passwortmanagers, der hochsichere Eingabecodes erzeugt.

Darüber hinaus schützt die Verwendung von Login Limitern Websites vor zu vielen, falschen Login-Versuchen. Wenn dann ein Krimineller mit der Brute Force Methode in die Website einbrechen will, wird er nach einer definierten Zahl nicht erfolgreicher Logins blockiert.

Wer immer von der gleichen IP auf sein Web-Backend der Website zugreift, sollte zudem sogenanntes Whitelisting nutzen: alle IPs außer der eigenen blockieren, sodass Unbefugte nicht ins Backend gelangen können. Zusätzliche Sicherheit bietet Zwei-Faktor Authentifizierung: Bei jedem Login ins Backend der Website wird ein Code aufs Smartphone gesendet, mit dem man den Login-Vorgang abschließen muss.

Eine hochwertige Security-Lösung zählt ebenso zu den wichtigen Schutzmaßnahmen. Für Kleinstunternehmen oder Startups empfehle sich der Einsatz des Eset Small Business Security Packs, das nicht nur PCs und Notebooks, sondern auch Smartphones, Datei- und Mail-Server absichert. Nicht zuletzt gehören regelmäßige Updates auch für kleine Unternehmen ins Pflichtenheft. Die Updates schließen bestehende Sicherheitslücken und verhindern so, dass sich Cyberkriminelle über diese Schlupflöcher unbefugten Zugang verschaffen können.

Für Internetnutzer gilt: Wenn direkt beim Anklicken von Webseiten die Installation von Schadsoftware unterbunden wird, hat man im Vergleich zu unbedarften Opfern deutliche Vorteile. Neben der Verwendung einer entsprechend leistungsstarken Sicherheitslösung ist auch dabei die Eigenverantwortung wichtig. Wer schwache Passwörter verwendet, Betriebssystem-Updates auslässt und sensible Daten nicht verschlüsselt, handelt grob fahrlässig.

Weitere Informationen stehen auf www.eset.de bereit.

Dr. Jörg Schröper ist Chefredakteur der LANline.