Sichere Web-Siten mit Hilfe von Drupal

Die meisten Leute denken gar nicht daran, dass die Sicherheit ihrer Webseiten etwas ist, mit dem sie sich beschäftigen sollten. Leider liegen sie damit eher falsch. Es gibt Menschen auf dieser Welt, die ihre Zeit und Energie nur dazu benutzen, Webseiten anzugreifen. Die Folgen für Sie könnten vom totalen Geschäftsverlust bis zu gesetzlicher Haftung für verursachten Schaden reichen.

Der Zahl der Möglichkeiten eine Website anzugreifen, wächst von Jahr zu Jahr. WhiteHat Security Inc, aus Kalifornien, USA, führte im Jahr 2006 ein Studium durch. Sie untersuchten die Sicherheit von den größten und populärsten Webseiten (im Bereichen Einzelhandel, Finanz, Versicherung, Ausbildung und gesellschaftliche Netzwerke) mit Hilfe der WASC Angriffklassifikation.

Das Ergebnis: 7 von 10 Webseiten weisen ernste Sicherheitslücken auf.

Diese Information ist sicherlich etwas, das nicht leicht zu verdauen ist. Glücklicherweise kann man dagegen etwas unternehmen, außer dass man den Webserver einfach für immer und ewig ausschaltet:

• Zuallererst, legen Sie einem potentiellen Angreifer so viele Hindernisse in den Weg, dass die Kosten eines Angriffs viel höher sind als der Wert, den Sie zu schützen versuchen. Für die meisten Webseiten ist dies normalerweise sehr einfach durchzuführen.
• Danach fangen Sie an zu verfolgen, was auf Ihrer Website tatsächlich installiert ist. Es ist nämlich schwierig etwas sicher zu machen das Ihnen nicht bekannt ist, und von dem Sie gar nicht wissen dass Sie dieses „Etwas“ überhaupt besitzen. Wir raten unseren Kunden einen der Module zu installieren, der Ihnen den sog. „Update Status“ automatisch melden sollte: Sie werden auf dem neuesten Stand gebracht, wie man ihre Site angreifen könnte, und was man dagegen unternehmen könnte. z.B. könnte das Aktualisierungs-Modul Ihnen mitteilen, dass es in einem Ihrer Drupal Module ein Sicherheitsproblem entdeckt hat, und dass es ein Update dafür gibt. In so einem Fall sollten Sie es ernsthaft in Betracht ziehen, etwas dagegen zu machen.
• Schließlich sollte man versuchen, die Sicherheit zu messen. Es gibt mehrere Tools, die potenzielle Sicherheitslöcher erforschen und Berichte über die sicherheitsrelevanten Themen erstellen. Danach könnten Sie bestimmen welche besonderen Sicherheitsmaßnahmen in ihrem Fall angemessen sind.

Die meisten von uns würden schon beim Lesen einer Liste von möglichen Angriffsmöglichkeiten Kopfschmerzen bekommen. Die Sprache selbst verrät viel über die Aggressivität, mit der man solche Ziele verfolgt: Authentication Brute Force Attack (Angriff auf Berechtigungsmechanismen mitbrutaler Kraft), DDOS – Distributed Denial of Service (Angriff auf mehrere Rechner, der einen Webserver unfähig machen sollte, „normale“ User zu bedienen), Command Execution through SQL Injections (Kommando-Ausführung durch SQL-Injektion) usw. …. Glücklicherweise gibt uns Drupal mehrere Möglichkeiten, Risiken zu minimieren und eine Webseite zu schaffen, die den verschiedenen Angriffsarten gegensteuern kann.

Bitte nehmen Sie mit uns Kontakt auf, falls Sie mehr Informationen über die Sicherheit im Web brauchen, oder falls Sie mehr über Sicherheitsvorkehrungen rund um Drupal erfahren wollen.