News & Neuigkeiten

IT-Sicherheit | IT-Security | Web | Definition | Unternehmen | Analyst | Zertifizierung

IT-Sicherheit bei Unternehmen – Jetzt Web-Security-Check vom Profi durchf├╝hren lassen!

Das Thema IT-Sicherheit ist aus aktuellem Anlass in aller Munde. Doch die Gef├Ąhrdungslage ist nicht erst seit dem letzten Jahr gegeben. Zu dieser Erkenntnis gelangt auch der Lagebericht zur IT-Sicherheit in Deutschland 2018, laut dem sich die Gef├Ąhrdungslage im Vergleich zum vorangegangenen Berichtzeitraum nicht nur weiter versch├Ąrft hat, sondern auch viel vielschichtiger geworden ist.

Ein aktuelles Beispiel ist der Hackerangriff auf hunderte Politiker und Prominente. Dabei wurden pers├Ânliche Daten von einem 20-j├Ąhrigen Sch├╝ler auf einer anonymen Plattform geleaked. Die Links wurden im Dezember 2018 t├Ąglich als eine Art Adventskalender auf Twitter verbreitet. Bei den ver├Âffentlichten Informationen handelt es sich um verschiedene Daten von unterschiedlichsten Personen in diversen Formaten. Darunter befinden sich neben allgemeinen Adressangaben oder Telefonnummern auch Chatverl├Ąufe, E-Mails und in einigen F├Ąllen sogar Fotos, Videos oder PDF-Dokumente. Zwar sind diese ver├Âffentlichten Daten insgesamt eher belanglos und uninteressant, die Ver├Âffentlichung sensibler Daten kann dennoch sehr gef├Ąhrlich sein und darf daher keineswegs verharmlost werden. IT-Sicherheit und IT-Sicherheitsberater helfen dabei, sich vor solchen Angriffen zu sch├╝tzen. Was genau IT-Security ist, welche Aufgaben ein IT-Security-Consultant ├╝bernimmt und wie wir Ihnen konkret beim Schutz Ihrer Website oder Ihres Online-Shops helfen k├Ânnen, erfahren Sie in diesem Beitrag.

Was ist IT- bzw. Internet/Web-Security?

IT-Sicherheit hat die Aufgabe, die Unternehmen und deren Werte, wie beispielsweise Know-how oder Unternehmensdaten, vor Hackern und Datenr├Ąubern zu sch├╝tzen. Auch wirtschaftliche Sch├Ąden, die durch die Vernetzung von Vertraulichkeiten, Manipulationen, St├Ârungen der Hardware oder die Verf├╝gbarkeit der Systeme entstehen k├Ânnen, sollen durch IT-Sicherheit verhindert werden.

Dabei muss aber ganz klar gesagt werden, dass eine hundertprozentige Sicherheit nicht garantiert werden kann. Das Ausma├č potentieller Sch├Ąden l├Ąsst sich aber deutlich minimieren, indem umfassende Ma├čnahmen und Konzepte ergriffen werden.

Ma├čnahmen der IT-Sicherheit:

  • Schwachstellenanalyse
  • Systemh├Ąrtung
  • konkrete Angriffsversuche (Penetrationstest)
  • Datenschutz
  • Schulungen zur Sensibilisierung des Personals
  • verantwortungsbewusste Administratoren
  • Risikoanalyse bestehender Informations- und Kommunikationssysteme

Was macht ein IT-Security Consultant?

Die ├╝beraus wichtigen Risikoanalysen werden von unserem IT-Security-Consultant durchgef├╝hrt. Solche IT-Sicherheitsberater haben die Aufgabe, wertvolle Daten von Unternehmen und deren Kunden zu sch├╝tzen. Das kann sich neben unternehmensinternen Netzwerken auch auf den Zahlungsverkehr mit Kunden und viele andere Bereiche beziehen. Diese Aufgabe wird immer wichtiger und beschr├Ąnkt sich keineswegs auf eine bestimmte Branche. Egal, ob Airline, Versandh├Ąndler oder Anbieter f├╝r Unterhaltungselektronik ÔÇô IT-Sicherheit ist bei jedem Internetauftritt wichtig!

Das Aufgabenfeld eines IT-Security Consultant ist sehr anspruchsvoll und umfasst vor allem die Planung und Durchf├╝hrung technischer Vorkehrungen zum Schutz wichtiger Daten. Hierf├╝r werden existierende Systeme ├╝berpr├╝ft, Sicherheitsl├╝cken gesucht und Pr├Ąventivma├čnahmen ergriffen, die die Sicherheitsl├╝cken schlie├čen und das Angriffsrisiko minimieren. In diesem Zusammenhang erstellt ein Sicherheitsbeauftragter auch entsprechende Berichte f├╝r Kunden oder die Gesch├Ąftsleitung.

IT-Sicherheit f├╝r Ihr Unternehmen (Quelle: ┬ęPixabay)

IT-Security-Check f├╝r Ihr Unternehmen – Unsere Leistungen

Da inzwischen fast alle Unternehmen der Welt im Internet vertreten sind, gibt es immer mehr Hacker, die mit wenigen Clicks versuchen, diese Unternehmen zu bestehlen. Als Unternehmer sind Sie f├╝r den Schutz der pers├Ânlichen Daten und der Bankgesch├Ąfte Ihrer Kunden verantwortlich. Um Systemausf├Ąlle zu verhindern und mit Wettbewerbern konkurrieren zu k├Ânnen, m├╝ssen Ihre webbasierten Anwendungen unbedingt gesch├╝tzt werden. Sich auf die aktuellen Herausforderungen einzustellen, ist und bleibt ein Katz-und-Maus-Spiel. Unser Experte hilft Ihnen aber gerne, immer auf der sicheren Seite zu sein.

Um Sie bestm├Âglich zu sch├╝tzen, bieten wir folgende Leistungen an:

  1. Bewertung der Schwachstellen
  2. Von uns durchgef├╝hrte Angriffe (Penetration-Test)
  3. ├ťberwachung der Website
  4. Wiederherstellen der gehackten Website

1. Bewertung der Schwachstellen

Im Rahmen dieser Bewertung werden wir die Sicherheitsl├╝cken Ihrer Webseite bzw. Ihres Online-Shops ausfindig machen, ohne die Seite dabei zu besch├Ądigen. Anschlie├čend kl├Ąren wir Sie detailliert ├╝ber die bestehenden Sicherheitsl├╝cken auf und stellen zeitnah entsprechende Unterlagen bereit, falls Sie ein eigenes Entwicklerteam mit der Behebung beauftragen m├Âchten.

2. Von uns durchgef├╝hrte Angriffe

Neben der Bewertung von Schwachstellen erl├Ąutern wir Ihnen auch gern geeignete Ma├čnahmen zur Abhilfe. Die Dokumentation hilft Ihnen bei der Suche nach passenden Abhilfema├čnahmen und enth├Ąlt dar├╝ber hinaus ein Video, in dem gezeigt wird, wo genau die Unzul├Ąnglichkeiten Ihrer Seite liegen.

3. ├ťberwachung der Website

Um den gewonnen Vorsprung gegen├╝ber Hackern, die Ihre Website rund um die Uhr ├╝berwachen, zu sichern, sollten sowohl die Bewertung der Schwachstellen als auch die eigens durchgef├╝hrten Angriffe kontinuierlich wiederholt werden.

4. Wiederherstellen der gehackten Website

Sollte Ihre Website gehackt worden sein, helfen wir Ihnen, sie so schnell wie m├Âglich wiederherzustellen. Dar├╝ber hinaus entwickeln wir auch einen Plan, um die Verluste durch Angriffe, Maleware oder Erpressersoftware zu minimieren.

Des Weiteren z├Ąhlen auch Netzwerkdurchdringungstests und Anwendungsdurchdringungstests f├╝r Android zu unserem Leistungsangebot.

IT-Sicherheit f├╝r Ihr Unternehmen (Quelle: ┬ęPixabay)

IT-Sicherheitsanalyse ÔÇô Beispiele aus der Praxis

Unser IT-Security Consultant pr├╝ft diverse Webseiten verantwortungsvoll und professionell auf Sicherheitsl├╝cken. Um Ihnen einen kleinen Einblick in diese Arbeit zu geben, finden Sie nachstehend einige beispielhafte Sicherheitsl├╝cken, die bei einigen unserer Kunden aufgetaucht sind.

Verwenden einer alten SSH-Version

Beim sogenannten SSH oder Secure Shell handelt es sich um ein Netzwerkprotokoll, mit dessen Hilfe man verschl├╝sselte Netzwerkverbindungen mit einem entfernten Ger├Ąt herstellen kann. In alten Versionen war ein Schl├╝sselwechsel noch relativ aufwendig und fand deshalb eher selten statt. Darin ist auch begr├╝ndet, dass bis heute viele Server mit alten und unsicheren Schl├╝sseln betrieben werden.

Zwar k├Ânnen neue Schl├╝ssel jederzeit erstellt werden, diese Umstellung f├╝hrt aber in einigen F├Ąllen zu einer Warnung ├╝ber einen m├Âglichen Angriff. Sie wird allen Nutzern angezeigt, wenn sie sich beim n├Ąchsten Mal mit dem Server verbinden. Bei neueren Versionen gestaltet sich diese Erstellung eines neuen Schl├╝ssels deutlich einfacher. Au├čerdem macht die Verwendung alter Versionen es f├╝r Hacker zum Kinderspiel, Ihre Systeme anzugreifen. Wir ├╝berpr├╝fen die Aktualit├Ąt Ihrer SSH-Version und f├╝hren gegebenenfalls die ben├Âtigten Updates f├╝r Sie durch.

Netzwerkprotokoll (Quelle: ┬ęPixabay)

Veraltete CMS-Version (Content-Management-System)

Content Management Systeme wie WordPress oder TYPO3 sollten regelm├Ą├čigen Updates unterzogen werden. Doch auch bei ausbleibenden Updates laufen Webseiten in der Regel ohne Probleme weiter. Diese vermeintliche Stabilit├Ąt birgt jedoch ein hohes Risiko. Als Besitzer der Seite w├Ągen Sie sich in Sicherheit, da der Webauftritt nach wie vor reibungslos funktioniert. Im Hintergrund sammeln sich aber Sicherheitsl├╝cken und Inkompatibilit├Ąten zu neueren Serversystemen.

Um zu verstehen, warum Webseiten, die auf veralteten Versionen basieren, unsicher sind, muss man wissen, wie die meisten Hacks auf Webseiten durchgef├╝hrt werden. Sie geschehen heutzutage gr├Â├čtenteils automatisch. H├Ąufig auftretende Sicherheitsl├╝cken sind Hackern bekannt. Automatisierte Systeme durchsuchen das Netz dann nach den entsprechenden Webseiten. Sobald sie f├╝ndig werden, laden sie ├╝ber diese Sicherheitsl├╝cken Schadcodes auf den Server der Seite.

Je l├Ąnger eine solche Sicherheitsl├╝cke besteht, desto h├Âher ist die Wahrscheinlichkeit, einer Attacke zum Opfer zu fallen. Softwareentwickler versuchen, bekannt gewordene Sicherheitsl├╝cken schnellstm├Âglich zu schlie├čen. Das hilft aber nur, wenn der Betreiber der Seite die entsprechende Software regelm├Ą├čig aktualisiert. Dasselbe gilt auch f├╝r PHP als Scriptsprache und MySQL f├╝r die Datenbankverarbeitung. Im Rahmen eines IT-Security-Checks ├╝berpr├╝fen wir daher alle relevanten Systeme auf ihre Aktualit├Ąt und f├╝hren gegebenenfalls die notwendigen Updates durch.

CSRF-Angriffe

Bei der sogenannten Cross-Site-Request-Forgery (CSRF) handelt es sich um einen Angriff auf Computersysteme, bei dem den Opfern b├Âswillige Anfragen ├╝bermittelt werden. Die CSRF ├╝bernimmt anschlie├čend Identit├Ąt und Privilegien des Opfers, um unerw├╝nschte Funktionen in dessen Namen durchzuf├╝hren. Bei den meisten Seiten enthalten die Browseranfragen automatisch alle Anmeldeinformationen, die mit der Seite verkn├╝pft sind. Dabei handelt es sich z. B. um Sitzungscookies des Benutzers, IP-Adressen, Anmeldeinformationen der Windowsdomain und vieles mehr. Ist der Benutzer f├╝r diese Seite authentifiziert, gibt es keine M├Âglichkeit mehr, zwischen einer gef├Ąlschten und einer legitimen Anfrage zu unterscheiden.

Um solche CSRF-Angriffe zu verhindern, sollten Cookies, die eine Sitzungs├╝berwachung durchf├╝hren, auf dynamisch generierte Session-Tokens umgestellt werden. Das macht es f├╝r Hacker deutlich schwerer, Kontrolle ├╝ber die Sitzung eines Kunden zu gewinnen. Nat├╝rlich realisieren wir gern eine solche Umstellung f├╝r Sie.

Brute-Force-Angriffe

Eine andere Form der Bedrohung sind sogenannte Brute-Force-Angriffe. Hier versuchen Hacker ein Passwort zu knacken, indem eine Software in schneller Abfolge verschiedene Zeichenkombinationen ausprobiert. Der daf├╝r verwendete Algorithmus ist sehr einfach und beschr├Ąnkt sich lediglich darauf, m├Âglichst viele Zeichenkombinationen anzuwenden. In der Praxis ist diese Methode h├Ąufig sehr erfolgreich, da viele Benutzer nur kurze Passw├Ârter verwenden, die ausschlie├člich aus Buchstaben bestehen. Dies reduziert die Anzahl m├Âglicher Kombinationen drastisch und erleichtert das Erraten.

Es existiert eine Reihe von M├Âglichkeiten, solche Brute-Force-Angriffe zu verhindern. Man kann beispielsweise eine Account Lockout Policy oder auch Kontosperrungsrichtlinie implementieren. Sie sorgt beispielsweise daf├╝r, dass das Konto nach drei fehlgeschlagenen Anmeldeversuchen automatisch gesperrt wird, bis es ein Administrator wieder entsperrt. Ein Nachteil dieser Methode ist jedoch, dass mehrere Konten von einem b├Âswilligen Benutzer gesperrt werden k├Ânnen. Dies kann dazu f├╝hren, dass Opfer den gew├╝nschten Service f├╝r eine gewisse Zeit nicht mehr in Anspruch nehmen k├Ânnen und Administratoren viel Arbeit haben, die gesperrten Konten wieder freizugeben. Eine kompliziertere, aber bessere Alternative, sind progressive Verz├Âgerungen, die Benutzerkonten bei fehlgeschlagenen Anmeldungsversuchen nur f├╝r einen bestimmten Zeitraum sperrt. Diese Sperrzeit erh├Âht sich mit jedem weiteren gescheiterten Anmeldeversuch.

Eine andere Technik ist der sogenannte Challenge-Response-Test. Hier werden Tools, wie beispielsweise kostenlose reCAPTCHA, bei denen der Benutzer ein Wort eingeben oder ein Bild zusammensetzen muss, daf├╝r verwendet, um nachzuweisen, dass es sich tats├Ąchlich um eine Person handelt. Automatisierte ├ťbermittlungen der Anmeldeseite werden so verhindert. Diese Technik ist ├╝beraus effektiv. Gern realisieren wir mit Ihnen entsprechende L├Âsungen.

Beispiel eines reCAPTCHA (Quelle: ┬ę http://www.captcha.net/)

Zusammenfassung

Im Zeitalter des Internets kommt der IT-Sicherheit eine immer gr├Â├čere Bedeutung zu. Es geht vor allem darum, Daten von Unternehmen vor Hackern zu sch├╝tzen und so wirtschaftliche Sch├Ąden zu verhindern. Ein hundertprozentiger Schutz kann aber nie wirklich garantiert werden. Durch die Ergreifung umfassender Ma├čnahmen und Konzepte l├Ąsst sich das Ausma├č potentieller Sch├Ąden aber deutlich reduzieren.

Wir von der Werbeagentur-Erfurt.net bieten unseren Kunden daher einen umfassenden Schutz. Im ersten Schritt ├╝berpr├╝ft unser erfahrener IT-Security Consultant die entsprechenden Seiten auf Schwachstellen. Die detaillierten Ergebnisse erhalten Sie in Form eines Dokumentes. Unser IT-Sicherheitsberater ist ein echter Profi in seinem Gebiet und daher in der Lage, typische Angriffe in einem sogenannten Penetrationstest durchzuf├╝hren, um so weitere Schwachstellen ausfindig zu machen. Dar├╝ber hinaus wiederholt er diese Risikoanalyse auf Wunsch auch in regelm├Ą├čigen Abst├Ąnden, damit Ihr gewonnener Vorsprung gegen├╝ber aktuellen Methoden der Hacker bestehen bleibt. F├╝r den Fall, dass Ihre Website bereits gehackt wurde, helfen wir Ihnen gern, diese so schnell wie m├Âglich wiederherzustellen und die Sch├Ąden weitestgehend zu begrenzen.

Wenn auch Sie sich einen umfassenden Schutz f├╝r Ihre Website oder Ihren Online-Shop w├╝nschen, kontaktieren Sie uns gern telefonisch unter 0361 775 195 10 oder ├╝ber unser Kontaktformular, um ein erstes kostenfreies Beratungsgespr├Ąch zu vereinbaren. Jetzt IT-Security-Check f├╝r Ihr Unternehmen vereinbaren! Wir freuen uns auf Ihre Anfrage.

Google Bewertung
4.8

Ihr Partner f├╝r Website-Erstellung & Online-Marketing

Werbeagentur-Erfurt Logo

Im Netz gibt es millionenfach Angebote und L├Âsungen.
Wir sind eine Online-Marketing-Agentur, die sich speziell auf die Sichtbarkeit im Netz konzentriert. Unser Ziel: Sie sollen gesehen werden! Denn nur durch Sichtbarkeit wirkt Online-Marketing.