Grafik mit Vögeln
WERBEAGENTUR-ERFURT.NETReferenzen unserer Agentur
Bild zum Artikel: IT-Sicherheit | IT-Security | Web | Definition | Unternehmen | Analyst | Zertifizierung
(Quelle: Pixabay)

IT-Sicherheit | IT-Security | Web | Definition | Unternehmen | Analyst | Zertifizierung

IT-Sicherheit bei Unternehmen - Jetzt Web-Security-Check vom Profi durchführen lassen!

Das Thema IT-Sicherheit ist aus aktuellem Anlass in aller Munde. Doch die Gefährdungslage ist nicht erst seit dem letzten Jahr gegeben. Zu dieser Erkenntnis gelangt auch der Lagebericht zur IT-Sicherheit in Deutschland 2018, laut dem sich die Gefährdungslage im Vergleich zum vorangegangenen Berichtzeitraum nicht nur weiter verschärft hat, sondern auch viel vielschichtiger geworden ist.

Ein aktuelles Beispiel ist der Hackerangriff auf hunderte Politiker und Prominente. Dabei wurden persönliche Daten von einem 20-jährigen Schüler auf einer anonymen Plattform geleaked. Die Links wurden im Dezember 2018 täglich als eine Art Adventskalender auf Twitter verbreitet. Bei den veröffentlichten Informationen handelt es sich um verschiedene Daten von unterschiedlichsten Personen in diversen Formaten. Darunter befinden sich neben allgemeinen Adressangaben oder Telefonnummern auch Chatverläufe, E-Mails und in einigen Fällen sogar Fotos, Videos oder PDF-Dokumente. Zwar sind diese veröffentlichten Daten insgesamt eher belanglos und uninteressant, die Veröffentlichung sensibler Daten kann dennoch sehr gefährlich sein und darf daher keineswegs verharmlost werden. IT-Sicherheit und IT-Sicherheitsberater helfen dabei, sich vor solchen Angriffen zu schützen. Was genau IT-Security ist, welche Aufgaben ein IT-Security-Consultant übernimmt und wie wir Ihnen konkret beim Schutz Ihrer Website oder Ihres Online-Shops helfen können, erfahren Sie in diesem Beitrag.

Was ist IT- bzw. Internet/Web-Security?

IT-Sicherheit hat die Aufgabe, die Unternehmen und deren Werte, wie beispielsweise Know-how oder Unternehmensdaten, vor Hackern und Datenräubern zu schützen. Auch wirtschaftliche Schäden, die durch die Vernetzung von Vertraulichkeiten, Manipulationen, Störungen der Hardware oder die Verfügbarkeit der Systeme entstehen können, sollen durch IT-Sicherheit verhindert werden.

Dabei muss aber ganz klar gesagt werden, dass eine hundertprozentige Sicherheit nicht garantiert werden kann. Das Ausmaß potentieller Schäden lässt sich aber deutlich minimieren, indem umfassende Maßnahmen und Konzepte ergriffen werden.

Maßnahmen der IT-Sicherheit:

  • Schwachstellenanalyse
  • Systemhärtung
  • konkrete Angriffsversuche (Penetrationstest)
  • Datenschutz
  • Schulungen zur Sensibilisierung des Personals
  • verantwortungsbewusste Administratoren
  • Risikoanalyse bestehender Informations- und Kommunikationssysteme

Was macht ein IT-Security Consultant?

Die überaus wichtigen Risikoanalysen werden von unserem IT-Security-Consultant durchgeführt. Solche IT-Sicherheitsberater haben die Aufgabe, wertvolle Daten von Unternehmen und deren Kunden zu schützen. Das kann sich neben unternehmensinternen Netzwerken auch auf den Zahlungsverkehr mit Kunden und viele andere Bereiche beziehen. Diese Aufgabe wird immer wichtiger und beschränkt sich keineswegs auf eine bestimmte Branche. Egal, ob Airline, Versandhändler oder Anbieter für Unterhaltungselektronik – IT-Sicherheit ist bei jedem Internetauftritt wichtig!

Das Aufgabenfeld eines IT-Security Consultant ist sehr anspruchsvoll und umfasst vor allem die Planung und Durchführung technischer Vorkehrungen zum Schutz wichtiger Daten. Hierfür werden existierende Systeme überprüft, Sicherheitslücken gesucht und Präventivmaßnahmen ergriffen, die die Sicherheitslücken schließen und das Angriffsrisiko minimieren. In diesem Zusammenhang erstellt ein Sicherheitsbeauftragter auch entsprechende Berichte für Kunden oder die Geschäftsleitung.

IT Security
IT-Sicherheit für Ihr Unternehmen (Quelle: Pixabay)

IT-Security-Check für Ihr Unternehmen - Unsere Leistungen

Da inzwischen fast alle Unternehmen der Welt im Internet vertreten sind, gibt es immer mehr Hacker, die mit wenigen Clicks versuchen, diese Unternehmen zu bestehlen. Als Unternehmer sind Sie für den Schutz der persönlichen Daten und der Bankgeschäfte Ihrer Kunden verantwortlich. Um Systemausfälle zu verhindern und mit Wettbewerbern konkurrieren zu können, müssen Ihre webbasierten Anwendungen unbedingt geschützt werden. Sich auf die aktuellen Herausforderungen einzustellen, ist und bleibt ein Katz-und-Maus-Spiel. Unser Experte hilft Ihnen aber gerne, immer auf der sicheren Seite zu sein.

Um Sie bestmöglich zu schützen, bieten wir folgende Leistungen an:

  1. Bewertung der Schwachstellen
  2. Von uns durchgeführte Angriffe (Penetration-Test)
  3. Überwachung der Website
  4. Wiederherstellen der gehackten Website

1. Bewertung der Schwachstellen

Im Rahmen dieser Bewertung werden wir die Sicherheitslücken Ihrer Webseite bzw. Ihres Online-Shops ausfindig machen, ohne die Seite dabei zu beschädigen. Anschließend klären wir Sie detailliert über die bestehenden Sicherheitslücken auf und stellen zeitnah entsprechende Unterlagen bereit, falls Sie ein eigenes Entwicklerteam mit der Behebung beauftragen möchten.

2. Von uns durchgeführte Angriffe

Neben der Bewertung von Schwachstellen erläutern wir Ihnen auch gern geeignete Maßnahmen zur Abhilfe. Die Dokumentation hilft Ihnen bei der Suche nach passenden Abhilfemaßnahmen und enthält darüber hinaus ein Video, in dem gezeigt wird, wo genau die Unzulänglichkeiten Ihrer Seite liegen.

3. Überwachung der Website

Um den gewonnen Vorsprung gegenüber Hackern, die Ihre Website rund um die Uhr überwachen, zu sichern, sollten sowohl die Bewertung der Schwachstellen als auch die eigens durchgeführten Angriffe kontinuierlich wiederholt werden.

4. Wiederherstellen der gehackten Website

Sollte Ihre Website gehackt worden sein, helfen wir Ihnen, sie so schnell wie möglich wiederherzustellen. Darüber hinaus entwickeln wir auch einen Plan, um die Verluste durch Angriffe, Maleware oder Erpressersoftware zu minimieren.

Des Weiteren zählen auch Netzwerkdurchdringungstests und Anwendungsdurchdringungstests für Android zu unserem Leistungsangebot.

IT Security
IT-Sicherheit für Ihr Unternehmen (Quelle: Pixabay)

IT-Sicherheitsanalyse – Beispiele aus der Praxis

Unser IT-Security Consultant prüft diverse Webseiten verantwortungsvoll und professionell auf Sicherheitslücken. Um Ihnen einen kleinen Einblick in diese Arbeit zu geben, finden Sie nachstehend einige beispielhafte Sicherheitslücken, die bei einigen unserer Kunden aufgetaucht sind.

Verwenden einer alten SSH-Version

Beim sogenannten SSH oder Secure Shell handelt es sich um ein Netzwerkprotokoll, mit dessen Hilfe man verschlüsselte Netzwerkverbindungen mit einem entfernten Gerät herstellen kann. In alten Versionen war ein Schlüsselwechsel noch relativ aufwendig und fand deshalb eher selten statt. Darin ist auch begründet, dass bis heute viele Server mit alten und unsicheren Schlüsseln betrieben werden.

Zwar können neue Schlüssel jederzeit erstellt werden, diese Umstellung führt aber in einigen Fällen zu einer Warnung über einen möglichen Angriff. Sie wird allen Nutzern angezeigt, wenn sie sich beim nächsten Mal mit dem Server verbinden. Bei neueren Versionen gestaltet sich diese Erstellung eines neuen Schlüssels deutlich einfacher. Außerdem macht die Verwendung alter Versionen es für Hacker zum Kinderspiel, Ihre Systeme anzugreifen. Wir überprüfen die Aktualität Ihrer SSH-Version und führen gegebenenfalls die benötigten Updates für Sie durch.

IT Security
Netzwerkprotokoll (Quelle: Pixabay)

Veraltete CMS-Version (Content-Management-System)

Content Management Systeme wie WordPress oder TYPO3 sollten regelmäßigen Updates unterzogen werden. Doch auch bei ausbleibenden Updates laufen Webseiten in der Regel ohne Probleme weiter. Diese vermeintliche Stabilität birgt jedoch ein hohes Risiko. Als Besitzer der Seite wägen Sie sich in Sicherheit, da der Webauftritt nach wie vor reibungslos funktioniert. Im Hintergrund sammeln sich aber Sicherheitslücken und Inkompatibilitäten zu neueren Serversystemen.

Um zu verstehen, warum Webseiten, die auf veralteten Versionen basieren, unsicher sind, muss man wissen, wie die meisten Hacks auf Webseiten durchgeführt werden. Sie geschehen heutzutage größtenteils automatisch. Häufig auftretende Sicherheitslücken sind Hackern bekannt. Automatisierte Systeme durchsuchen das Netz dann nach den entsprechenden Webseiten. Sobald sie fündig werden, laden sie über diese Sicherheitslücken Schadcodes auf den Server der Seite.

Je länger eine solche Sicherheitslücke besteht, desto höher ist die Wahrscheinlichkeit, einer Attacke zum Opfer zu fallen. Softwareentwickler versuchen, bekannt gewordene Sicherheitslücken schnellstmöglich zu schließen. Das hilft aber nur, wenn der Betreiber der Seite die entsprechende Software regelmäßig aktualisiert. Dasselbe gilt auch für PHP als Scriptsprache und MySQL für die Datenbankverarbeitung. Im Rahmen eines IT-Security-Checks überprüfen wir daher alle relevanten Systeme auf ihre Aktualität und führen gegebenenfalls die notwendigen Updates durch.

CSRF-Angriffe

Bei der sogenannten Cross-Site-Request-Forgery (CSRF) handelt es sich um einen Angriff auf Computersysteme, bei dem den Opfern böswillige Anfragen übermittelt werden. Die CSRF übernimmt anschließend Identität und Privilegien des Opfers, um unerwünschte Funktionen in dessen Namen durchzuführen. Bei den meisten Seiten enthalten die Browseranfragen automatisch alle Anmeldeinformationen, die mit der Seite verknüpft sind. Dabei handelt es sich z. B. um Sitzungscookies des Benutzers, IP-Adressen, Anmeldeinformationen der Windowsdomain und vieles mehr. Ist der Benutzer für diese Seite authentifiziert, gibt es keine Möglichkeit mehr, zwischen einer gefälschten und einer legitimen Anfrage zu unterscheiden.

Um solche CSRF-Angriffe zu verhindern, sollten Cookies, die eine Sitzungsüberwachung durchführen, auf dynamisch generierte Session-Tokens umgestellt werden. Das macht es für Hacker deutlich schwerer, Kontrolle über die Sitzung eines Kunden zu gewinnen. Natürlich realisieren wir gern eine solche Umstellung für Sie.

Brute-Force-Angriffe

Eine andere Form der Bedrohung sind sogenannte Brute-Force-Angriffe. Hier versuchen Hacker ein Passwort zu knacken, indem eine Software in schneller Abfolge verschiedene Zeichenkombinationen ausprobiert. Der dafür verwendete Algorithmus ist sehr einfach und beschränkt sich lediglich darauf, möglichst viele Zeichenkombinationen anzuwenden. In der Praxis ist diese Methode häufig sehr erfolgreich, da viele Benutzer nur kurze Passwörter verwenden, die ausschließlich aus Buchstaben bestehen. Dies reduziert die Anzahl möglicher Kombinationen drastisch und erleichtert das Erraten.

Es existiert eine Reihe von Möglichkeiten, solche Brute-Force-Angriffe zu verhindern. Man kann beispielsweise eine Account Lockout Policy oder auch Kontosperrungsrichtlinie implementieren. Sie sorgt beispielsweise dafür, dass das Konto nach drei fehlgeschlagenen Anmeldeversuchen automatisch gesperrt wird, bis es ein Administrator wieder entsperrt. Ein Nachteil dieser Methode ist jedoch, dass mehrere Konten von einem böswilligen Benutzer gesperrt werden können. Dies kann dazu führen, dass Opfer den gewünschten Service für eine gewisse Zeit nicht mehr in Anspruch nehmen können und Administratoren viel Arbeit haben, die gesperrten Konten wieder freizugeben. Eine kompliziertere, aber bessere Alternative, sind progressive Verzögerungen, die Benutzerkonten bei fehlgeschlagenen Anmeldungsversuchen nur für einen bestimmten Zeitraum sperrt. Diese Sperrzeit erhöht sich mit jedem weiteren gescheiterten Anmeldeversuch.

Eine andere Technik ist der sogenannte Challenge-Response-Test. Hier werden Tools, wie beispielsweise kostenlose reCAPTCHA, bei denen der Benutzer ein Wort eingeben oder ein Bild zusammensetzen muss, dafür verwendet, um nachzuweisen, dass es sich tatsächlich um eine Person handelt. Automatisierte Übermittlungen der Anmeldeseite werden so verhindert. Diese Technik ist überaus effektiv. Gern realisieren wir mit Ihnen entsprechende Lösungen.

reCAPTCHA
Beispiel eines reCAPTCHA (Quelle: http://www.captcha.net/)

Zusammenfassung

Im Zeitalter des Internets kommt der IT-Sicherheit eine immer größere Bedeutung zu. Es geht vor allem darum, Daten von Unternehmen vor Hackern zu schützen und so wirtschaftliche Schäden zu verhindern. Ein hundertprozentiger Schutz kann aber nie wirklich garantiert werden. Durch die Ergreifung umfassender Maßnahmen und Konzepte lässt sich das Ausmaß potentieller Schäden aber deutlich reduzieren.

Wir von der Werbeagentur-Erfurt.net bieten unseren Kunden daher einen umfassenden Schutz. Im ersten Schritt überprüft unser erfahrener IT-Security Consultant die entsprechenden Seiten auf Schwachstellen. Die detaillierten Ergebnisse erhalten Sie in Form eines Dokumentes. Unser IT-Sicherheitsberater ist ein echter Profi in seinem Gebiet und daher in der Lage, typische Angriffe in einem sogenannten Penetrationstest durchzuführen, um so weitere Schwachstellen ausfindig zu machen. Darüber hinaus wiederholt er diese Risikoanalyse auf Wunsch auch in regelmäßigen Abständen, damit Ihr gewonnener Vorsprung gegenüber aktuellen Methoden der Hacker bestehen bleibt. Für den Fall, dass Ihre Website bereits gehackt wurde, helfen wir Ihnen gern, diese so schnell wie möglich wiederherzustellen und die Schäden weitestgehend zu begrenzen.

Wenn auch Sie sich einen umfassenden Schutz für Ihre Website oder Ihren Online-Shop wünschen, kontaktieren Sie uns gern telefonisch unter 0361 775 195 10 oder über unser Kontaktformular, um ein erstes kostenfreies Beratungsgespräch zu vereinbaren. Jetzt IT-Security-Check für Ihr Unternehmen vereinbaren! Wir freuen uns auf Ihre Anfrage.

War diese Seite hilfreich für Sie?

zum Anfang