Halbjahresbericht MELANI: Gedanken zur Sicherheit Ihrer Webseite

Andy Dez 21, 2015

Im kürzlich erschienenen Halbjahresbericht von MELANI, der MELDE- UND ANALYSESTELLE INFORMATIONSSICHERUNG der Schweiz, wurden einige Themen aufgegriffen, die für uns als Hoster ebenfalls relevant sind. Hier einige Gedanken zu diesem Bericht, mit denen wir auch unsere Kunden für gewisse Problemstellungen im Bereich der Sicherheit rund ums Hosting sensibilisieren möchten.

Verwundbare CMS

Täglich gehen tausende neue Webseiten online, gemäss aktuellen Schätzungen gibt es im Moment weltweit rund 850 Millionen Webseiten. Dies wird vor allem durch die Fülle von erhältlichen Content Management Systemen (CMS) wie zum Beispiel «WordPress», «Typo3», «DjangoCMS» und «Drupal» begünstigt, die es Privatpersonen, KMUs und Web-Agenturen gleichermassen erlauben, eine Webseite zu kreieren und online zu stellen.

Wie bei jeder Software ist allerdings auch hier darauf zu achten, dass die CMS-Software ständig auf dem neusten Stand bleibt und Sicherheits-Updates regelmässig eingespielt werden, damit die Webseite nicht von Kriminellen für ihre Zwecke missbraucht werden kann. Dies gilt natürlich umso mehr, sollten sich in der Web-Applikation auch Kundendaten befinden.

Bei Web-Applikationen die bei nine.ch gehostet sind, kommt es ebenfalls immer wieder vor, dass diese «gehackt» werden. Uns erreichen in diesen Fällen jeweils sogenannte Abuse-Meldungen von SWITCH, Google, Spamcop u.a., welche wir an unseren Kunden weiterleiten. Ist ein CMS einmal kompromittiert, kann der Prozess es zu bereinigen sehr zeitaufwändig sein. Die eingeschleusten Dateien müssen aufgespürt und gelöscht werden, es müssen Backups zurückgespielt werden und unter Umständen erfährt die Webseite eine Downtime oder noch schlimmer: einen Datenverlust.

Oft scheint die Ursache zu sein, dass die Web-Applikation einmal erstellt und installiert wurde und anschliessend dem Kunden übergeben wurde ohne eine Wartung des CMS zu vereinbaren. Dieses Vorgehen konnte früher durchaus praktiziert werden, ist aber mittlerweile nicht mehr zeitgemäss. Wir empfehlen deswegen unseren Kunden, welche mit einem externen Partner arbeiten, mit diesem einen Pflegevertrag abzuschliessen, damit das CMS stets auf dem aktuellen Stand bleibt. Sollten Sie keinen Partner mehr haben, der dies für Sie übernehmen kann, kommen sie auf uns zu, wir können Ihnen in den meisten Fällen einen Partner empfehlen.

Bei nine.ch steht die Verfügbarkeit und der kompetente Support im Vordergrund, daher bieten wir ein Managed CMS nicht an. Es gibt zu viele CMS, als dass wir bei jedem einzelnen das Know-How erreichen könnten, das unsere Kunden von unserem Support gewohnt sind. Wir empfehlen daher die Zusammenarbeit mit Spezialisten für die jeweiligen CMS. Aus dieser Ausgangslage ergeben sich die folgenden Verantwortlichkeiten bei den Managed Servern von nine.ch:

  • nine.ch kümmert sich um den Server, das Betriebssystem sowie die Managed Services wie beispielsweise MySQL und Apache mit PHP. Alle Sicherheitsupdates für alle beteiligten Komponenten liegen im Aufgabenbereich von nine.ch.
  • Der Kunde ist verantwortlich für alles was auf die Managed Services von nine.ch aufsetzt, sprich das CMS und die darauf basierende Applikation.

Gemäss dem Bericht von MELANI sind derzeit über 70% der Schweizer WordPress-Installationen verwundbar, aber auch bei anderen CMS sind die ungenügend geschützten Instanzen zahlreich, obwohl eigentlich Sicherheitsupdates zur Verfügung stehen würden.

Verwundbare Wordpress Installationen, Source: GovCERT.ch
Verwundbare Wordpress Installationen, Source: GovCERT.ch

Zeitnahe Sicherheitsupdates des CMS können das Risiko vermindern, aber leider auch nicht zu 100% eliminieren. Die folgenden zusätzlichen Massnahmen werden von MELANI empfohlen und können bei einem Managed Server von nine.ch verwendet werden:

  • Einschränkung der Administrator-Zugriffe auf bestimmte IP-Adressen
  • Einschränkung der Administrator-Zugriffe mittels .htaccess-Datei unter dem Apache Webserver
  • Absichern des Webmaster-Computers
  • Frühzeitige Erkennung von Sicherheitslücken

Diese und weitere Massnahmen sind in einem Merkblatt von MELANI nochmals zusammengefasst und unser Support berät Sie auch gerne, sollten Sie Fragen rund um den Schutz Ihres CMS haben.

DDoS-Angriffe

Auch DDoS-Angriffe finden im Halbjahresbericht von MELANI Erwähnung und auch bei nine.ch ist dies leider, insbesondere in den Monaten November und Dezember, vermehrt ein Thema.

Kriminelle machen es sich zu Nutzen, dass sehr viele Online-Händler im November und Dezember die grössten Umsätze erzielen und somit in dieser Zeit am Verwundbarsten und am ehesten für Drohungen empfänglich sind.

Das Vorgehen folgt immer einem ähnlichen Muster: Zuerst wird ein “moderater” DDoS-Angriff auf die betreffende Webseite gestartet mit einer Bandbreite zwischen 10 und 15 Gbit/s. Anschliessend erhält das Opfer eine E-Mail mit finanziellen Forderungen, meistens in Bitcoins, da diese digitale Währung nur sehr schwer nachverfolgt werden kann. Sollte nicht auf die Forderung eingegangen werden, drohen die Kriminellen mit einem wesentlich stärkeren DDoS von 400-500 Gbit/s. Bisher wurde noch kein Angriff in dieser Stärke registriert, es ist daher nicht klar ob diese Gruppen tatsächlich einen solchen Angriff starten könnten. Es ist jedoch leider auch nicht relevant, da eigentlich schon die wesentlich geringere Bandbreite ausreicht, um die Seite vom Netz zu bekommen.

nine.ch reagiert in solchen Fällen mit einem sogenannten IP-Blackholing, welches die IP-Pakete bereits verwirft, bevor sie in unser Netz kommen. Die Angreifer erreichen dadurch leider ihr Ziel, die Webseite vom Netz zu nehmen, aber immerhin kann auf diese Weise verhindert werden, dass andere Server auch in Mitleidenschaft gezogen werden.

Nach der DDoS-Saison 2014 im November und Dezember 2014 - man muss das leider schon fast so bezeichnen - hat sich nine.ch dazu entschieden, eine Lösung für Managed DDoS Protection zu evaluieren und auszurollen. Wir haben uns dabei für den Marktführer dieser Art von Dienstleistung entschieden und eine Zusammenarbeit mit CloudFlare realisiert. Wie vieles in der realen Welt ist diese Lösung nicht perfekt und hat auch gewisse Nachteile. Aber in den meisten Fällen überwiegen die Vorteile und wir können mit diesem Angebot den Betrieb sicherstellen, auch wenn sich jemand dazu entschliesst, unsere Kunden auf diese Weise zu erpressen.

Sollten Sie gefährdet sein, oder gar Drohungen erhalten per E-Mail, melden Sie diese unbedingt und umgehend an MELANI und informieren Sie uns via Support. Wir können dann zusammen mit Ihnen das weitere Vorgehen planen. Bezahlen Sie auf keinen Fall das geforderte Geld an die Erpresser.

Sollten Sie sich präventiv gegen eine allfällige DDoS-Attacke absichern wollen, sei dies weil Sie Ihre Firma als gefährdet ansehen oder weil Sie in der Vergangenheit schon einmal Opfer einer DDoS-Attacke geworden sind, setzen Sie sich bitte mit unserer Verkaufsabteilung in Verbindung, um das weitere Vorgehen zu besprechen.

Dies soweit unsere Gedanken zum Bericht der MELANI, betreffend der aktuellen Lage in der Schweiz. Der Bericht ist sehr gut und interessant verfasst und wir können Ihnen diesen als Lektüre sehr empfehlen, sie finden den Bericht wie erwähnt hier.

Sollten Sie Fragen rund um das Thema haben, zögern Sie nicht uns zu kontaktieren, wir sind sehr gerne da für Ihre Fragen und Anliegen.


Andy Liyanage ist Customer Solution Architect bei nine.ch und hilft mit seinem technischen Background bei der Analyse und Konzeption von komplexen Kunden-Setups.