Fast jede Woche liest man darüber, dass bei einer Firma Nutzerdaten gestohlen wurden, und immer öfter kamen die Hacker nicht über eine Hintertür im Server, sondern über eine unsichere Webseite. Der Zugang kann über verschiedene Wege erfolgen:
- es kann Code in die Webseite injiziert werden
- die Serververbindung ist nicht verschlüsselt
- die Webseite lädt auf dem gleichen Server wie Unternehmenssoftware
Sichere Verbindung
Einige Browser zeigen heute schon mit einer Warnung an, wenn eine Webseite nicht über eine sicherer SSL-Verschlüsselung geöffnet wird. Suchmaschinen werden unsichere Seiten als weniger wichtig und relevant einsortieren. Sicherere Verbindungen schützen aber schlicht sowohl den Benutzer als auch den Betreiber einer Webseite und sollten schon deshalb eine Selbstverständlichkeit sein.
Daten verschlüsseln
Es sollte selbstverständlich sein, dass alle Daten eines Nutzers verschlüsselt übertragen werden. Das gilt sowohl für ein einfaches Kontaktformular als auch für Daten wie Kreditkarteninformationen. Auf dem Server dürfen auf keinen Fall Passwörter oder andere wichtigen Informationen als reiner Text gespeichert sein.
Weniger ist mehr
Auch wenn es heute einfach ist, eine Menge an Informationen über einen Benutzter zu sammeln so ist es genauso einfach, dass diese von Unbefugten abgefangen oder gestohlen werden können. Eine wichtige Grundregel ist deshalb, das nur so viele Daten wie unbedingt notwendig gespeichert werden sollen. Was nicht vorhanden ist, kann auch nicht gestohlen werden.
Regelmäßige Updates
Zu viele Webseiten werden immer noch gehackt, weil das dahinter liegende Content Management System nicht aktualisiert wurde. Ebenso kann es sein, dass die Serversoftware veraltet ist und Hacker Sicherheitslöcher ausnutzen. Regelmäßige Updates mögen zwar etwas Zeit (und meisten übrigens kaum Geld) kosten, aber sie sind einfache Methode, zumindest eine grundlegende Sicherheit zu haben. Das bezieht sich übrigens nicht nur auf die Webseitensoftware, sondern vor allem auch auf die Plugins. Diese können oft eine große Sicherheitslücke darstellen, vor allem wenn sie von eher kleineren Entwicklern kommen, die keine ordentliche Testumgebung haben.
