Serversicherheit – Mehr Schutz für die eigene Website

IT-Sicherheit

Server sind häufig ein Ziel für Cyber-Attacken. Vor allem Unternehmen und Online-Shops sind beliebte Ziele. Dabei stehen den Cyber-Kriminellen eine Vielzahl von Wegen zur Verfügung, ihre Angriffe zu starten. Was die größten Problemzonen sind und wie man sich schützen kann – jetzt auf CONSULTING.de lesen.

Haker (Bild: Nahel Abdul Hadi - Unsplash)
Cyberkriminelle kennen eine Vielzahl von Wegen des Angriffs (Bild: Nahel Abdul Hadi - Unsplash)

Ob Bots, Bruteforce-Attacken oder ähnliche Cyber-Attacken – Server sind häufig virtuellen Angriffen ausgesetzt. Gerade Unternehmen und Online-Shops sind von direkten Angriffsversuchen auf Server stark betroffen. Die Sicherheit und der Schutz des Servers genießen daher höchste Priorität. 

Hinzu kommt, dass Cyber-Kriminelle nicht immer den direkten Weg nehmen. Sie versuchen über Einzelgeräte und beispielsweise Nutzer-Accounts über Umwege das Serversystem zu manipulieren. Die Bandbreite an Möglichkeiten für Cyber-Attacken ist dabei sehr vielfältig. 

Website Security - dies sind die größten Problemzonen 

  • Unverschlüsselte Verbindungen werden ausgelesen 
  • Über gefälschte E-Mails, Webseiten oder Kurznachrichten werden sensible Daten ausgespäht (hier: Phishing) 
  • Der Nutzer wird dazu verleitet, Schadcode auf der Website aufzurufen 
  • Via Clickjacking werden Daten abgefangen 
  • Über die Daten einer Website wird Malware heruntergeladen 
  • Eine Website wird durch eine mutwillig herbeigeführte IT-Überlastung lahmgelegt (hier: DDos-Attacken) 
  • Rechner werden infiziert und schürfen anschließend nach Kryptowährungen 

Die Server als bevorzugtes Angriffsziel von Cyber-Kriminellen 

Server müssen dabei heute nicht mehr zwingend über einen Hosting-Anbieter realisiert werden. Es bestehen mittlerweile zahlreiche Möglichkeiten für Unternehmen, einen Server in Eigenregie zu betreiben. Ein Beispiel hierfür stellen Virtual Private Server dar, die sich frei administrieren lassen. Das hat sicherlich Vorteile im Hinblick auf die eigene Unabhängigkeit, erfordert aber gleichzeitig auch einen ungleich höheren Aufwand. 

Neben Kenntnissen über die Benutzerverwaltung oder beispielsweise die Paketinstallationen muss der Betreiber gerade im Hinblick auf die nötigen Sicherheitsmaßnahmen über ein entsprechendes Wissen verfügen. Ein unzureichend gesicherter Service kann leicht attackiert werden, was einem Unternehmen oftmals große Verluste beschert. 

Viele entscheiden sich daher direkt für einen externen Hosting-Dienst. Aber Vorsicht: Das Leistungsportfolio und die Preise unterscheiden sich oftmals erheblich voneinander. Ein Vergleich ist hier unabdingbar. Wer auf Nummer sicher gehen möchte, entscheidet sich für einen der führenden Hosting-Anbieter. Neben umfassenden Serviceleistungen und Sicherheitsfeatures zeichnen diese sich vor allem durch Transparenz und klar definierte Preise aus. 

Präventiv ein Eindringen in den Server verhindern 

Ist der passende Ort für einen eigenen Server gefunden, muss dieser von Anfang an sicher eingerichtet werden. Wichtig ist dabei, dass die jeweiligen Administratoren den Überblick behalten und verschiedene Sicherheitsfeatures nutzen, um bereits im Vorfeld Sicherheitslücken und mögliche Einfallstore zu schließen. Dem Angreifer sollen durch diese Maßnahmen bei einer Cyber-Attacke so wenig Angriffspunkte wie möglich geboten werden. 

Ein schlankes System erhöht die Serversicherheit 

Je einfacher bzw. minimalistischer ein System strukturiert ist, desto weniger fehleranfällig präsentiert sich. Auch Schutzlücken und etwaige Softwarefehler lassen sich durch präventive Maßnahmen deutlich reduzieren. Zu diesen präventiven Maßnahmen zählt dabei auch eine durchdachte Serverkonfiguration. 

Im Fokus stehen hierbei die Übersichtlichkeit und die Reduktion auf ein bedürfnisgerechtes System. Denn gerade komplex aufgebaute Serverkonfigurationen bzw. -systeme erhöhen aufgrund von mangelnder Übersichtlichkeit die Fehleranfälligkeit. Außerdem steigt die Gefahr, Schwachstellen zu übersehen. 

Daher gilt: Es sollten immer nur die tatsächlich für den Betrieb benötigten Hardware-Komponenten eingesetzt werden. Zudem muss das Server-Betriebssystem immer akkurat und sauber konfiguriert sein. 

Wichtig ist auch, ausschließlich Dienste zu verwenden, die wirklich für den Betrieb oder andere Einsatzzwecke benötigt werden. Dadurch ist es gleichzeitig möglich, Schnittstellen für externe Dienste bzw. Anwendungen zu minimieren. Programme und Komponenten, die nicht mehr benötigt werden, sollten die Anwender konsequent deinstallieren

Die Verwaltung von Rechten gezielt konfigurieren 

Oftmals zielen Cyber-Attacken gar nicht direkt auf den Server ab. Stattdessen geraten die Geräte oder auch die Accounts von Unternehmensmitarbeitern ins Visier der Hacker. Mit der Vergabe von Rechten kann der jeweilige Zugriff genau festgelegt und kontrolliert werden. 

Daher sollten die Verantwortlichen immer nur genau die Berechtigungen vergeben, die der jeweilige Rechteinhaber dann auch für die Erfüllung seiner Aufgaben benötigt. Insbesondere bei der Vergabe von Administrationsrechten ist Vorsicht geboten. 

In der Regel ist es nicht nötig, dass diese auch ganz normale Nutzer erhalten. Zudem macht diese Vorgehensweise den Server sicherer. Haben nur wenige Mitarbeiter Administrationsrechte erhalten, sinkt die Gefahr, dass unerfahrene Nutzer versehentlich Schaden rundum das Serversystem anrichten. 

Auch die Anzahl der Einfallmöglichkeiten für Cyber-Kriminelle lässt sich dadurch deutlich reduzieren. Denn Hacker können auch über den jeweiligen Nutzer und sein verwendetes Gerät in den Server oder in andere zentrale Bereiche eindringen. 

Datenübermittlung zwischen Client und Server gezielt schützen 

Der zentralen Benutzerverwaltung kommt dabei eine besonders hohe Bedeutung zu. Auf diese greift der Server zu. Wird die zentrale Benutzerverwaltung gezielt abgesichert, reduziert sich die Fehleranfälligkeit der zentralen Verwaltung. Grundsätzlich muss darauf geachtet werden, dass die Übermittlung der Daten zwischen Server und Client verschlüsselt erfolgt. 

Ist dies nicht der Fall, können mögliche Angreifer Passwörter identifizieren. Auf Verzeichnisdienste wie Microsoft Active Directory oder Lightweight Directory Access Protocol (kurz: LDAP) sollten Unternehmen bestenfalls verzichten. 

Einen hohen Sicherheitsstandard verspricht demgegenüber LDAPS. Hierbei handelt es sich um die durch SSL/TLS geschützte Version des Lightweight Directory Access Protocols. In diesem Fall tauschen Client und Server die entsprechenden Daten verschlüsselt aus und schützen die Kommunikation. Zusätzlich ist jederzeit eine zertifikatsbasierte Authentifizierung der Kommunikationspartner möglich. Auch Secure LDAP stellt eine gute Alternativlösung dar. 

Regelmäßige Updates der genutzten Software bringen Sicherheit 

Cyber-Kriminelle nutzen gerne auch Schwachstellen und Sicherheitslücken der in einem Unternehmen eingesetzten Software. Gerade Firmware oder zum Beispiel auch qualitativ nicht ausgereifte Business-Tools weisen mitunter Sicherheitslücken und andere Mängel durch unbeabsichtigte Programmierfehler auf. 

Schwachstellen dieser Art bieten Exploits die Möglichkeit, darüber einen Zugang zu Servern und Netzwerke zu finden. Gelingt das, schleusen sie unbemerkt beispielsweise Malware ein oder spionieren vertrauliche Daten und Informationen aus. Die Fähigkeiten und die Kenntnisse der Hacker sollten die Unternehmensführungen hier nicht unterschätzen. 

Hacker haben diesbezüglich oftmals die Möglichkeit auf so bezeichnete Exploit Kits zurückzugreifen. Cyber-Kriminelle können mithilfe dieser Kits ohne großen Aufwand Angriffe auf potenzielle Schwachstellen simulieren respektive üben. 

Wer ist für die Wartung und Pflege des Servers zuständig? 

Server (ColossusCloud - pixabay)
Ein beliebtes Angriffsziel: Die Server eines Unternehmens oder Webshops (ColossusCloud - pixabay)

Daher ist es auch besonders wichtig, entdeckte Software-Schwachstellen stets prompt zu eliminieren. Dies gelingt durch regelmäßige Updates der Software sowie des Server-Betriebssystems. Grundsätzlich sofort erfolgen sollten kritische Sicherheitsupdates, damit der Schutz vor Cyber-Attacken immer in der aktuellen Form integriert ist. 

Wird dabei Shared Hosting genutzt, pflegt der Hosting-Provider die Systeme automatisch. Bei einem eigenen Server oder auch bei einem dedizierten Root-Server auf Mietbasis, sind die Nutzer demgegenüber selbst für Updates und die Pflege verantwortlich. Allerdings erfordert das viel fundiertes Wissen und Zeitressourcen. 

Daher stellt in vielen Fällen ein vom Hosting-Anbieter gepflegter Managed-Server die bessere Alternative dar. In der Praxis gibt es hierbei allerdings mitunter deutliche Leistungsunterschiede zwischen den einzelnen Hosting-Anbieter. Ein expliziter Vergleich von Preisen und Leistungen ist hier unabdingbar. 

Das ist bei Server-Festplatten zu beachten 

Server-Festplatten sollten dabei stets in einem RAID-Verbund angeordnet werden. Dann lassen sich automatisch sämtliche Daten zwei- oder mehrfach speichern. Hierfür stehen verschiedene Verfahren zur Auswahl. Am häufigsten genutzt wird dabei RAID1. Im Rahmen dieses Verfahrens werden die jeweiligen Daten auf zwei Festplatten gespiegelt. Zum Einsatz kommen sowohl ein Software-RAID als auch ein Hardware-RAID. 

Letztere ist für die Steuerung des Festplatten-Verbunds via Controller verantwortlich. Fällt der Controller einmal aus, werden die Server-Prozesse empfindlich gestört. Ein Software-RAID weist keine eigene Steuer-Software auf. Dadurch steuert der Server-Prozessor die Festplatten. In bestimmten Fällen kann dies zu Einbußen im Hinblick auf die Server-Performance führen. 

Integration von Monitoring-Systemen erhöht die Handlungs- und Reaktionsschnelligkeit 

Unabhängig von der gewählten Hosting-Lösung kann es vorkommen, dass auch sorgfältig gepflegte Systeme ausfallen. Dies kann an der Hardware, der Software oder auch dem Netzwerk liegen. Das Problem dabei: In vielen Fällen lassen sich die Ursachen für die Probleme nicht eindeutig identifizieren. Das verhindert das schnelle Beheben der Probleme. 

Hier sollten Unternehmen grundsätzlich auf Monitoring-Systeme setzen. Die überwachen meistens sogar rund um die Uhr die Server und schlagen bei Auffälligkeiten Alarm. In solchen Fällen erhält der jeweilige Kunde eine entsprechende Alarmmeldung via E-Mail, SMS oder manchmal auch Twitter oder Messenger. Dadurch ist eine schnelle Reaktion bei Server-Problemen möglich. 

Weitere wichtige Maßnahmen für die Serversicherheit 

Um einen Server bestmöglich zu schützen, gibt es viele Optionen. Bewährt in der Praxis haben sich dabei gerade die Maßnahme, mithilfe einer Firewall ungenutzte Ports zu sperren. Dadurch wird die Netzwerkverbindung eines Systems ausschließlich auf freigegebene Dienste beschränkt. Das ergibt allein schon deshalb Sinn, da bei einem einfach aufgebauten Webserver lediglich drei Ports genutzt werden: Port 22 für SSH, Port 80 für HTTP sowie Port 443 für HTTPS. 

Schützen sollten sich Unternehmen auch gegen die so bezeichneten Bruteforce-Attacken. Um diese auszuführen, benötigen Angreifer noch nicht einmal ein fundiertes Hintergrundwissen. Bei dieser Art von Cyber-Attacke werden lediglich automatisch verschiedene Passwörter ausprobiert. Dabei sind jederzeit Zufallstreffer möglich. 

Werden dabei allerdings die Login-Versuche protokolliert, lassen sich Bruteforce-Attacken schnell identifizieren. Eine gute Hilfe bietet hier das Intrusion Prevention System fail2ban, das automatisch und mittels vordefinierter Muster fehlgeschlagene Login-Versuche auswertet und entsprechende Maßnahmen ergreift. Dadurch verlangsamt sich die Angriffsperformance. 

Der Newsletter der Consultingbranche

News +++ Jobs +++ Whitepaper +++ Webinare

/pj

Über CONSULTING.de

consulting.de ist das zentrale Informationsportal für Unternehmensberatungen. Unser breites Informationsangebot rund um Consulting richtet sich sowohl an Management- und Strategieberatungen, Personalberatungen, Controlling- und Finanzberatungen, Wirtschaftsprüfungen, Marketing- und Kommunikationsberatung und IT-Beratungen als auch deren Kunden aus Industrie, Handel sowie Dienstleistung.

facebook twitter xing linkedin linkedin