Im Februar 2017 hat der Webhoster 6.000 seiner Kunden gefragt, wie sie ihre Websites vor den Angriffen der Cyber-Kriminelle schützen. Das Ergebnis der Umfrage war erschreckend: 53 Prozent der Host Europe-Kunden ergreifen keine Maßnahmen zur Website-Sicherheit. Und das gilt beileibe nicht nur für Privatpersonen, die etwa ein Drittel der von Host Europe befragten Kunden ausmachten.
Ein weiteres Drittel der untersuchten Klientel machten Betreiber von Business-Websites auch, jeweils zehn Prozent fielen auf Agenturen, Shops oder Domain-Inhaber.
Ein Großteil, nämlich knapp 60 Prozent der von Host Europe befragten Kunden, hat Open-Source-Software wie WordPress im Einsatz. Aber genau diese Beliebtheit und weite Verbreitung machen WordPress-Seiten zu einem Ziel für Angriffe von Cyber-Kriminellen, die alle WordPress-Schwachstellen kennen und sie für kriminelle Machenschaften ausnutzen.
Open-Source-Nutzer legen wenig Wert auf Security
Das fällt Cyber-Kriminellen besonders leicht, denn nicht einmal die Hälfte der Open-Source-Anwender weiß überhaupt, welche Sicherheitssoftware sich bei ihnen im Einsatz befindet. Lediglich 16 Prozent von ihnen verfügen über Endpoint Security-Lösungen, 32 Prozent nutzen Malware Scanning und 33 Prozent haben eine Web Application Firewall installiert,
Diese Zahlen sind angesichts der steigenden Anzahl von Angriffen auf die Websites von Personen, Unternehmen und Institutionen alarmierend. Mit den Ergebnissen der Umfrage unter 6.000 deutschen Website-Betreibern möchte Host Europe dafür sensibilisieren, Online-Präsenzen besser zu schützen.
Dabei sind sich Website-Betreiber der Risiken eines Hacking-Angriffs durchaus bewusst: Der Ausfall der Website und der damit einhergehende Reputationsverlust sind dabei ihre größten Sorgen.
Die von Host Europe befragten Betreiber von Websites schätzen die Kosten einer durchschnittlichen Cyber-Attacke auf 979 Euro für den Ausfall zuzüglich 1.505 Euro für die Beseitigung des Reputationsschadens.
Website-Betreiber wissen oft gar nicht, dass sie "gehackt" wurden
74 Prozent der Website-Betreiber gaben Host Europe gegenüber an, dass sie noch nie Opfer eines Hacks geworden sind. Doch immerhin 15 Prozent konnten einen Hack-Angriff mit Sicherheit bestätigen, und elf Prozent wussten gar nicht, ob sie jemals von einer Attacke betroffen waren.
Dennoch hat eine Mehrheit von 60 Prozent der Website-Betreiber keinen Plan, wie im Fall eines Hacking-Angriffs vorzugehen ist - das gilt für Betreiber von persönlichen, Business- und E-Commerce-Websites gleichermaßen.
Lesetipp: Was Hacker heute alles können
Dass ein Großteil der Website-Betreiber die Absicherung der eigenen Online-Präsenz vernachlässigt, könnte seine Ursache darin haben, dass ihnen ihre Eigenverantwortung nicht bewusst ist. 45 Prozent der Befragten glauben, dass ihre Hosting-Provider für die Sicherheit ihrer Website sorgen müssen, 17 Prozent nennen die externe Webagentur als den dafür verantwortlichen Partner und nur 18 Prozent sehen sich selbst in der Pflicht, die eigene Website gegen Angriffe zu schützen. 15 Prozent gehen realistischer Weise davon aus, dass alle Parteien für die Sicherheit der Website Sorge tragen müssen.
Wie der Hosting-Provider für Sicherheit sorgt
Doch wie sind die Aufgaben für die Sicherung einer Website tatsächlich verteilt? Der Hosting-Provider federt server- und netzwerkseitige Risiken und damit einen Großteil der Gefährdungen ab. Deswegen sollten sich Website-Betreiber vor der Auswahl des Hosting-Partners informieren, welche Schutzmaßnahmen der Hoster ergreift.
"Ein hochsicheres Rechenzentrum, Abwehrlösungen, die ein automatisiertes Monitoring auf verschiedenen Ebenen und Schutz-Algorithmen bieten, die auffällige Muster erkennen und schlechten Traffic blocken, gehören genauso dazu wie ein Einsatz-Team, das bei einer Bedrohung sofort steuernd eingreifen kann", empfiehlt Dr. Claus Boyens, Geschäftsführer bei Host Europe.
"Tritt der Ernstfall ein, ist eine enge Abstimmung zwischen dem Website-Inhaber und dem Hoster erforderlich. Voraussetzung dafür ist, dass kompetenter Support rund um die Uhr erreichbar ist."
Einsatz von SSL-Zertifikaten und Scannern wie Sitelock
Die Betreiber der Websites sind jedoch grundsätzlich auch selbst in der Verantwortung, ihre Webanwendungen zu schützen, indem sie unter anderem Applikationen und Plug-ins aktuell halten, Backups erstellen und sichere Zugangsdaten verwenden.
Dies alles sind Aufgaben, die kann und darf teilweise der Hoster auch gar nicht übernehmen. Websites, die Nutzerdaten abfragen, sollten unbedingt ein SSL-Zertifikat verwenden, um die Kommunikation zwischen Besucher und Seite zu verschlüsseln. Google straft mittlerweile Seiten ab, die Nutzerdaten und Zahlungsinformationen abfragen und keine SSL-Verschlüsselung bieten.
Ein täglicher Malware-Scan über Dienste wie Sitelock erhöht das Schutzniveau der Website zusätzlich, indem dort eventuell eingeschmuggelter Quellcode einer Schadsoftware identifiziert und automatisch entfernt wird.
"Es ist wichtig, dass Betreiber von Websites dafür sensibilisiert sind, zum Schutz ihrer Online-Präsenz ihren Teil beizutragen", ergänzt Dr. Claus Boyens von Host Europe.