Gerne sprechen die Hoster nicht darüber: Was passiert, wenn die Website eines Kunden gehackt wird? Und was kann oder muss der Besitzer unbedingt tun? ZDNet hat nachgefragt und fasst die Antworten übersichtlich zusammen.
Vor Angriffen auf seine Website ist scheinbar kaum jemand gefeit: Sony hat es bei seiner Playstation-Webseite schon erwischt[1], den Sicherheitsanbieter Kaspersky (wenn auch nur in der Filiale in Malaysia) und im Herbst 2007 die Gewerkschaft Deutscher Lokomotivführer, als der noch laufende Streik auf deren Website kurzerhand für beendet erklärt wurde[2].
Als Faustregel gilt dabei: Je prominenter die Seite, umso wahrscheinlicher ist es, dass die Cracker sich lediglich Aufmerksamkeit verschaffen oder von der bekannten Seite profitieren wollen. Beispielsweise bei Bundesinnenminister Wolfgang Schäuble[3] vor wenigen Wochen, als die Startseite lediglich durch ein zusätzliches Bild verändert wurde, wahrscheinlich, um den Sicherheitsfanatiker zu ärgern.
Kommerzielle Interessen steckten dagegen bereits hinter der Attacke auf die Webseite von Al Gore im vergangenen Herbst. Mit von den Crackern eingebauten versteckten Links half Gore unbeabsichtigt dabei[4], den Google-Page-Rank[5] der Seiten von Anbietern gefälschter Pharmaprodukte zu verbessern.
Je unbekannter die Seite dagegen ist, umso wahrscheinlicher wird es, dass der Angreifer ganz andere Ziele verfolgt: Etwa den Versand von Spam. Dafür suchen Internetkriminelle inzwischen auch gerne private Homepages oder Sites kleiner Firmen auf, bei denen sie zu Recht hoffen können, weniger ausgefeilte Sicherheitsvorkehrungen anzutreffen.
Den Betroffenen, die die Veränderung oft erst einige Tage später bemerken oder auf Umwegen davon erfahren, droht ein böses Erwachen - etwa wenn der Provider die Rechnung für den zusätzlichen Traffic vorlegt. Oder noch schlimmer, wenn sie auf einmal als Spam- oder Malwareversender dastehen - ohne davon überhaupt etwas bemerkt zu haben. Zwar ist laut Bundesamt für Sicherheit in der Informationstechnik[6] "die fahrlässige oder unwissentliche Verbreitung von Schadprogrammen wie Viren oder Würmern grundsätzlich keine Straftat, allerdings kann eine zivilrechtliche Haftung auch schon bei Fahrlässigkeit entstehen."
Zu Deutsch heißt das: Es droht zwar keine Strafe, für entstandenen wirtschaftlichen Schaden müsste aber aufgekommen werden. Und bei Unternehmen - seien sie auch noch so klein - "besteht unter Umständen eine erhöhte Sorgfaltspflicht, die sich etwa aus dem Aktiengesetz oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ergeben kann." ZDNet hat sich bei Webhostern erkundigt, welche Vorkehrungen sie treffen, was im schlimmsten Fall passieren kann und wie Betroffene reagieren sollten. Besonders auskunftsfreudig waren dabei die wenigsten Anbieter: Wer will schon zugeben, dass seine Kunden ständig Sicherheitsprobleme mit ihrer Webseite haben und dafür auch noch kräftig zur Kasse gebeten werden? Die Tatsache, dass überhaupt geantwortet wurde, ist daher schon fast ein Qualitätskriterium für sich.
Wichtig zu unterscheiden ist, auf welcher Grundlage die Website betreiben wird. Beim Homepage-Paket verwaltet der Provider den Server und ist dafür verantwortlich, bei virtuellen oder dedizierten Servern dagegen hat der Kunden vollen Root-Zugriff. Also liegt auch die volle Verantwortung bei ihm.
Handelt es sich um eines der Homepage-Pakete der Hoster, sind von diesen meist grundlegende Sicherheitsmaßnahmen eingebaut oder werden zumindest optional angeboten. Der Sitebetreiber sollte dennoch darauf achten, wenigstens die schlimmsten Schnitzer zu vermeiden. Wichtig ist etwa, ein vernünftiges Passwort aus einer Buchstaben-Zahlenkombination zu wählen und bei integrierten Mail-Formularen ein Captcha[7] zu verwenden.
Hilfreich ist auch, die jeweils aktuellste Version der zur Programmierung verwendeten Tools einzusetzen, da sie bekannte Fehler weitgehend vermeiden. Außerdem sollten Dienste wie SSH[8] oder FTP[9] abgestellt werden, wenn sie nicht benötigt werden - was bei den Homepagepaketen meist über den Kundenservice möglich ist.
Strato[10] beispielsweise vermarktet den Grundschutz als Strato SiteGuard. Dazu gehört laut Firmensprecher Lars Gurow ein Schreibschutz für den Webspace, so dass sich Skripte nicht verändern lassen. Auf Wunsch ist auch eine Benachrichtigung bei Schreibvorgängen möglich - was etwa sinnvoll ist, wenn mehrere Personen an der Site arbeiten dürfen.
Ähnlich wie Strato handelt die ebenfalls in Berlin ansässige 1blu AG[11]. Auch bei ihr werden Homepagepakete mit einem grundlegenden Schutz gesichert. Im Falle eines Hacks hilft der Anbieter seinen Kunden zudem, das Problem so schnell wie möglich abzustellen. "Wir berechnen auch nichts, wenn der Traffic - aus welchen Gründen auch immer - einmalig über das vereinbarte Volumen hinausgeht", versichert Firmensprecherin Diana Dasch. Komme es öfter vor, etwa weil die Site populärer als erwartet werde, empfehle man dem Besitzer jedoch, in eine andere Preiskategorie zu wechseln.
Eigentlich alle Anbieter, die sich auf Anfrage von ZDNet zu dem Problem geäußert haben, also 1blu, M-Net[12], NX24 GmbH[13] und Strato, betonten, wie wichtig es sei, bei Sicherheitsproblemen möglichst umgehend Kontakt aufzunehmen und versicherten, dass sich eigentlich immer eine unbürokratische Lösung finden lasse. Wichtig sei jedoch, dass versucht werde, zumindest die Logfiles zu sichern.
Empfehlungen, ob Betroffene bei der nächsten Polizeidienststelle parallel dazu Strafanzeige[14] gegen Unbekannt wegen Verstoß gegen §202a[15] (Ausspähen von Daten) und §303a[16] (Datenveränderung) stellen sollten, wollte keiner der Befragten abgeben. Schließlich seien sie nicht zur Rechtsberatung befugt.
Zwischen den Zeilen klang jedoch an, dass sich kaum einer Erfolg davon versprach. Andererseits ist es gerade diese Einstellung, die den Behörden die Verfolgung und die Aufklärung solcher Straftaten erschwert: Denn meist handelt es sich um Mehrfachtäter, die zwar jedes Mal nur wenige Spuren zurücklassen, denen die Behörden aber durch die Vielzahl der Fälle irgendwann doch auf die Schliche kommen.
Bei virtuellen oder dedizierten Servern ist die Ausgangslage etwas komplizierter als bei den Homepagepaketen. Das Problem der Hoster ist, dass sie selbst bei ernsthaften Problemen ohne ausdrückliche Aufforderung durch den Kunden eigentlich kaum eingreifen dürfen.
"Unsere Techniker beobachten zwar das Trafficverhalten der Server, und können dadurch auch Auffälligkeiten schnell feststellen und dem Kunden mitteilen, Inhalte überprüfen wir aber natürlich nicht", erklärt stellvertretend für alle Anbieter Mark Petzold von der Stuttgarter NX24 GmbH. Ausnahmen seien etwa, wenn mittels der Server verbotene Inhalte angeboten werden. "Dann sind die Hoster verpflichtet, der Polizei und den Ermitttlungsbehörden zu helfen", betont 1blu-Mitarbeiterin Dasch.
Ähnlich verhält es sich, wenn der gemietete Server über Nacht zur Spamschleuder wird. Dann benachrichtigen die Anbieter zwar im Allgemeinen zunächst den Besitzer über das unerwünschte Verhalten. Ändert sich trotzdem nichts, sind sie aber gezwungen, den Server vom Netz zu nehmen.
Eine Möglichkeit, eventuell selbst zu bemerken, ob die eigene Website gehackt ist und zum Spamversand benutzt wird, bietet die Funktion Google Alerts[17]. Um sie für diesen Zweck zu nutzen, ist allerdings ein Google-Account Voraussetzung. Dann lassen sich Alerts aufsetzen, für die die Suche auf die gewünschte Site beschränkt wird und als deren Suchbegriffe markante, in Spam-Mails häufig vorkommende Begriffe verwendet werden.
Die Funktion "Benachrichtigung bei Veröffentlichung" verschickt dann eine Mail, sobald die verdächtigen Worte auf der Website gefunden werden. Selbstverständlich lassen sich so nur die definierten Begriffe erfassen, Spam-Mails mit anderen Inhalten fallen nicht auf.
Als Fazit und Empfehlung lässt sich sagen, dass ein virtueller oder dedizierter Server nur dann gewählt werden sollte, wenn die damit möglichen Funktionen auch wirklich genutzt werden. Denn der Betreiber bürdet sich damit wesentlich mehr Verantwortung auf als mit einem der Homepagepakete der Hoster. Der Preisunterscheid sollte nicht das ausschlaggebende Kriterium sein, einen virtuellen Server auszuwählen.
Zwar sind häufig die Homepagepakete teurer, dafür bieten sie aber eben auch mehr Komfort. Das gilt insbesondere für Websites, die rein zu Repräsentationszwecken aufgesetzt werden. Man sollte sich also gut überlegen, wie viel Individualität notwendig ist und ob die nicht mit den inzwischen recht umfangreichen Komplettpaketen bereits erreicht werden kann. Möglicherweise erspart man sich so viel Ärger.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = https:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/
[11] = http:/
[12] = http:/
[13] = http:/
[14] = http:/
[15] = http:/
[16] = http:/
[17] = http:/