Vergessen Sie, nach der Beherzigung der in den vorangegangenen Blogposts zum Thema Sicherheit genannten Tipps, nicht, dass auch das Betriebssystem und die Programme auf Ihrem lokalen Rechner regelmäßig aktualisiert werden sollten.
Aktualisieren Sie Ihr Betriebssystem und Ihre Browser sowie die eingesetzte Software zur Verwaltung Ihrer Webseite (FTP-, SSH-Programme, Website-Builder etc.), deaktivieren Sie unsichere Erweiterungen und sorgen Sie für Updates von Komponenten wie Java oder Flash.
Installieren Sie einen Virenscanner. Achten Sie bei kostenlosen sowie kostenpflichtigen Produkten darauf, dass diese automatisiert ihre jeweiligen Virensignaturen aktualisieren und richten Sie regelmäßige automatische Prüfungen des Rechners ein. Bitte installieren Sie auch eine Firewall oder ein Produkt, dass beides in Kombination enthält.
Nach einer Studie aus Mai 2012 von McAfee war der Anteil der Verbraucher ohne aktives Virenprogramm bei zuletzt 14,47% (Quelle: Bitkom)
Empfehlungen für Software
Für Windows gibt es viele Seiten mit Empfehlungen. So hat das Bundesamt für Sicherheit in der Informationstechnik Empfehlungen für Software herausgegeben, mit der Sie Ihren Rechner absichern können. Darüber hinaus gibt es auch Tipps zum Verhalten und zu Optionen wie etwa für Backups der Daten:
BSI Empfehlungen zur Cyber-Sicherheit: Produktkonfiguration
Diese Tipps für den Basisschutz für den Computer werden über eine separate Präsenz des BSI noch erweitert. Dort wird auch auf die Wahl bei der Passwortvergaben eingegangen, wie Sie Daten verschlüsseln können oder Ihr WLAN zu Hause absichern: Basisschutz leicht gemacht!
Auch Anwender mit einem Betriebssystem von Apple sollten nicht nur auf die mitgelieferten “Hausmittel” des Betriebssystems wie etwa von Gatekeeper setzen, denn das Betriebssystem wird immer interessanter für Angreifer. Auch diesen raten wir den Einsatz eines Virenscanners an. Ebenfalls sollte auch die mitgebrachte Firewall natürlich gestartet und aktiv sein. Dies erfolgt in den Systemeinstellungen unter dem Punkt Sicherheit.
Diese Meinung teilen auch die Betreiber von www.botfrei.de in einem Ihrer Blogeinträge.
Basiswissen vermittelt auch die Webseite des “Deutschland sicher im Netz e.V” (www.sicher-im-netz.de). Dort werden potentielle Gefahren benannt und erklärt, auf was man achten sollte. Mit Checks für den PC werden verschiedene Punkte wie etwa bei der Nutzung von Online-Banking erläutert: https://www.sicher-im-netz.de/verbraucher/200.aspx
Veraltete Software finden
Einen Online-Scan Ihres Rechners können Sie beispielsweise beim Anbieter Secunia ausführen, dieser zeigt veraltete Versionen der installierter Software an und bietet die Möglichkeit, Aktualisierungen herunterzuladen.
Mit der Offline-Version wird ein wöchentlicher Scan ausgeführt und man kann jederzeit über die Software weitere Informationen einsehen und Updates vornehmen:
http://secunia.com/vulnerability_scanning/online/?lang=de
Meldungen zu aktuell unsicherer Software (Online und Offline) sind auch bei Heise online einsehbar.
Immer wieder kommt es vor, dass eine neue Versionen einer Software erscheint und man vor der Frage steht: Soll ich nun das Update vornehmen oder nicht?
Im Bereich des Webhostings und aller Software, die unmittelbar mit dem Internet in Verbindung steht, sollte diese Frage eigentlich immer mit einem klaren JA beantwortet werden, um den Schutz der eigenen Daten möglichst hoch zu halten.
Natürlich ist dabei abzuwägen, ob es sich um eine kostenpflichtige Aktualisierung handelt, die alte Version vorerst noch weiter Updates erhält und welcher Aufwand mit einer solchen Aktualisierung verbunden ist.
Für den Bereich des Webhostings gibt es regelmäßig neue Versionen eingesetzter Komponenten für den Webserver, der Datenbanken oder der PHP-Versionen. Als Kunde von domainFACTORY sind alle Tarife (mit Ausnahme von JiffyBox) “gemanaged”, so dass die Aktualisierungen der grundlegenden Komponenten der Server in das Aufgabengebiet unserer technischen Abteilung fällt.
Aber auch für die Software, mit der ein Shop, Blog oder die Webseite erstellt wurde, geben die Hersteller mehr oder weniger regelmäßig neue Versionen heraus oder stellen Patche für Sicherheitslücken zur Verfügung.
Gerade das Schließen von aufgetretenen Lücken sollte zeitnah erfolgen und wir möchten nachstehend aufzeigen, welche Bereiche eine regelmäßige Prüfung und Aktualisierung betreffen sollte.
1) Eingesetzte Software / OpenSource-Applikationen
Haben Sie Software wie beispielsweise eine Blogsoftware installiert, sei es manuell oder über das Kundenmenü, so ist es unabdingbar, dass diese regelmäßig aktualisiert wird. Es besteht bei veralteter Software eine reale Gefahr des Missbrauchs durch Dritte. Neben dem vergleichsweise harmlosen Austausch der Startseite durch einen ‘hacked by …’ Hinweis, können unter Umständen auch Daten ausgespäht oder die Präsenz zur weiteren Verbreitung von Schadcode oder Spammails verwendet werden.
Für die meiste Websoftware gibt es eine Newsletter- oder Mailingliste die man abonnieren kann und dann automatisch per E-Mail auf eine neue Version hingewiesen wird. Auch im Backend wird meist angezeigt, dass eine aktualisierte Version zur Verfügung steht und nun installiert werden kann. Eine Kontrolle und Login in das jeweilige Menü sollten daher, auch bei Seiten die wenige Änderungen erfahren, zur Pflicht werden.
2) Eigene Skripte und Anpassungen
Wurden eigene Skripte geschrieben oder Anpassungen an Software vorgenommen, sollten auch diese regelmäßig geprüft werden. Die wichtigsten Punkte sind hierbei:
- die Funktionskontrolle auf z.B. aktuellerer PHP- und/oder MySQL-Version
- gibt es neuere Versionen von Komponenten die evtl. selbst kompiliert und per php.ini eingebunden wurden
- sind Anpassungen zwischenzeitlich aufgrund geänderter Anforderungen obsolet oder können deren Aufgaben von anderen Stellen übernommen werden (Aufräumen des Codes, permanentes Refactoring)
3) Installationen durch Dritte
Auch wir nehmen hin und wieder über einen sog. Auftrag für zusätzliche Leistungen Installationen für Kunden vor. Eine solche Installation durch erfahrene Mitarbeiter ist zwar für den Kunden mit sehr wenig Aufwand und vergleichsweise nur geringen Kosten verbunden, es ist aber zu beachten, dass es mit der Einrichtung nicht getan ist. Die Installation erfolgt im Regelfall mit der vom Kunden angegebenen Version und erscheinen danach neuere Versionen, so müssen diese natürlich selbsttätig ebenfalls wieder installiert werden.
Auch von Drittanbietern durchgeführte Installationen sollten aktuell gehalten werden.
Gerade im Bereich der OpenSource-Applikationen, wie Sie beispielsweise über das Kundenmenü installierbar sind, gibt es zahlreiche Schritt-für-Schritt Anleitungen, eine große Community und selbstverständlich steht Ihnen auch unser Support bei Fragen oder Problemen zum Updatevorgang beratend zur Seite.
Viele externe Dienstleister bieten zudem auch Wartungsverträge oder individuelle Pauschalen für Updates von Content-Management-Systemen, Shops etc. an. Anhaltspunkte vor dem Abschluss können sein:
- Sofortiges Einspielen von Security-Updates nach Erscheinen
- Prüfen der Erweiterungen auf Kompatibilät
- Bugfixe/Feature-Updates innerhalb einer Woche nach Erscheinen
4) Softwarekomponenten des Servers
Als Kunde von domainFACTORY sind alle Tarife (mit Ausnahme von JiffyBox) “gemanaged”, so dass – wie eingangs schon erwähnt – die Aktualisierungen der grundlegenden Komponenten der Server in unser Aufgabengebiet fällt.
Zur Gewährleistung einer bestmöglichen Systemsicherheit und Performance werden daher unsere Systeme fortlaufenden Aktualisierungen unterzogen (Update der PHP- und MySQL-Versionen, Webmailer etc.). Von Zeit zu Zeit ist es darüber hinaus auch erforderlich, umfangreichere Updates durchzuführen. Insbesondere dann, wenn viele einzelne Komponenten betroffen sind, die aufeinander aufbauen bzw. voneinander abhängen.
Über anstehende Arbeiten informieren wir dann ausführlich im Forum, Blog und im Falle eines großen Image-Updates wie zuletzt Ende April auch einige Wochen vorher per Newsletter. Alle Ankündigungen sind mit dem Hinweis versehen, dass es bei selbst kompilierten Anwendungen unter Umständen zu Problemen kommen könnte und wir eine manuelle Prüfung empfehlen.
Leider kommt es regelmäßig dazu, dass unsere Ankündigungen, trotz der Vorlaufzeit überlesen werden und plötzlich das eine oder andere Skript Probleme verursacht. Dies ist ein weitere Grund, Updates von installierter Software vorzunehmen um dauerhaft neben einer bestmöglichen Sicherheit auch die Verfügbarkeit Ihrer Daten und Projekte zu gewährleisten und einer “plötzlichen” Veränderung vorzubeugen.
