Dass das World Wide Web ein Ort voller kleiner und großer Gefahren sein kann, weiß heute wohl jeder Internetnutzer. Schließlich trifft man beim Surfen durch die schöne, bunte Onlinewelt immer wieder auf – häufig glücklicherweise leicht als solche erkennbare – Spam- und Phishing-Fallen. Doch warum ist das eigentlich so?
Ein entscheidender Grund für all den Spam im Internet liegt in der noch immer weit verbreiteten Hoffnung vieler Webseitenbetreiber, einfach nicht „interessant genug“ für Hackerangriffe zu sein. Ein fataler Irrtum, wie nun der neue Sucuri Website Threat Research Report verdeutlicht.
Cyber-Angreifer machen auch vor kleinen und mittleren Webseiten nicht halt
In dem von DomainFactory veröffentlichten, brandaktuellen und besonders umfangreichen Gefahren-Report wurden nämlich erst kürzlich unglaubliche 170.827.313 Angriffsversuche und über 98 Millionen SiteCheck Scans der Website Security Plattform Sucuri aus dem vergangenen Jahr ausgewertet.
Das Ergebnis: Niederschmetternd! Gerade für Betreiber von kleinen und mittelgroßen Webseiten und Onlineshops.
Dem Report zufolge geraten sie nämlich nicht nur immer stärker in den Fokus der zumeist hervorragend organisierten Cyber-Angreifer. Sie öffnen den Hackern häufig auch noch unwissentlich selbst Tür und Tor. Und das, obwohl die sicherheitsgefährdenden Angriffe aus dem Netz auch für viele deutsche Webseiten- und Shopbetreiber längst zum Online-Alltag gehören. Denn schließlich fallen jeden Tag weltweit über 90.000 Webseiten einem Hackerangriff zum Opfer. Oder anders ausgedrückt: Jede Sekunde knacken die Cyber-Angreifer mehr als eine Webpräsenz. 24 Stunden am Tag, 365 Tage im Jahr.
Dass bei einer derart gewaltigen Zahl an (erfolgreichen) Angriffen auch bei den Hackern nicht mehr vieles „von Hand“ passiert, dürfte ebenfalls einleuchten. Und tatsächlich: Durch die zunehmende Verbreitung von Content Management Systemen (CMS) bieten sich den Onlinekriminellen heute immer mehr Möglichkeiten, unerlaubt Zugriff auf verwundbare Systeme zu erlangen. Die meisten Cyberangriffe erfolgen deshalb mittlerweile vollautomatisiert – und machen schon deshalb nicht mehr vor kleinen und mittleren Webseiten halt.
Content Management Systeme (CMS) als Risikofaktor? Jein!
Einer der Hauptgründe für dieses Phänomen liegt, wie bereits angedeutet, wahrscheinlich in der immer leichter zu bedienenden Website-Technik. Denn mit modernen Open Source-Angeboten wie WordPress, Joomla! oder Magento lassen sich professionell gestaltete Webseiten und Onlineshops heute (nahezu) ohne Programmier- oder Webdesignkenntnisse umsetzen.
Wird das verwendete System danach nur mit neuen Inhalten befüllt und – wie so oft – nicht regelmäßig technisch gewartet, haben Angreifer besonders leichtes Spiel. Die aktuellen Zahlen belegen es: Deutlich über die Hälfte der befallenen Content Management Systeme (CMS) aus dem Sucuri-Report waren zum Zeitpunkt der Infektion veraltet. Die Folge: Erhebliche, oft sogar schon lange Zeit bekannte, Sicherheitslücken – die sich aber mit regelmäßigen Updates rechtzeitig hätten schließen lassen.
Welchem Risiko sich Webseiten mit schlecht oder nur selten gepflegten Open Source CMS aussetzen, zeigt ein eindrucksvolles Beispiel aus dem vergangenen Jahr:
Durch die von außen angreifbare update_option() Funktion entstand bei über 50 weit verbreiteten Wordpress-Erweiterungen (Plugins) eine weit klaffende Sicherheitslücke. Das entsprechende System-Update ließ glücklicherweise nicht lange auf sich warten. Doch für Millionen nicht regelmäßig aktualisierter Webpräsenzen kam auch Wochen und Monate nach Bekanntwerden des Problems jede Hilfe zu spät.
SEO-Spam ist häufigste Art von Webseiten-Infektion
Was ebenfalls gerade vielen Betreibern von kleineren und mittleren Webseiten nicht klar ist: Einem großen Teil der Online-Angreifer geht es heute nicht (mehr) nur darum, möglichst viele relevante oder personenbezogene Daten zu erhaschen.
Stattdessen zielt ein Gros der automatisierten Angriffe darauf ab, möglichst unbemerkt so genannten SEO-Spam auf dem infiltrierten System zu platzieren. Beispielsweise in Form von Spam-Inhalten oder Weiterleitungen auf andere Webseiten. Dort sollen die nichtsahnenden Websitebesucher dann zum Download von „echter“ Schadsoftware oder zur Eingabe persönlicher Daten bewegt werden.
Doch es geht sogar noch perfider. Denn immer öfter nutzen die Spam-Programme bestehende Sicherheitslücken in veralteten Browserversionen der Websitebesucher aus – und installieren ihrerseits Schadsoftware direkt auf deren Rechnern.
Besonders fatal: Gut gemacht bleibt SEO-Spam oft wochen- oder monatelang unentdeckt. Denn ausgefeilte Spam-Techniken wie Cloaking oder das Platzieren von unsichtbaren Spam-Links, die mittels CSS oder JavaScript verschleiert werden, sind für nichtsahnende Webmaster nur schwer zu entdecken.
Erst ein spürbarer Verlust von Suchmaschinen-Rankings, deutlich weniger Traffic oder fallende Conversion Rates lassen sie in der Regel irgendwann stutzig werden. Doch dann ist der Schaden meist bereits so groß, dass sich dieser nur noch mit erheblichem finanziellen und zeitlichen Aufwand beheben lässt – wenn überhaupt. Denn nicht nur die eindringlichen Sicherheitswarnungen, die vielen Usern vor dem Besuch der infizierten Seite angezeigt werden, können einen spürbaren Kratzer in der Onlinereputation der Webpräsenz hinterlassen. Unbehandelt kann SEO-Spam sogar zu einem (dauerhaften) Blacklisting führen, also womöglich die gesamte Domain für alle Zeit „verbrennen“.
Was ist eigentlich Cloaking?
Bei dieser Spam-Technik werden Webseitenbesuchern, Webmastern und Suchmaschinen unterschiedliche Inhalte auf der befallenen Webseite angezeigt. Das führt dazu, dass mittelfristig die komplette Webpräsenz durch Spaminhalte ersetzt – und in den Suchmaschienen von Google entsprechend „neu indexiert“ – wird. Webmaster sehen dagegen für gewöhnlich den orginären Inhalt.
Versteckte „Hintertüren“ machen es Angreifern leicht
Ein weiteres, oft deutlich unterschätztes Problem stellen in diesem Zusammenhang übrigens die so genannten „Backdoors“ da. Denn durch diese „Hintertüren“ im Quellcode haben die Angreifer oft auch noch dann Zugriff auf die infizierte Webseite, wenn das ursprüngliche Schadprogramm bereits erkannt, entfernt und die Software aktualisiert wurde.
Weitere Informationen:
Der gesamte Website Threat Report steht unter www.df.eu/website-gefahren-report zum kostenlosen Download bereit.