Vortrag Internetsicherheit
„Wachsam sein und nicht alles glauben“, war die Quintessenz des Vortrags Internetsicherheit am 30.11.2019 im Pfarrsaal in Wallersdorf. Christina Weig von den Freien Wählern Wallersdorf referierte zusammen mit den Gastrednern Matthias Kettl und Thimo Schneider über die Sicherheit im Netz.
Nach einer kurzen Vorstellung begann Weig auch gleich mit den ersten beiden Themen des Abends. Begonnen wurde mit Cookies, also kleinen Textdateien die viele Funktionen im Internet, wie einen Warenkorb, überhaupt erst ermöglichen. Anschließend zeigte die Referentin den Zuhörern einige Anzeichen für einen betrügerischen Onlinehandel.
Das nächste große Thema – „Phishing“ – erläuterte Matthias Kettl, Student der Informatik und Mathematik an der LMU. Unter Phishing versteht man das Ansprechen einer großen Menge an Empfängern in der Hoffnung, durch Betrug an sensible Informationen zu gelangen. Dies kann per Brief, per Email, aber auch persönlich geschehen. Als Beispiel nannte Kettl den aktuellen Fall der vermeintlichen Feuerwehrmänner, die an verschiedenen Haustüren in Wallersdorf klingelten unter dem Vorwand, die Rauchmelder kontrollieren zu wollen. Phishing per Email sei jedoch am weitesten verbreitet.
Thimo Schneider, Student der Kerninformatik in Landshut und beruflicher Softwareentwickler, erklärte den Zuhörern verschiedene Arten von Schadsoftware. Schadsoftware sind Programme, die beispielsweise Daten des Nutzers abgreifen oder den Computer für jede Benutzung sperren. Ausdrücklich betonte der Softwareentwickler die Bedeutung von Backup. „Die Programme auf dem PC kann man neu installieren, persönliche Bilder o. Ä. sind nicht mehr zu ersetzen.“
Als letzten Punkt ging Christina Weig noch auf das Thema Datenschutz ein.
Zum Abschluss zog Weig noch einmal ein Resümee. Die Wahrscheinlichkeit, von einem Angriff getroffen zu werden sei außerordentlich niedrig. Voraussetzung dafür sei jedoch, sich im Netz mit wachen Augen und einer gesunden Skepsis zu bewegen. Ziel des Abends sei es nicht gewesen, Angst zu schüren, sondern aufzuzeigen worauf zu achten sei.
Nach dem Vortrag meldete sich Irmgard Friedberger kurz zu Wort. Mit einem Augenzwinkern kündigte die Bürgermeisterkandidatin eine eineinhalb-stündige Werbeveranstaltung an.
Schlussendlich erklärte sie jedoch, dass alle Wahlkampfveranstaltungen der Freien Wähler so ablaufen werden – dem Bürger einen Mehrwert bieten, ohne ihn mit unerbetener Selbstdarstellung zu belästigen.
Friedberger selbst werde anwesend sein und gerne zum Gespräch zur Verfügung stehen, doch von langen Wahlkampfreden werde sie Abstand nehmen.
So optimieren Sie die Internet-Sicherheit ihrer Online-Formulare!
Mit Online-Formularen sammeln Website-Betreibende diverse Informationen von den Seitenbesuchern. Allerdings können die Formulare missbraucht werden und die Internet-Sicherheit beeinträchtigen. Neben Formularen zur Registrierung und Anmeldung gibt es welche für Kommentare. Auch Einkäufe können darüber erfolgen.
Der Haken: Sobald eine Website die Interaktion mit Besuchern ermöglicht, können Hacker über diese Angriffe starten und für kriminelle Zwecke ausnutzen oder massenweise Spam-Nachrichten platzieren. Wenn Sie die Eingaben als Website-Betreiber nicht prüfen, kann zum Beispiel einfach schadhafter Code über ein Formular an den Server geschickt und dort ausgeführt werden. Lernen Sie jetzt, auf welche Weise Cyberkriminelle Formulare angreifen, wie Sie Ihre Website davor schützen und die Internet-Sicherheit steigern.
Die Risiken bei der Verwendung von Webformularen
Cyberkriminelle probieren eine Reihe von Methoden, um Webformulare für ihre Zwecke auszunutzen. Zum Beispiel:
Bei Websites mit Kommentarfunktion können Angreifer das Eingabeformular ohne entsprechenden Schutz für Spam missbrauchen. Programme von Hackern durchsuchen das Netz rund um die Uhr nach Formularen, um in diesen Werbelinks oder Links zu Malware zu hinterlegen.
Bei einer Cross-Site-Scripting-Attacke (CSS-Attacke) fügen Angreifer schädlichen HTML-Code in ein Formular ein. Ein typisches Vorgehen ist das Einfügen eines Bilds mit einem Link zu einer Website mit Malware. Dieses Bild sehen dann alle Besucher Ihrer Website und landen mit einem Klick auf der Website der Hacker.
SQL-Injection-Attacken zielen auf die Manipulation der Datenbank Ihrer Website ab. Angreifer können sich beispielsweise bei Websites ohne entsprechende Schutzmaßnahmen mit angepassten SQL-Abfragen den Adminzugang verschaffen und anschließend Ihre Website nach Belieben missbrauchen.
Bei einer Cross-Site-Request-Forgery-Attacke (CSRF) senden Hacker Anfragen im Namen eines anderen angemeldeten Nutzers Ihrer Website. Dafür nutzen die Angreifer unter anderem Social Engineering, um die Opfer persönlich in einer E-Mail oder in einem Chat anzusprechen, Vertrauen aufzubauen und zum Klick auf einen Link zu bewegen. Durch den Klick werden Aktionen im Namen des Opfers ausgeführt .
Tipps: Internet-Sicherheit optimieren und die Webformulare schützen
Nutzen Sie die folgenden Tipps und schützen Sie Ihre Website und die verwendeten Formulare bestmöglich vor missbräuchlicher Verwendung.
1. HTTPS als Standard für mehr Internet-Sicherheit
Verschlüsselte Verbindungen per HTTPS und SSL-Zertifikat sind inzwischen der Standard. Wenn Sie eine Website mit einem Formular betreiben, müssen die Verbindungen per HTTPS erfolgen. Auf diese Weise werden die Daten beim Versand verschlüsselt und Cyberkriminelle können diese nicht mitlesen. So beugen Sie einem sogenannten Man-in-the-Middle-Angriff vor. Hacker können den Datenverkehr zwischen Client und Server nicht mitlesen und somit auch nicht verändern.
2. Nutzereingaben validieren
Eingaben in Formularen dürfen nicht ungeprüft an den Server geschickt werden, Sie müssen diese begrenzen und validieren lassen. Stellen Sie unter anderem sicher, dass Nutzer in das Feld für die E-Mail-Adresse nur Adressen mit gültiger Formatierung eintragen können und Codeeingaben geblockt werden. Beliebte Formular-Erweiterungen für Content-Management-Systeme wie WordPress integrieren diese Schutzmechanismen bereits.
3. Speichern Sie nur notwendige Informationen über Ihre Seitenbesucher
In der Datenbank können Sie Informationen zu den Besuchern Ihrer Website speichern. Wenn Sie einen Onlineshop betreiben, gehören dazu auch Bezahlinformationen, die auf keinen Fall in die falschen Hände fallen dürfen. Zum Schutz müssen die Daten anonymisiert, verschlüsselt und sicher gespeichert werden.
4. Captchas nutzen
Die Tools von Hackern probieren automatisch zahlreiche Methoden aus, um Ihre Anmelde- und Kommentarformulare zu manipulieren. Captchas sind bei Nutzern zwar verständlicherweise unbeliebt, erhöhen jedoch den Schutz vor Spam und die Menge der Angriffsversuche. Wenn Sie Ihre Website mit WordPress betreiben, können Sie ein Plugin wie reCaptcha by BestWebSoft oder Advanced noCaptcha & Invisible Captcha nutzen.
5. Formulare möglichst nur von angemeldeten Nutzern ausfüllen lassen
Erlauben Sie keine Kommentare von unbekannten Personen. Abgesehen vom Formular zur Registrierung und Anmeldung auf Ihrer Website sollten Formulare nicht von jedermann ausgefüllt werden können. Auf diese Weise vermeiden Sie bereits viel Spam und viele Angriffe. Empfehlenswert ist, dass Nutzer erst nach Registrierung und Validierung der eingegebenen E-Mail-Adresse weitere Formulare ausfüllen können.
6. Starke Passwörter zur Pflicht machen
Stellen Sie sicher, dass Nutzer bei der Registrierung ein starkes Passwort eingeben. Für ein CMS wie WordPress können Sie dafür eine Erweiterung wie den Password Policy Manager herunterladen.
WordPress-Website mit einer Rundum-Sicherheitslösung schützen
Zum besseren Schutz der Internet-Sicherheit und der Webformulare gibt es für das CMS WordPress eine Reihe von nützlichen Erweiterungen. Eine beliebte Rundum-Lösung ist die Sucuri Website Security, mit der Sie Ihre WordPress-Website mit minimalem Aufwand und kostengünstig vor einer Vielzahl von Risiken schützen. Die Lösung mit Web Application Firewall (WAF) untersucht die Anfragen und Antworten – und schützt so umfangreich.
Internet-Sicherheit von Formularen optimieren – Zusammenfassung
Die Internet-Sicherheit ist für alle Website-Betreibenden ein wichtiges Thema. Es liegt in Ihrer Verantwortung, dass Ihre Website und die in der Datenbank gespeicherten Informationen der Nutzer nicht in die falschen Hände gelangen. Wenn Sie Ihre Website mit WordPress betreiben, erreichen Sie mit der Software Sucuri Website Security einen umfassenden Schutz vor Cyberkriminellen.
Titelmotiv: Photo by nordwood on Unsplash
Wie DNS-Multi-Signing die Internet-Sicherheit verbessert
Inhaltsverzeichnis Wie DNS-Multi-Signing die Internet-Sicherheit verbessert Was DNSSEC bremst Mehrfachsignaturen Ungeklärtes Providerwechsel Silberstreif Artikel in c't 12/2022 lesen
Wer Server im Internet anhand ihres Domainnamens ansteuert, beispielsweise meinebank.de, möchte sicher sein, dass er tatsächlich einen Dialog zum gewünschten Server aufbaut – digitale Wegelagerer sollen weder mithören noch den Verkehr manipulieren oder umleiten können. Doch bereits der erste Schritt, das Übersetzen des menschenlesbaren Domainnamens in eine maschinenlesbare IP-Adresse mittels DNS-Lookup, ist problematisch: Das zugrundeliegende Domain Name System (DNS) entstand Mitte der 1980er-Jahre ohne Absicherung. Anfangs war das kein Problem, das Internet war ja noch ein Forschungsnetz. Das änderte sich in den 1990er-Jahren, als es sich im großen Stil für Privatnutzer öffnete und Kriminelle neue Tätigkeitsfelder fanden. Das DNS blieb aber noch jahrelang weitgehend unverändert.
Angreifer können daher sogar heute noch Lookups durch Techniken wie DNS-Spoofing oder DNS-Cache-Poisoning manipulieren. Das hat schwerwiegende Folgen: Angreifer können Datenverkehr manipulieren und umleiten und so zum Beispiel private Kommunikation mitlesen, eine Identität vortäuschen oder Vermögen stehlen.
Dagegen schützen digitale Signaturen, die der DNS-Server an seine Antworten anheftet (DNS Security Extensions, DNSSEC). Sie sichern DNS-Auskünfte kryptografisch gegen Fälschungen und authentisieren den Server als zulässige Quelle der Antworten. Eine Transportverschlüsselung wie TLS hilft da nicht, weil sie nicht dagegen schützt, dass ein präparierter, per TLS kommunizierender Resolver dem Client falsche Informationen sendet.