17.10.2023
Sicheres Webhosting zum Schutz von Unternehmensdaten
Die rasante Entwicklung des WWW ermöglicht es heute jedem Unternehmen eigene Inhalte online zu teilen. Dabei eröffnen sich zahlreiche Chancen, jedoch wirft das damit verbundene Webhosting wichtige Fragen zur Sicherheit auf. Wir beleuchten die relevantesten Sicherheitsrisiken und geben Tipps, wie Sie Webhosting sicher und gewinnbringend für Ihr Unternehmen nutzen können.
Dr. Philipp Siedenburg
Director Datenschutz
Die rasante Entwicklung des World Wide Web hat dazu geführt, dass heute nahezu jeder, ob unternehmerisch oder privat, eigene Inhalte im Web bereitstellen oder veröffentlichen kann. Für Unternehmen bietet die Präsenz im Web in vielerlei Hinsicht große Chancen. Das damit verbundene so genannte Webhosting wirft aber gleichzeitig Fragen nach den notwendigen Sicherheitsmaßnahmen auf. Insbesondere Unternehmen, die im E-Commerce tätig sind und mit Login-Bereichen arbeiten, müssen sicherstellen, dass die Daten ihrer Kundinnen und Kunden sicher und geschützt sind. Im Folgenden beleuchten wir die relevantesten Sicherheitsrisiken und zeigen auf, mit welchen Maßnahmen Sie Webhosting sicher und gleichzeitig gewinnbringend für Ihr Unternehmen nutzen können.
Was ist Webhosting und warum ist es für Ihre Website unverzichtbar?
Bevor auf die Beschreibung der relevanten Sicherheitsrisiken eingegangen wird, soll zunächst geklärt werden, was genau unter dem Begriff Webhosting zu verstehen ist. Ohne Webhosting ist die Veröffentlichung eines Online-Angebots undenkbar, da es die dafür geeignete Infrastruktur bereitstellt, die technische Grundlage bietet und somit den Betrieb des jeweiligen Webprojekts gewährleistet. Der zur Verfügung gestellte Webspace bzw. Speicherplatz ermöglicht die zentrale Speicherung aller Benutzer- und Anwendungsdaten rund um das Webprojekt.
Grundsätzlich können sowohl Unternehmen als auch Privatpersonen eigene Infrastrukturen für das Hosting von Webprojekten aufbauen und betreiben. Dies ist jedoch nicht nur aufwändig, sondern auch teuer. Beim so genannten Hosting on premise („in den eigenen Räumlichkeiten“, „vor Ort“) müssen verschiedene Einheiten wie Domain Controller, Webserver, Fileserver, Backupserver, E-Mail-Server etc. nicht nur redundant, d.h. aus Sicherheitsgründen doppelt vorhanden sein, sondern auch betreut und regelmäßig gewartet werden. Vor dem Hintergrund dieses hohen Verwaltungs- und Kostenaufwands sind Nutzerinnen und Nutzer in den letzten Jahren mehrheitlich dazu übergegangen, die Dienste von so genannten Webhosting-Anbietern bzw. Providern für ihre Webpräsenz in Anspruch zu nehmen. Wenn heute von Webhosting die Rede ist, handelt es sich daher in der Regel um Angebote von Hosting-Anbietern, die Webspace unterschiedlicher Größe und die dazugehörige Infrastruktur für die Veröffentlichung von Webpräsenzen gegen Entgelt zur Verfügung stellen. Diese Anbietenden betreiben die Infrastruktur für ihre Angebote in großen Rechenzentren. Die jeweilige Website wird dabei auf dem externen Server eines bestimmten Anbieters abgelegt und den Kunden die Möglichkeit geboten, ihren Internetauftritt zu speichern, den Internetnutzerinnern und -nutzern zugänglich zu machen und zu pflegen.
Sicher im Netz: Wie Webhosting Daten schützt und warum die Wahl des richtigen Providers entscheidend ist
Sicherheit spielt im Kontext des Webhostings eine zentrale Rolle, um die Daten und Informationen auf einer Website vor unbefugtem Zugriff, Datenverlust oder anderen Bedrohungen zu schützen. Je sensibler die Daten sind, die in dem gehosteten Webprojekt gespeichert und verarbeitet sind, desto schwerer wiegen Szenarien wie der Verlust von Daten oder die zeitweilige Nichterreichbarkeit der Webpräsenz. Solche Risiken betreffen nicht nur den Kernbereich der Authentifizierung, dem sich dieser Beitrag im Schwerpunkt widmet. Zum Teil liegen die Sicherheitsaspekte, die zu bedenken sind, auch vorgelagert und damit außerhalb der Sphäre der Kundin/des Kunden bzw. des Unternehmens. Deshalb ist es umso wichtiger, einen zuverlässigen Webhoster zu finden. Im Rahmen Sicherheit des Rechenzentrums beispielsweise ist für die Gebäudesicherheit, die ausfallsichere Stromversorgung und Klimatisierung sowie ausreichenden Brandschutz zu sorgen. Auch die Sicherheit des Netzwerks beim Provider ist ein wichtiger Angriffspunkt. Hier spielt im Rahmen notwendiger Sicherheitsstandards der Einsatz von Firewalls eine entscheidende Rolle, die den Webserver vor unerlaubten Zugriffen schützen, indem sie den Datenverkehr überwachen und verdächtige Aktivitäten blockieren.
Der einzige Bereich, der für den Kunden steuerbar ist, betrifft die Produktsicherheit also die Sicherheit der Webpräsenz an sich. Die Sicherheit des Produkts hängt unter anderen von der Art des Webhostings ab. Dedicated oder Bare Metal Server beispielsweise (also solche, die nur für einen bestimmten Einsatzzweck und damit nur für Ihr Unternehmen vorgesehen sind) bieten mehr steuerbare Sicherheitsoptionen als ein Server mit Shared Hosting (den sich mehrere Websites teilen). Auch die Sicherheitseigenschaften des Webhostings in der Cloud und eines virtuellen Servers weisen Unterschiede auf. Mehr steuerbare Sicherheitsoptionen erfordern auch mehr Erfahrung und Fachkenntnisse, um angemessen konfiguriert zu werden. Abseits davon gelten für alle Arten des Webhostings aber dieselben Grundsätze der Produktsicherheit.
Ihre Lösung für den besten Datenschutz
Die Grundlage jeder guten Geschäftsbeziehung ist Vertrauen. Stärken Sie die Beziehung zu Ihren Kunden mit unserer Expertise im Datenschutz. Damit sichern Sie Ihrer Unternehmung einen starken Wettbewerbsvorteil und können sich voll auf Ihr Geschäft konzentrieren.
Häufige Sicherheitsfallen beim Webhosting: Broken Access Control, Cryptographic Failures und Injection Risiken im Überblick
Bestimmte Sicherheitsrisiken treten beim Webhosting immer wieder auf und sollten deswegen bei der Etablierung von Sicherheitsmaßnahmen im Hinterkopf behalten werden. Im Folgenden finden Sie die drei häufigsten Szenarien, die ein Risiko für die Sicherheit von Daten und Informationen darstellen können.
Broken Access Control (fehlerhafte Zugriffskontrolle)
Die Zugriffskontrolle steuert den Zugriff einzelner Benutzerinnen und Benutzer auf die Funktionen und Inhalte eines Webdienstes. Abhängig von der Aufgabe, können die verschiedenen Benutzerinnen und Benutzer über eine Reihe von Privilegien, Rollen und Gruppen verfügen und angehören.
Oftmals wächst die Zugriffskontrolle historisch mit dem Webdienst zusammen und statt einer hinreichenden Planung werden Regeln für Zugriffsrechte unreguliert und Ad-Hoc vergeben. Die Regeln der Zugriffskontrolle sind dann unübersichtlich, nur schwer nachvollziehbar und der Verwaltungsaufwand wird anschließend erheblich unterschätzt. Unbefugte Benutzerinnen und Benutzer erlangen Zugriff auf sensible Daten oder dürfen Aufgaben ausführen, für die sie nicht berechtigt sind. Fehlerhafte Zugriffskontrollen können von Angreiferinnen bzw. Angreifern leicht entdeckt und für eigene Zwecke ausgenutzt werden.
Cryptographic Failures (Kryptographie-Fehler)
Eine angemessene Verschlüsselung schützt sensible Daten wie Geschäftsgeheimnisse, personenbezogene Daten und Passwörter vor unbefugtem Zugriff. Schwache veraltete oder inkonsistent umgesetzte Verschlüsselungen von „Data in Transit“ (Daten während der Übertragung) und „Data at Rest“ (gespeicherte Daten im Ruhezustand) können teilweise unbemerkt zur Infiltration von Systemen und zum Abfluss großer Datenmengen führen.
Injection (Injektion über Sicherheitslücken)
Unzureichend gehärtete Systeme und Dienste können zu einer Vielzahl von unerwarteten Wechselwirkungen und Sicherheitslücken führen. Angreiferinnen bzw. Angreifer suchen nach potenziellen Lücken und versuchen an diesen Stellen eigenen Code zu injizieren und die Systeme dadurch zu kompromittieren.
DSGVO-konformes Webhosting: Benutzerdaten effektiv schützen und Authentifizierungsmethoden wirksam gestalten
Die soeben dargestellten Risiken beim Webhosting betreffen unter anderem Benutzerdaten und damit solche, die personenbezogen sind. Ihr Schutz ist Gegenstand der Datenschutz-Grundverordnung (DSGVO). Um zu verhindern, dass Unbefugte auf diese Daten erlangen, schreibt die DSGVO vor, dass Unternehmen geeignete Maßnahmen ergreifen müssen, die die Sicherheit der Verarbeitung personenbezogener Daten gewährleisten, sog. technische und organisatorische Maßnahmen (TOM). Art. 32 Abs. 1 DSGVO nennt ein ganzes Bündel solcher Maßnahmen, die sicherstellen sollen, dass personenbezogene Daten dem neuesten Stand der Technik nach ausreichend geschützt sind. Im Rahmen der Sicherheitsrisiken bei der Authentifizierung beim Webhosting insbesondere über Cloud-Lösungen haben sich mittlerweile Methoden etabliert, die die skizzierten Risiken eindämmen und einen wirksamen Zugangsschutz zu Datenverarbeitungssystemen bieten können, die klassische (passwort-basierte) Methode sowie die innovative Methode (ohne Passwort).
Sicherheitsboost für die Webpräsenz: Multifaktor-Authentifizierung und zentrale Protokollierung als Schlüsselinstrumente
Im Rahmen dieser Methoden bieten sich verschiedene Möglichkeiten, die Sicherheit der Webpräsenz zu erhören. Wir zeigen im Folgenden zwei wichtige Instrumente beispielhaft auf:
Multifaktor-Authentifizierung erhöht die Sicherheit einer Webdienstleistung, indem sie mindestens zwei verschiedene und voneinander unabhängige Faktoren verlangt, um Zugang zu einem Online-Konto, eine Anwendung oder eine ähnliche Ressource zu erhalten. So werden zum Beispiel mehrere Faktoren zur Identitätsprüfung genutzt, wenn die Eingabe eines Passworts mit einem einzugebenden Code ergänzt wird. Der Code wird an ein zusätzliches Gerät oder Faktor, z.B. das Smartphone der Nutzerin und des Nutzers, gesendet.
Die Implementierung ist besonders effektiv gegenüber automatisierten Angriffen und schützt die Systeme vor fahrlässigem Verhalten durch die Benutzerinnen und Benutzer. Ein gestohlenes oder weitergegebenes Passwort ist ohne zweiten Faktor im Kontext einer Multifaktor-Authentifizierung nicht ausreichend für eine erfolgreiche Anmeldung im System.
Die Multifaktor-Authentifizierung für Webdienste ist aus diesem Grund als Sicherheitsverfahren ausdrücklich empfohlen und eine Implementierung sollte unbedingt geprüft werden.
Als innovative Methode kann daneben beispielsweise die zentrale Protokollierung zum Einsatz gebracht werden. Eine zentrale Protokollierung sammelt sicherheitsrelevante Ereignisse und Änderungen in einem zentralen System und stellt sie übersichtlich dar. Die Reaktionszeiten bei unerwarteten Ereignissen wie dem unbefugten Zugriff auf administrative Schnittstellen der Website oder auf sensible Daten können dadurch erheblich reduziert werden und generell können ungeplante Änderungen sichtbar gemacht werden, die im Extremfall erst Wochen oder Monate später bemerkt worden wären.
Im Gegensatz zu einer Multifaktor-Authentifizierung, kann die Implementierung einer zentralen Protokollierung sehr zeitintensiv und aufwendig für die Administratorinnen bzw. Administratoren sein. Dennoch sollte eine Implementierung unbedingt geprüft und ausreichend Kapazitäten für eine Umsetzung bereitgestellt werden.
Sicher im Netz: Schützen Sie Ihre Unternehmensdaten mit Expertenstrategien für Webhosting-Sicherheit
Die Darstellung eigener Inhalte im Internet und die Inanspruchnahme von Hosting-Diensten ist für Unternehmen mittlerweile unverzichtbar. Szenarien wie mangelhaft regulierte Zugriffsrechte oder inkonsistente Verschlüsselungen mahnen aber zur Vorsicht. Daten und Informationen auf einer Website müssen von unbefugtem Zugriff, Verlust oder anderen Bedrohungen gesichert werden. Multifaktor-Authentifizierung und die zentrale Protokollierung sind hierbei wichtige Methoden, um die Sicherheit von Daten und Informationen auf Websites zu erhöhen.
Kostenfreie Expertise im E-Mail-Postfach
Alle wichtigen Neuigkeiten zum Datenschutz & zur Informationssicherheit einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.
ISiCO ist Ihr Schlüssel zu einer sicheren Webpräsenz ist
Sicherheit beginnt mit fundierter Beratung: Wir kennen nicht nur die Theorie aktueller Sicherheitsprotokolle, sondern auch deren effektive Umsetzung in der Praxis. Mit unserem Fachwissen haben wir zahlreichen Unternehmen geholfen, ihre digitale Präsenz zu sichern und ihre Daten vor unbefugtem Zugriff und Verlust zu schützen. Unsere Beraterinnen und Berater kennen die typischen Fallstricke und Schwachstellen, die Hacker ausnutzen, und können Ihnen maßgeschneiderte, innovative und effektive Lösungen zur Absicherung Ihrer Online-Plattform anbieten. Wir beraten Sie nicht nur, sondern begleiten Sie bei jedem Schritt auf dem Weg zur Umsetzung nachhaltiger Sicherheitsmaßnahmen. Warten Sie nicht, bis ein Sicherheitsvorfall Ihren Geschäftsbetrieb beeinträchtigt. Schützen Sie Ihr Unternehmen proaktiv vor den sich ständig verändernden Bedrohungen der digitalen Welt. Kontaktieren Sie uns noch heute und machen Sie den ersten Schritt in eine sichere digitale Zukunft für Ihr Unternehmen.
Weitere Neuigkeiten
23.09.2024
NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
Am 16.01.2023 trat die NIS2-Richtlinie EU-weit in Kraft. Nachdem des zugehörige Umsetzungsgesetz mehrfach geändert wurde, liegt mittlerweile der wohl finale Entwurf vor und das Inkrafttreten der NIS2-Anforderungen rückt immer näher. Eine Vielzahl von Unternehmen steht nun vor der Frage, ob sie dem Anwendungsbereich der NIS2-Richtlinie unterfallen, welche Pflichten sie treffen und wie sie diese Pflichten durch geeignete Maßnahmen erfüllen können. Wir haben die Anforderungen und notwendigen Maßnahmen für Sie aufbereitet.
Weiterlesen … NIS2-Richtlinie: Anwendungsbereich, Anforderungen & notwendige Maßnahmen
10.09.2024
Konzerndatenschutz: Anforderungen & Rechtsgrundlagen für die Datenübermittlung im Konzern
Wenn Konzerne nach außen wie innen als eine geschlossene Einheit auftreten, sollten Datenübermittlungen zwischen ihren einzelnen Unternehmen auf den ersten Blick kein besonderes Problem darstellen. Doch den Konzern als eigenen datenschutzrechtlich Verantwortlichen, kennt die Datenschutz-Grundverordnung nicht. Und damit sind auch Datenübermittlungen im Konzern nicht automatisch rechtlich zulässig. Wir geben in diesem Beitrag einen Überblick über die wichtigsten Fragestellungen, Anforderungen und Lösungsmöglichkeiten im Bereich Datenübermittlung in Konzernen.
26.08.2024
Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance
Um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, empfiehlt sich ein Datenschutzmanagementsystem (DSMS). Denn damit lassen sich die datenschutzrechtlichen Anforderungen regeln, planen, umsetzen und kontrollieren. Das vereinfacht die Compliance für Unternehmen und deren Mitarbeiter:innen wesentlich. Lesen Sie hier, wie der DSGVO-konforme Aufbau eines DSMS gelingt, wer im Unternehmen dafür Verantwortlich ist und welche Software Ihnen helfen kann.
Weiterlesen … Datenschutzmanagementsystem (DSMS): Ihr Schlüssel zur DSGVO-Compliance