Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Website Security kostenfrei testen und beobachten!

M.Sc. Chris Wojzechowski

IT-Sicherheit & Website Security ist nicht nur ein großes Thema – sondern es wird auch immer präsenter. Mittlerweile machen täglich Nachrichten die Runde, dass es mal wieder einen Datendiebstahl gab, eine Sicherheitslücke aufgetaucht ist oder es findet ein Defacement einer Website statt. Über letzteres wird nur dann berichtet, wenn das Opfer ausreichend prominent ist.

Webseitenbetreiber haben jedoch selten die nötigen Kenntnisse, die Webpräsenz vor Hackern zu härten. Im ersten Schritt gibt es aber für kleine und große Unternehmen die gleichen Tools. Auf der einen Seite gibt es die aktiven Scanner, wie z.B. das Mozilla Obversatory.

Auf der anderen Seite gibt es aber auch Werkzeuge von Internetriesen wie z.B. die Google Search Console, die einem einen kontinuierlichen Blick auf die Website verschaffen. Vor allem dann, wenn etwas nicht stimmt. Die Einschätzung von Cyber Risiken sollten sich besonders geschäftsführende Personen zu Eigen machen.

Sicherheitsprobleme mit Mozilla Obversatory aufdecken

Bekannt ist Mozilla vor allem wegen Firefox – dem Web Browser. Doch die Organisation rund um Firefox stellt viele weitere Werkzeuge bereit, um die Sicherheit und Privatsphäre zu erhöhen. Mozilla Observatory ist eines davon und erlaubt es jede beliebige Website zur Überprüfung einzureichen.

Website Security einer Website bestimmen
Das Observatorium von Mozilla benötigt nur die Domain, die überprüft werden soll! Quelle: Screenshot observatorium.mozilla.org

Nach wenigen Sekunden hat man die Ergebnisse der Analyse. Hierbei werden vielerlei Dinge überprüft. Folgende Ergebnisse sind bei der Analyse des technique-blog.de herausgekommen:

Detailiierte Ergebnisse der Website Security Analyse
Ergebnisse der Website Security Analyse durch Mozilla Quelle: Screenshot Observatorium.mozilla.org

Seit der Einführung der Datenschutzgrundverordnung ist z.B. die Anzahl der Cookies interessant. Gerade dann, wenn der Zähler „0“ erreicht, ist kein Cookie-Banner notwendig. Aber auch die anderen Erkenntnisse erhöhen das Sicherheitsniveau einer Website. Durch diese Liste kann man sich peu à peu durcharbeiten, etwas lernen und außerdem die Sicherheit der Website steigern. Das besondere an dem Observatory von Mozilla ist, dass dort mehrere Website Security Analysetools zum tragen kommen. So wird z.B. das ausgestellte Zertifikat, welches eine verschlüsselte Verbindung ermöglicht, untersucht. Aber auch externe Scanner werden angestoßen.

Website Security mit der Hilfe von Mozilla Obersatory
Über das Mozilla Obversatory werden unterschiedliche Scanner angestoßen. Aktuell erreichen wir mit unserer Domain 135/100 Punkte bei dem ImmuniWeb Scanner. Screenshot: observatory.mozilla.org

Die Ergebnisse der anderen Scanner werden einem unkompliziert in einer Art Notensystem angezeigt. Interessiert man sich für ausführlichere Ergebnisse der Analysen, dann hat man die Möglichkeit diese durch einen Klick anzusehen.

Website Security from securityheaders.io
Die Ergebnisse von Securityheaders.io Quelle: Screenshot Observatorium.mozilla.org

 

Website Security Scan from hstspreload.appspot.com
Durch hsts preload wird HSTS etwas genauer unter die Lupe genommen. Quelle: Screenshot Observatorium.mozilla.org

Tendenziell werden Websites eher schlecht als gut gerankt. Erst wenn man gute Schritte in Sachen Website Security getan hat, lassen sich die ersten Punkte verzeichnen. Neben den Problemen erteilt die Plattform auch umfangreiche Vorschläge und Handlungsempfehlungen. Nach und nach sollte man die eigene Website durch den Scanner überprüfen lassen, die Ergebnisse abwarten und Fortschritte verzeichnen. Diese Scanner kann jeder für Ihre Website verwenden. Probleme die auf dieser Ebene also aufgedeckt werden, sind für jeden offensichtlich. Wenn Sie Ihre Website oder Web App tiefergehend analysieren und schützen lassen wollen, ist ein Penetrationstest das Mittel der Wahl.

Schnittstellen und komplexere Anwendungen können und werden an dieser Stelle nicht vom Mozilla Observatory untersucht. Wer also eine umfangreiche Web Anwendung hat und die Schnittstellen (API) untersuchen lassen will, der sollte hier auf einen professionellen Anbieter zurückgreifen.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Website Security mit der Google Search Console feststellen

Die Google Search Console ist ein beliebtes Werkzeug für Webmaster. Im ersten Schritt muss bestätigt werden, dass man Eigentümer der Website ist. Das wird durch ein HTML Tag, DNS Eintrag oder ähnliche, typische Vorgehensweisen verifiziert. Ist das geschafft, verrät euch Google vor allem, über welche Suchbegriffe die Nutzer zu der eingetragenen Website gelangen.

Suchmaschinen Analyse & Warnungen im Dashboard der Search Console

Die Google Search Console ist das Werkzeug für Webmaster. Mit diesem Tool hat man die Möglichkeit, seine Website bei dem Suchmaschinenkonzern einzureichen. Dies hat diverse Vorteile:

  • Über welche Keywords kommen Besucher auf meine Seite?
  • Für welche Keywords rankt meine Seite generell?
  • Wie oft wurde meine Website eingeblendet?
  • Wie viele Seiten meiner Website befinden sich im Index von Google?
  • usw. usf.

Es ist also ein durchaus nützliches Tool, wenn man bedenkt dass Google ein beinahe Monopol in Europa besitzt. Gute Rankings bei Google sprechen häufig für eine hohe Besucheranzahl.

Das Dashboard der Google Search Console
Das Dashboard der Google Search Console informiert Euch über die wichtigsten Ereignisse, aus der Sicht von Google (Quelle: Screenshot Google Search Console)

Hinter den wenigen Menüpunkten halten sich allerlei Statistiken zu Eurer Website bereit. Diese werden jedoch erst aufgezeichnet, sobald ihr damit begonnen habt, die Website bei Google einzureichen. Die Daten reichen 90 Tage zurück – es ist daher sinnvoll, falls ihr einen Rückblick über einen längeren Zeitraum haben wollt, zu speichern. Diese Informationen sind aus Marketingsicht höchstinteressant, mit Blick auf die Suchmaschinenoptimierung. Es hilft einem bis zu diesem Punkt jedoch wenig bei der Sicherheit der Website. Doch auch dafür hält die Google Search Console Informationen bereit – nämlich dann, wenn diese Fälle eintreten. So ein Fall tritt ein, wenn die Website Malware verteilt.

Unsichere Website - Warnung
Wenn diese rote Warnung auftaucht, wenn jemand Ihre Website besuchen will, verlieren Sie einen Großteil der Besucher.

Die Search Console verrät Euch mehr über Sicherheitslücken!

Die Safe Browsing Engine spielt dabei eine zentrale Rolle bei der Entdeckung von Sicherheitsprobleme. Ist Ihre Website betroffen, dann erhalten Sie unverzüglich eine Nachricht in der Google Search Console. Bislang wurde dort mitgeteilt, dass es Sicherheitsprobleme auf Eurer Website gibt. Google will den Webmastern nun entgegenkommen und detailliertere Informationen zu Sicherheitsproblemen liefern. Dabei wird die Search Console um vier Kategorien erweitert:

So kann die Sicherheit einer Website festgestellt werden. Bei auftauchenden Probleme ist also die Google Search Console ein gutes Mittel, um diesen Status festzustellen. Für weiterführende Website Security sollten kostenfreie Scanner wie z.B. das Mozilla Observatory in Anspruch genommen werden. Gerade für klein- und mittelständische Unternehmen sind diese Werkzeuge viel wert. Studien haben ergeben, dass jede zweite Firmenwebsite Sicherheitslücken aufweist.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.