Internet Security Screening - 29. August 2024

Ist Ihre Homepage schon gehackt?

von Dieter Schröter

Die eigene Website ist das Aushängeschild der Kanzlei. Sie kann jedoch auch infiziert sein und Schadsoftware ausliefern. Darauf sollte man achten.

Die Reputation von DATEV hängt entscheidend von der Einhaltung von Datenschutz und Sicherheit ab, was auch für die DATEV-eigenen Webseiten gilt. Das sogenannte External Attack Surface Management (EASM) von DATEV koordiniert systematisch und kontinuierlich alle digitalen Internetprozesse außerhalb des DATEV-Rechenzentrums. Geprüft werden Standard-Webseiten hinsichtlich DS-GVO-Anforderungen, Impressum, Datenschutzhinweisen oder Cookie-Einwilligungen. Noch wichtiger ist die Überprüfung der eigenen Webseiten auf Aktualität der verwendeten Software-Komponenten, Veränderungen der Inhalte oder Manipulationen durch Dritte. EASM hilft den IT- und Sicherheitsteams von DATEV, externe Risiken frühzeitig zu identifizieren, Bedrohungen zu priorisieren und den Risiken entgegenzuwirken. Die DATEV-Expertinnen und -Experten suchen explizit im Internet auch nach gestohlenen Zugangsdaten, beispielsweise von infizierten Arbeitnehmer-PC oder Online-Services.

Die Zahlen sind deutlich

Mitglieder sollten ihre eigene Homepage ebenso im Fokus behalten, da der Inhaber für diese verantwortlich ist und die Einhaltung der DS-GVO-Vorschriften prüfen muss. Eine Stichprobenanalyse von circa 9.200 Webseiten von DATEV-Mitgliedern zeigt den Handlungsbedarf:

  • 2.922 Webseiten nutzen veraltete Verschlüsselungsprotokolle wie TLS 1.0 und TLS 1.1.
  • 5.353 Webseiten verwenden Software mit ausnutzbaren Sicherheitslücken (diese werden dokumentiert in einer standardisierten Liste von CVE – Common Vulnerabilities and Exposures, Industriestandard für Sicherheitslücken und Schwachstellen in Computersystemen).
  • Einige Homepages wurden bereits durch Hacker übernommen und mit zusätzlichen unsichtbaren Inhalten bestückt, zum Beispiel Suchmaschinen-Spam. Die betroffenen Mitglieder und Kunden hat DATEV umgehend informiert.

Wer hat die Zugangsdaten zur Webseite?

Eine anspruchsvolle beziehungsweise komplexe Webseite wird meist über eine Agentur realisiert. Diese sollte durch einen Wartungsvertrag verpflichtet werden, die verwendeten Software-Komponenten aktuell zu halten. Eine Dokumentation ist ebenfalls wichtig, um im Notfall eigenständig und schnell handeln zu können. Darin sollten die Zugangsdaten zur Administration sowie die Provider-Daten und die des Dienstleisters hinterlegt sein. Nur so ist man in der Lage, die Webseite nach einer Manipulation möglichst schnell zu bereinigen.

Auch die technische Wartung ist entscheidend

Kennen Sie alle Komponenten, aus denen Ihre Webseite gebaut ist? Möglich sind einige oder mehrere dieser Software-Komponenten: Angular, Apache, Bootstrap, Contact Form, Drupal, Elementor Website Builder, Font Awesome, IIS, Java, Joomla, jQuery, Nginx, PHP, WordPress oder Yoast SEO. Optimal wäre ein 24/7-Service mit einem regelmäßigen, mindestens wöchentlichen, automatisierten Securitycheck der Webseite und ihrer Komponenten.

Nicht auf den ersten Blick erkennbar

Früher haben Angreifer die Seiten defaced, wenn sie den Server erfolgreich knacken konnten. Defacing bedeutet digitales Graffiti. Die damals weitverbreiteten statischen Originalwebseiten wurden durch neue Inhalte mit Botschaften der Angreifer ersetzt, was sofort deutlich machte, dass die Seite gehackt wurde und dringender Handlungsbedarf besteht.
Heute ist der kriminelle Untergrund besser organisiert und mittels KI digital automatisiert. Infektionen sind meist nicht mehr auf Anhieb erkennbar. Ziel ist die maximale monetäre Nutzung eines erfolgreichen Webserver-Einbruchs, zum Beispiel durch den Diebstahl vertraulicher Informationen oder die Platzierung bösartiger Skripte (Schadcodes) auf der angegriffenen Webseite. Kreativ ausgeklügelter Programmcode, meist in unleserlichem JavaScript, verursacht eine Infektion der Computer der Webseiten-Besucher.
Dies macht die Situation für den Webseitenbetreiber doppelt gefährlich: Der Webauftritt wird zu einem Schadsoftware- oder Malware-Lieferanten und führt potenziell zu einem Vertrauensverlust und Datenschutzproblem bei Kunden und Partnern.

Wie lassen sich Risiken reduzieren?

Wichtig ist das Monitoring der Webseite hinsichtlich Veränderungen. Es gibt Lösungen, die Webseiten zyklisch einmal pro Woche analysieren und die wichtigsten Gefährdungen erkennen. Dazu zählen die Kompromittierung des Webauftritts und die Detektion von Malware, die über die Webseite verteilt wird. Die Komponenten der Webseiten-Verschlüsselungstechnik werden auf abgelaufene Zertifikate oder veraltete Technologie getestet. Eine Identifizierung bösartiger Artefakte ist nicht immer sofort möglich, da die Überprüfung der Webseite nur aus einer begrenzten Außensicht erfolgt. Trotzdem helfen die erlangten Hinweise der betreuenden Agentur oder des IT-Dienstleisters dabei, die Webseite zu bereinigen.
Um auf einen Webseiten-Notfall vorbereitet zu sein, ist ein definierter Prozess nötig. Die Ansprechpartner für die Bereinigung der Webseite sollten dokumentiert sein:

  • Wie lautet die Support-Rufnummer der Agentur?
  • Wie lauten die Vertragsdaten zur Autorisierung beim Dienstleister?
  • Wie sind die dortigen Servicezeiten?
  • Wie kann die Seite im Notfall so schnell wie möglich offline genommen werden?

Wer diese Informationen im Ernstfall zur Hand hat, spart wertvolle Zeit für die Behebung des Problems.

Datenschutzfallstricke vermeiden

Neben den technischen Gefahren durch Hackerangriffe gibt es viele juristische Fallstricke beim Aufbau einer Webseite. Die Verletzung des Urheberrechts oder des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG) kann kostspielig werden. Auch die Pflichten aus der DS-GVO und die Bereitstellung eines Impressums tragen dazu bei, nicht in den Fokus von Aufsichtsbehörden und Abmahnern zu geraten.
Früher wurden Webseiten-Betreiber wegen einer fehlenden SSL-Verbindung abgemahnt. Hintergrund ist, dass seit Inkrafttreten der DS-GVO für Webseiten, die personenbezogene Daten erheben, eine verschlüsselte Verbindung (SSL) zwischen Nutzer und Server vorgeschrieben ist. Eine IP-Adresse des Besuchers wird dabei bereits als personenbezogenes Datum gewertet.
Provider und Webseiten-Designer haben schnell reagiert und eine entsprechende Umstellung angeboten. Trotzdem existieren immer noch Webseiten, die nicht automatisch von der unverschlüsselten Version HTTP auf die verschlüsselte Version HTTPS umleiten, obwohl sich dies relativ einfach beheben lässt. Das alles sind nur einige Beispiele für Schwachstellen oder Fallstricke. Mit jeder Veränderung auf der Website können neue auftauchen.

Fazit

Die Sicherheit und Rechtskonformität der Webseite ist von entscheidender Bedeutung für den Schutz der Kanzlei und das Vertrauen der Mandanten. Durch regelmäßige Überprüfung, Wartung und Aktualisierung der verwendeten Software-Komponenten können Risiken minimiert und kann möglichen Schäden vorgebeugt werden.

MEHR DAZU

Nutzen Sie die Unterstützung und Expertise von DATEV, um Ihre Webseite sicher und rechtskonform zu gestalten. So sichern Sie nicht nur Ihre digitale Präsenz, sondern auch das Vertrauen Ihrer Mandanten und Partner. Da es nicht einfach ist, sowohl die technischen als auch die juristischen Aspekte im Auge zu behalten, können Sie sich durch das DATEV-Beratungspaket Website-Analyse unterstützen lassen. Damit wird Ihre Webseite unter beiden Aspekten betrachtet und auf die aktuellen Notwendigkeiten geprüft.

DATEV-Fachbuch „Websites, Cookies & Co – Was sich für Unternehmen ändert“

Beratungspaket „Website-Analyse“

Zum Autor

Dieter Schröter

DATEV eG, leitender Berater für Internet Security

 Weitere Artikel des Autors

Meistgelesene Artikel

Portrait von Marcus Ferchland.
Automatisierung und KI-Copilot

„Wir haben gar keine andere Wahl“

Steuerberater Marcus Ferchland erklärt im Interview, wie er seine Kanzlei über die vergangenen Jahre Schritt für Schritt digitalisiert hat.
100-Euro-Scheine, die zu einem Haus mit Dach gefaltet sind.
Immobilienbewertung

Omas Häuschen im Visier des Fiskus

Die Werte von Immobilien im Rahmen der Erbschafts- und Schenkungsteuer haben sich erhöht. Ein Übersteigen der Freibeträge droht.
49-Euro-Ticket

Job-Ticket statt Lohnerhöhung

Wenn Unternehmen ihren Beschäftigten das Deutschlandticket als Jobticket gewähren, sind in der Lohnabrechnung einige Details zu beachten.

Aktuelle Meldungen im Fokus

Produkte & Services 10.01.2024

Komplett digital im Rechnungswesen

Steuern 22.12.2023

Eilmeldung: Quasi-Fristverlängerung für die Offenlegung der Jahresabschlüsse 2022 verkündet!