Updaten, Updaten, Updaten

Das Thema Updates ist bei vielen Kunden erfahrungsgemäß - von wenigen early adoptern abgesehen - nicht sonderlich beliebt. Die Webseite wurde schließlich schon bezahlt und läuft noch, warum also noch Budget in ein Update investieren? Dabei wird meist außer Acht gelassen, dass moderne Webseiten im Grunde große und komplexe Software geworden sind und sich dort - vergleichbar mit Betriebssystemen - auch hin und wieder Sicherheitslücken einschleichen bzw. diese entdeckt werden. Nur mit dem Unterschied, dass eine Webseite rund um die Uhr exponiert in Netz steht und daher auch von jedem der es darauf anlegt angegriffen werden kann.

Häufige Argumente gegen Updates sind:

Mir passiert doch nichts...

Mir passiert schon nichts und wen interessiert schon meine kleine Webseite. Das ist ein gängiger Trugschluss. Wer hin und wieder in Logfiles schaut, wird feststellen, dass "Angriffe" häufig sind. Dabei handelt es sich i.d.R. nicht um gezielte professionelle Attacken, sondern vielmehr um den (automatisierten) Versuch Dateien mit bekannten Sichheitslücken o.ä. zu finden und sich darüber Zugriff auf die Webseite zu verschaffen. Das obige Bild zeigt einen Screenshot aus dem TYPO3 Protokoll einer kleineren Webseite. Das Log ist voll solcher Einträge... Das Prinzip ist hierbei immer gleich: es wird gezielt nach bestimmten anfälligen Dateien gesucht. In diesem Fall fast schon lustig: bei den drei Beispielen wird versucht Dateien eines Wordpress-Systems aufzurufen. Doch Pech gehabt, denn das Log stammt aus einem TYPO3 System...

Im Bild unten ein Auszug aus einer via Matomo erstellten Logfileanalyse. Es ergibt sich ein ähnliches Bild.

Die Wahrscheinlichkeit, nicht früher oder später auf diese Art und Weise "angegriffen" zu werden, ist eher gering.

Keiner Kümmert sich

Wenn sich nach der Erstellung einer Webseite niemand mehr zuständig fühlt, dann ist das natürlich ein Problem. Idealerweise sollte jemand in der Verantwortung sein, der zumindest über anstehende Updates informiert und die Wichtigkeit einschätzen kann, denn nicht jedes Update ist sicherheitsrelevant. Das kann der Entwickler, der Hoster oder auch ein guter Newsletter sein. Die meisten CMS bieten entsprechende Security Announcements über verschiedene Kanäle an (Mail, RSS, Social Media...). Hier sollte immer eine Quelle dabei sein, die den eigenen Anforderungen entspricht.

Jeder Entwickler bzw. jede Agentur sollte im eigenen Interesse auf Updates hinweisen, denn jedes Update ist ja wieder etwas Umsatz.

Es gibt auch Hoster (z.B. jweiland im Bereich TYPO3), die sich automatisch um Updates kümmern. Das kostet ein paar Euro mehr, als ein "normales" Hosting, ist aber am Ende des Tages wirtschaftlich eine sinnvolle und gute Lösung.

Eine gehackte Webseite ist doch nicht schlimm

Diesen Satz habe ich schon häufig gehört. Der Hoster wird schon ein Backup haben, das wird eingespielt und alles ist gut. Doch so einfach ist das leider nicht. Denn Backups werden nicht ewig vorgehalten und es ist nicht immer ersichtlich wann sich Angreifer Zugriff verschafft haben. Ggf. ist das Backup bereits befallen. Doch unabhängig davon, sollte Folgendes bedacht werden:

  1. Ihre Webseite - Ihre Verantwortung! Wenn eine gehackte Webseite Malware, Raubkopien oder schlimmeres verbreitet, dann ist der Betreiber rechtlich in der Verantwortung. Liegt veraltete Software vor, wird es schwer hier Fahrlässigkeit anzunehmen. Wenn der Hoster die Webseite auf Grund einer Infektion sperrt, ist das erst mal der Schaden des Webseitenbetreibers, wenn diese nicht mehr aufrufbar ist und dadurch Kunden oder Umsätze verloren gehen. Der Hoster hat sich über AGBs o.ä. für diesen Fall abgesichtert. Wenn das Backup nicht mehr hilft, muss in mühsamer Kleinarbeit versucht werden, die manipulierten Dateien zu finden und zu eliminieren.
  2. Google mag gehackte Webseiten nicht: Gute Rankings bei Google? Diese können schnell weg sein, wenn die Webseite gehackt wird. Google wird den User im schlimmsten Fall sogar warnen, so dass kaum noch Besucher über die Suchmaschine auf die Webseite kommen werden. Jahrelange SEO-Arbeit kann innerhalb weniger Tage zunichte gemacht werden.
  3. Die DSGVO: Wer personenbezogene Daten auf bzw. über seine Webseite verarbeitet ist bei einem Hack schnell im Bereich eines meldungspflichtigen Datenschutzvorfalls. Man kann schon bei einem Kontaktformular welches die Eingaben speichert davon ausgehen, dass es mindestens grenzwertig wird. Der damit verbundene Prozess ist langwierig und teuer

Es sollte klar geworden sein, dass damit nicht zu spassen ist.

Update-Kosten

Pauschale Aussagen über Kosten von Updates lassen sich nur schwer treffen. Ein minor update - also z.B. von TYPO3 10.6.2 auf 10.6.3 - ist in den meisten Fällen schnell eingespielt. Noch ein paar Tests, ob noch alles funktioniert und das Update ist erledigt. Die Preise hierfür mögen je Art der Webseite, des CMS oder der Agentur unterschiedlich ausfallen, sollten sich aber immer in einem überschaubaren Rahmen bewegen. Und im Vergleich zu den möglichen Schäden durch eine gehackte Webseite sind Updates in jedem Fall eine gute Investition.

Ein Tipp am Ende: nicht nur das CMS bedarf Updates, sondern auch alle installierten Plugins. Gerade bei CMS die viele Plugins nutzen (z.B. Wordpress) ist der Angriffsvektor bzw. der Updateaufwand nochmal deutlich höher.

Kommentare (0)

No comments found!

Neuen Kommentar schreiben