Letzte Aktualisierung des Beitrags am 14. Februar 2017

Sicherheit bei Online-Produkten sind immer so eine Sache: die Absolute gibt es eben so wenig wie im realen Leben. Aber es können viele Maßnahmen ergriffen werden, um Sicherheit zu erhöhen und Gefahren zu verringern.

Kostet halt leider Zeit und Geld.

Der wahrscheinlich häufigste Grund, warum das Thema sowohl bei Unternehmen wie Privatpersonen niedriger priorisiert wird als es sollte. Wenn es dann mal kracht, ist die Überraschung groß – zumindest bei manchen. Andere haben sich eine „kann man eh nichts machen“ Mentalität zugelegt. Ole.

Wie Unternehmen reagieren sollten, wenn Sicherheitsforscher Probleme aufdecken, hat N26 gezeigt: im Gegensatz zu ihren desaströsen Maßnahmen mit Kündigung ohne Ankündigung, was dann zu ihrer Fair-Use-Policy führte, haben sie bei den aufgedeckten Schwachstellen durch den Sicherheitsforscher Vincent Haupert solide reagiert. Wer eine halbe Stunde Zeit hat, kann sich bei C3TV den gesamten Vortrag ansehen. Hierbei wird klar, dass ein paar grundlegende Design-Entscheidungen falsch getroffen wurden und bei der Sicherheit einfach geschlampt wurde. Umso erfreulicher ist es immerhin, dass sie die angesprochenen Schwachstellen zeitnah beheben konnten.

Bei anderen Seiten kann so etwas leider länger dauern. Eine kompromittierte WordPress-Seite zum Beispiel, die neben den eigentlichen Neuigkeiten auch noch Links und Weiterleitungen zu phänomenalen Gewinnspielen beinhaltet. Per E-Mail auf diese Tatsache hingewiesen, kam vom zuständigen Administrator eine freundliche Antwort mit dem Inhalt:

„Vielen Dank für die Info.
Das Problem ist mir bereits bekannt. Leider ist WordPress sehr anfällig für Angriffe.
Die Seite wird in Kürze auf ein anderes CMS umgestellt.“

Ich muss gestehen, hier war ich überrascht. Die Antwort kam vor über einer Woche, der Schadcode befindet sich noch immer aktiv auf der Seite. Wird ja bald umgestellt. Auf ein „sicheres“ CMS. Auf die neue Seite bin ich gespannt.