Für die Sicherheit einer Webanwendung sind viele Puzzleteile entscheidend, doch nicht jedem Betreiber einer Webpräsenz ist dies bewusst. Die Bereitschaft zur Investition in Sicherheitsmaßnahmen ist oftmals nur gegeben, wenn bereits aufgrund von Sicherheitsmängeln Schäden entstanden sind. Diese Schäden sind dann meist höher als alle scheinbar vermeidbaren Updates.
Im folgenden Beitrag wurden bewusst provokant – mit erfundenen Zitaten – mögliche Probleme, Ursachen und Folgen beispielhaft skizziert.
"Unsere Webpräsenz ist sicher, da wir regelmäßig Server-Updates von unserem Hosting-Partner vornehmen lassen. Warum reicht das nicht? Warum müssen wir unsere Anwendungen auch noch aktualisieren?"
"Hallo Michaela, dein Online-Portal besteht aus ganz vielen Bauteilen und Schichten, die ineinandergreifen. Und diese müssen alle mit den neuesten Sicherheitsupdates versorgt werden. Was nutzt es dir, die neueste Schließanlage zu haben und jeder weiß, wo du den Schlüssel versteckt hast?"
Updates, Updates, Updates … und warum wir das nicht zum Spaß machen
Stündlich erfolgen in Deutschland Millionen von Angriffen auf Webanwendungen, die maschinell oder manuell durchgeführt werden.
So werden nahezu täglich in wichtigen Grundbausteinen von Softwareanwendungen Sicherheitsprobleme festgestellt. Daher ist es essenziell – spontan und jederzeit -, auf diese externen Impulse aus dem Softwareökosystem reagieren zu können. Wir empfehlen unseren Kunden, die nicht ins Hintertreffen geraten wollen, mindestens folgende Aspekte zu beachten:
- Regelmäßige Softwareupdates der von Complex bereitgestellten Anwendungen
- Regelmäßige Updates evtl. vorhandener Software von Dritten
- Regelmäßige Updates der Infrastruktur und des Betriebssystems der Server
Diese Maßnahmen dienen hauptsächlich dazu, bekannte Sicherheitslücken und Schwächen von Produkten zu beheben, sodass für Angriffe und Einbrüche wenig Chancen bestehen.
Um diese notwendigen Updates regelmäßig und kosteneffizient ausliefern zu können, bietet das Complex-Fast-Track-Konzept die perfekte Basis.
"Hmm ... Wir sollen also in Sicherheit investieren. Wie kann ich damit meinen Umsatz steigern?"
"Hallo Max, bevor du neuen Umsatz generierst, musst du den bestehenden Umsatz erst einmal schützen. Was nützen dir ständig neue Features, wenn Sie keiner nutzen kann, weil dein Onlineportal gehackt wurde oder dein Onlineportal keiner will, weil man als Kunde ständig Angst davor haben muss, seine Daten bei dir durch Sicherheitslücken zu gefährden? Das Web ist in vielen Fällen dein direkter Umsatzträger und hat damit einen sehr großen Einfluss auf den Geschäftserfolg deines Unternehmens. So steht die Forderung nach ständig neuen Features und einer möglichst uneingeschränkten Nutzung mit möglichst niedrigen Wartungskosten im ständigen Zielkonflikt mit den Erfordernissen der Sicherheit."
Weiterhin gilt es, die Kommunikation mit den Webanwendungen so sicher wie möglich zu gestalten. Dazu sind wir stets daran interessiert, aktuelle Kommunikations- und Sicherheitsprotokolle zu verwenden. Außerdem empfehlen wir die Absicherung der Serversysteme durch zusätzliche Web-Firewalls wie Cloudflare. Aber auch hier bringt die reine Existenz nichts. Auch diese Systeme müssen korrekt eingestellt und regelmäßig überprüft werden.
Es gibt viele weitere Komponenten und Prozesse, die notwendig sind, aber hier nicht bis ins Detail ausgeführt werden.
Viele Augen sehen mehr, und wir wissen nicht alles …
Auch wir sind nicht unfehlbar und empfehlen deshalb, regelmäßig Security-Audits von ausgewiesenen Spezialisten durchführen zu lassen, d.h. nicht nur automatische Scans von diversen Tools.
Wir sind offen für diesen Input und haben in diesem Prozess auch schon Erfahrung gesammelt, sodass ein professioneller Umgang mit sicherheitsrelevanten Aspekten kein Neuland für uns darstellt.
"Wie bitte? Betriebssystem-Migration alle 4 bis 5 Jahre? Dann sollten wir Serversysteme verwenden, die wir 10 Jahre betreiben können, ohne investieren zu müssen!"
"Faustregel: Regelmäßige Wartung ist (wie bei einer Immobilie oder einem Fahrzeug) wesentlich kosteneffizienter und planbarer als große Renovierungen, denn diese können auch zum kompletten Abriss/Verschrottung führen, und das bedeutet in der Regel massivere Investitionen und Umsatzverlust."
Wie viel Risiko kann ich für mein Unternehmen wirklich eingehen?
Die Folgen eines Sicherheitsproblems sind vielschichtig.
Auch das Vertrauen der Endkunden in die Webpräsenz wird dadurch merklich erschüttert. Dies führt meist zu starken Umsatzeinbrüchen und im schlimmsten Fall zur Abkehr meiner Kunden von meinem Vertriebsportal. Durch negative Publicity und Berichterstattung der Medien gelangt man schnell ungewollt ins Rampenlicht.
"Wegen dieser `Datenpanne` bin ich also aufgrund der Datenschutzgrundverordnung (DSGVO) verpflichtet, dies innerhalb von 72 Stunden bei meiner Datenschutzbehörde anzuzeigen?!"
"Mist, wir haben heute Black Friday, erwarten den benötigten Umsatzschub, und unser eigener Server ist nicht mehr unter unserer Kontrolle ...?"
"... eine einzige Sicherheitslücke reicht also aus, damit uns ein Angreifer alle Kundendaten stehlen konnte?"
"Ich sehe hier seit gestern ein Fenster, dass die Festplatte meines Servers verschlüsselt wurde. Nach Zahlung von 100.000 Euro könnte ich ein Passwort zugesandt bekommen, sodass die Daten für mich wieder zugänglich gemacht werden? Keiner weiß, ob hinterher tatsächlich alles funktioniert, und die Polizei kann mir auch nicht helfen ..."
"Hallo Max, klar würden wir dir bei der Menge dieser Probleme gerne schnell helfen. Nur geht das jetzt leider nicht mehr in der Geschwindigkeit, die du benötigst. Schade, denn wir haben dich die ganze Zeit beraten und gewarnt."
Wir wollen damit keine Panik schüren, sondern darauf hinweisen, wie wichtig Sicherheit und Wartung im Investitionsmix ihrer Digitalisierungsaktivitäten sind. Kein Betreiber einer Immobilie und kein Bewohner würden einen ungewarteten Aufzug ohne Sicherheitskonzept akzeptieren.
Wir stehen unseren Kunden beratend zur Seite, sodass gemeinsam die notwendigen Anwendungsupdates geplant oder durch Beratung weitere Sicherheitsmaßnahmen etabliert werden können.