Kaum ein Tag vergeht ohne neue Berichte über Sicherheitslücken in Software, die weltweit im Einsatz ist. Als PC-Anwender ist es mittlerweile schon Routine, neue Updates für Windows oder eines der installierten Programme einzuspielen. Den meisten Anwendern ist auch bewusst, wie wichtig es ist, Updates so rasch wie möglich einzuspielen, um Sicherheitslücken zu stopfen, bevor sie ausgenutzt werden. Weniger bekannt ist allerdings, dass dies nicht nur für die PCs von Endanwendern gilt, sondern auch für Server. Wir haben Lars Laehn von http://www.lcube-webhosting.de/de interviewt, um dazu Informationen aus erster Hand zu erhalten.
Herr Laehn, Server sind also ebenso von Sicherheitslücken betroffen wie die Computer von Endanwendern?
Server sind sogar noch deutlich mehr gefährdet als Endanwender und ihre Geräte, da sie ja aktiv Dienste über das Internet bereitstellen. Dadurch vergrößert sich die Angriffsfläche gegenüber einem normalen PC, der meist noch durch einen Router abgekapselt ist, beträchtlich. Für Server gilt daher das Gebot, schnell zu reagieren, umso mehr. Betroffen sind davon alle Aspekte, vom Betriebssystem über die Serverapplikationen bis hin zu den Webanwendungen, die auf dem Server betrieben werden.
Das klingt kompliziert. Kann man dabei überhaupt noch den Überblick behalten?
Es ist auf jeden Fall eine anspruchsvolle Aufgabe, einen Server kontinuierlich rundum sicher zu halten. Wichtig ist, sich auf einem einmal erreichten Stand nicht auszuruhen, sondern fortwährend alle Informationsquellen zu nutzen, um schnell auf neu entdeckte Sicherheitslücken reagieren zu können. Server sind komplexe Systeme, und ebenso komplex und zahlreich sind die Wege, auf denen sie Angriffen ausgesetzt sein können.
Eines unserer wichtigsten Werkzeuge dabei ist langjährige Erfahrung. Wir beobachten ja unsere eigenen Server laufend, und können aus den Messwerten und Protokollen häufig schon früh auf neue Bedrohungen schließen. Das gibt uns einen deutlichen Vorsprung bei der Reaktionszeit. Der Kunde merkt davon in der Regel nichts, und so soll es ja auch sein. Ist der Server erst einmal so weit beeinträchtigt, dass der Kunde es merkt, ist hinter den Kulissen bereits die Hölle los. So weit soll es erst gar nicht kommen.
Im besten Fall zeichnet sich ein hochwertiger Hoster also dadurch aus, dass der Kunde gar nicht merkt, was für ihn geleistet wird?
Es gibt ja das schöne Sprichwort, dass der beste Service der ist, den man erst gar nicht braucht. So möchten wir für unsere Kunden sein. Letztlich profitieren beide Seiten davon, wenn alles reibungslos funktioniert. Wir sehen uns da auch unserem eigenen Anspruch verpflichtet. Für uns steht im Mittelpunkt, dass der Kunde sich uneingeschränkt auf uns verlassen kann. Da wir auch Sparten mit erhöhtem Sicherheitsbedarf anbieten, gehen wir dabei keine Kompromisse ein.
Können Sie uns ein Beispiel für so eine Sparte nennen?
Für uns gehören dazu beispielsweise unsere SVN-Pakete. Subversion als Sourcecode-Verwaltung stellt naturgemäß einen besonders sensiblen Bereich dar. Für viele Unternehmen ist deren IP (Intellectual Property, geistiges Eigentum, Anm. d. Red.) ihr größtes Kapital. Dementsprechend gut abgesichert muss das Hosting dafür gestaltet werden.
Was kann denn der Kunde selber tun, um seinen Server abzusichern?
Das hängt zum Teil von den Bedürfnissen des Kunden ab. Solange keine extrem spezielle Infrastruktur benötigt wird, lässt sich ein guter Teil der Sicherheitsfaktoren schon durch die Nutzung von Managed Hosting abdecken. Dabei ist es Aufgabe des Hosters, Betriebssystem und Serverapplikationen aktuell zu halten. Der Kunde kann sich dann auf die Pflege der Webanwendungen beschränken. Für den Kunden hat das vor allem praktischen Nutzen: Der Hoster kann die Serveradministration wesentlich effizienter gestalten als der einzelne Kunde. Managed Hosting ist für den Kunden also eine Win-Win Situation: Er gewinnt an Sicherheit und spart gleichzeitig Kosten ein.
Bliebe noch der Punkt „Webanwendungen“. Was hat es damit überhaupt auf sich?
Unter Webanwendungen versteht man die Programme, die auf dem Webspace eingerichtet werden und in der Regel vom Webserver ausgeführt werden. Zu den bekanntesten Vertretern dieser Kategorie dürften das Blogsystem WordPress, die Forensoftware phpBB und CMS wie Typo3 oder Contao zählen.
Die Palette verfügbarer Software ist hier praktisch ebenso breit gefächert wie bei der klassischen Software für den PC daheim oder am Arbeitsplatz. Das gilt auch unter Sicherheitsaspekten. Als Faustregel kann man sagen, dass eine Webanwendung umso häufiger das Ziel von Angriffen wird, je beliebter und verbreiteter sie ist. Der Umkehrschluss trifft leider nicht zu: Die Nutzung wenig bekannter Software ist kein Schutz vor Angriffen.
Und welche Gefahren lauern bei den Webanwendungen?
Es gibt verschiedene Kategorien von Angriffen auf Webanwendungen. Eine der gängigsten Attacken besteht darin, eine Sicherheitslücke zu finden, die dem Angreifer erlaubt, Schreibzugriff auf den Webspace zu erlangen. So lässt sich Schadsoftware einschleusen, mit der der Angreifer im zweiten Schritt Zugriff auf die Dateien auf dem Webspace erhält. Ab diesem Punkt hat er praktisch die gleichen Möglichkeiten wie der Webspace-Inhaber, kann also Dateien auf dem Webspace manipulieren, die Datenbanken anzapfen und so weiter. Gerne wird nach solch einem Einbruch der Server dann zum Versand von Spammails missbraucht.
Während das noch relativ glimpflich abgeht, ist ein weiterer Trend wesentlich gefährlicher für alle Betroffenen: Immer häufiger werden derart kompromittierte Server dazu genutzt, Besuchern der dort gehosteten Websites Schadsoftware unterzuschieben. Das bedeutet für den Internetnutzer: Trojaner und ähnliche Schädlinge können auch auf seriösen Websites lauern. Die Zeiten, in denen eine Infektion mit Schadsoftware auf die „dunklen Ecken“ des Internets beschränkt war, sind vorbei.
Das schadet dann doch sicherlich auch dem Ruf des Website-Betreibers?
Ein kompromittierter Server schadet nicht nur dem Ruf des Domaininhabers, dieser setzt sich damit auch einem deutlichen Haftungsrisiko aus. Nach deutschem Recht sind Regressansprüche von Besuchern der infizierten Website durchaus plausibel. Da stellt sich fast schon die Frage, was schwerer wiegt: Der Verlust der Reputation oder die Höhe der Schadenersatzforderungen. Es lohnt sich in jedem Fall, den notwendigen Aufwand zu treiben, um diese Risiken so weit wie möglich zu minimieren.
Und was ist zur Risikominimierung notwendig?
Wie schon eingangs erwähnt, ist es besonders wichtig, auf dem Laufenden zu bleiben. Das bedeutet, sich über Updates und neu entdeckte Sicherheitslücken zu informieren – und natürlich entsprechend zu reagieren, d.h. Updates rasch einzuspielen und notwendige Änderungen durchzuführen. Dazu bieten sich die gängigen Mailinglisten im Sicherheitsbereich ebenso an wie die Informationsangebote der jeweiligen Hersteller der Webanwendungen.
Je weiter man seine „Fühler ausstreckt“, desto mehr Vorsprung gewinnt man. Letztlich ist die Frage, wer schneller ist: Automatisierte Scanner, die systematisch das Internet nach verwundbaren Websites absuchen, oder die Website-Betreiber und deren Dienstleister. Wer die notwendige Zeit und Mühe dafür nicht selbst investieren kann oder will, sollte sich unbedingt einen erfahrenen Spezialisten dafür suchen. Gar nichts zu tun ist die schlechteste Lösung. Einfach aussitzen kann man die Thematik definitiv nicht.
Herr Laehn, wir danken Ihnen für dieses informative Interview.