Kompromittierung der Website

Cyberkriminelle könnten Ihre Website-Anwendungen kompromittieren, um Daten zu stehlen, die die Benutzer der Website zur Verfügung stellen, zum Beispiel Zahlungskartendaten auf einer E-Commerce-Website oder persönliche Daten wie behördliche Identifikationsnummern, die von Cyberkriminellen dann für Identitätsmissbrauch und Betrug verwendet werden.

Wenn Cyberkriminelle gestohlene Zahlungskarten verwenden, führen sie häufig zunächst Transaktionen mit kleinen Beträgen durch, um zu testen, ob die Karten gültig sind. Zu diesem Zweck zielen sie oft auf Websites ab, die Zahlungskarten akzeptieren – Websites für wohltätige Zwecke oder Crowdfunding-Seiten sind wegen ihrer Spendenseiten zum Beispiel sehr beliebt. Eine kompromittierte Website kann den Website-Besitzer allein durch viele kleine Testtransaktionen mit Zahlungskartengebühren in fünfstelliger Höhe belasten.

Websites können aus politischen, aktivistischen oder terroristischen Gründen verunstaltet werden, oder um bei einer Cyber-Erpressung Druck auszuüben. Die Verunstaltung einer Website kann auch eine Möglichkeit für einen Hacker sein, seine Fähigkeiten zu demonstrieren. Cyberkriminelle könnten auch eine etablierte Website ausnutzen, indem sie Änderungen vornehmen, die den Internetverkehr auf eine bösartige oder betrügerische Website umleiten – eine Taktik, die häufig bei Kryptowährungsbetrug angewendet wird.

Wenn Website-Formulare nicht so gestaltet sind, dass die in Formularfelder eingegebenen Informationen überprüft werden, können Cyberkriminelle mit automatisierten Anfragen die Website überlasten und zum Absturz bringen. Weitere Informationen finden Sie unter [LINK to DDoS scenario]

Bei einer hohen Zahl von Diensten, Frameworks und Anwendungen auf einem Webserver kann es schwierig sein, alle regelmäßig und erfolgreich mit Sicherheitspatches zu aktualisieren. Es kann sehr hilfreich sein, die Arbeit des Sicherheitsteams, das die Website schützt, von einem externen Fachdienstleister unabhängig überprüfen zu lassen. Wenn Ihre Website von einem Drittanbieter verwaltet wird, sollten Sie in Ihrer Dienstleistungsvereinbarung mit diesem einen bestimmten Zeitraum festlegen, in dem er Ihre Systeme und Daten patchen wird. 

Durch den Einsatz eines Zahlungsabwicklers kann die Notwendigkeit zur Speicherung von Zahlungskartendaten vermieden werden. Ein Iframe (oder Inline-Frame) kann verwendet werden, um interaktive Elemente in eine Webseite einzubetten, so dass sensible Informationen (wie etwa Zahlungskartendaten) an den entsprechenden Prozessor gesendet werden, anstatt direkt auf der Webseite gespeichert zu werden. Dadurch können die einem Cyberkriminellen zugänglichen Informationen beschränkt werden, selbst wenn die Website kompromittiert wurde.

Mit einem CDN können Webinhalte über ein größeres Gebiet verteilt und so die Sicherheit erhöht werden. CDNs verfügen oft über eine Ausfallsicherheit, die mehr Schutz bietet als die Sicherheitsmaßnahmen der meisten Unternehmen. Daher sind DDoS-Angriffe oft weniger effektiv, wenn sie auf Websites abzielen, deren Datenverkehr über ein CDN geleitet wird.