Datensicherheit

WAS ich aktiv dafür mache
[_su_accordion]
Für Websites

WordPress

Seine Beliebtheit macht WordPress zur Zielscheibe zahlloser Angriffe. Zum Glück gibt es ein Plugin für WordPress namens iThemes Security. Es bietet umfassende Schutzmaßnahmen. Allerdings können nicht alle „out of the box“ funktionieren. Jedes Umfeld ist anders – deshalb gilt es die jeweiligen Möglichkeiten gekonnt und individuell einzustellen, manches schon während der Installation von Word­Press.

Ich habe mich eingehend mit diesem Plugin befasst und konnte dem Plugin-Autor in manchen Fragen sogar helfen. Mein Anspruch ist es, die Sicherheit von jeder WordPress-Installation von Anfang an in vollstmöglichen Umfang zu gewährleisten.

Piwik statt Google Analytics

Wer seine Website durch Analyse des Besucherverhaltens optimieren will, braucht dafür eine Webanalytik-Software, die sämtliche Seitenaubrufe protokolliert und auswertet. So erfahren Sie welche Suchbegriffe zu Ihrer Website geführt haben, welche Seiten wie oft besucht wurden, Verweildauer der Besuche, u.v.a.m.

Häufig wird hierzu Google Analytics (GA) eingesetzt – weil es gute Informationen liefert, bekannt ist und wenig Mühe macht. Bei GA erfolgt im Hintergrund eines jeden Seitenabrufs die Übermittelung entsprechender Daten an Google, die auf dessen Server aufbewahrt werden. Da Google aufgerufen wird, kann Google auch ein Cookie im Browser des Besuchers setzen bzw. ergänzen – und somit das Surfverhalten von nichtsahnenden Nutzern über verschiedene Website-Besuche hinweg verfolgen. So entstehen Profile für personalisierte Werbung!

Piwik ist eine Open Source Webanalytik-Software, die man auf dem eigenen Server installiert und betreibt. Auch hier wird jeder Seitenabruf protokolliert; der Unterschied aber ist, dass die Datensätze nie den eigenen Server verlassen. Da Websites, die Piwik einsetzen, dafür eigene Internet-Adressen verwenden, kann es durch Cookies keine Erstellung von Surfprofilen geben. Piwik steht in seinen Möglichkeiten GA kaum mehr nach – er wurde inzwischen fast 2 millionen Mal heruntergeladen. Sie wurde bereits 2011 vom Unabhängiges Landeszentrum für Datenschutz in Schleswig-Holstein mit folgendem Fazit defacto empfohlen: Die Software Piwik ist aus Sicht des ULD bei datenschutzkonformer Implementierung eine mögliche Alternative zur datenschutzrechtlich unzulässigen Anwendung anderer Analysedienste.

Zur Einbindung von Piwik in WordPress steht ein gutes Plugin zur Verfügung.

Für die IT-Infrastruktur
Ausrichtung: Bei kommerziellen Produkten besteht die Gefahr, dass der Hersteller Daten absaugt. Ich meide deshalb solche Produkte, wann immer es geht. Und ich umgehe kommerzielle Cloud-Lösung – was in den AGBs der Betreiber steht, ist das eine; ob NSA & Co. doch auf die Daten zugreifen, das andere…
Besser ist Open Source Software. Hier sind garantiert keine unsauberen Praktiken eingebaut, weil der Programmcode ja offen steht. Zudem entsteht mit Open Source Produkten keine Bindung an einen kommerziellen Hersteller – und sie kosten nichts!

E-Mail Konten und Groupware

  • Betrieb auf einem eigenen, gut abgesichertem Server
  • Zeitnahes Einspielen sicherheitsrelevanten Updates
  • Datenübertragung vom und zum Server ausschließlich verschlüsselt
  • Ein komplettes Backup aller veränderlichen Daten jede Nacht

Server-Sicherheit

Die von mir verwalteten Server setzen die Verwaltungssoftware Plesk ab der Version 12 ein; sie bietet beachtliche Möglichkeiten:

  • Starke Passwörter erzwingen, FTP-Zugang nur mit gesicherter Übertragung
  • Klasse 2 Sicherheitszertifikate wo immer nötig, auch mit Wildcard-Subdomains
  • Automatische Erkennung und Ablehnung von Angriffen auf Basis der genutzten IP-Adressen
  • E-Mail Schutz: Verschlüsselter Zugang zu den Mailboxen erzwingen, Dr. Web Antivirus, Spam-Erkennung durch SpamAssassin
  • Schutz des Servers gegen Mißbrauch als Spam-Versender durch Überwachung der Anzahl ausgehender E-Mails
  • Sicherung veränderlicher Daten (inkl. Mailboxen) jede Nacht, Aufhebung auf einen anderen Server für 7 Wochentagen + 3 Wochen + 3 Quartale
  • Health Monitoring – ständige Serverüberwachung mit E-Mail Versand an mich bei Problemerkennung.
[_/su_accordion]
WARUM ich das machen muss

und ob ein grundlegendes Umdenken nicht besser wäre?

Der Wirtschaft, ja dem ganzen Menschen wäre geholfen, könnten wir Kinder und Jugendliche so fördern, dass Schutz vor krimineller und skrupelloser Energie gar nicht mehr nötig wäre!

Schon vor “Snowden” habe ich mich gezielt über Datensicherheit informiert. Mich bewegen hierbei die politischen und wirtschaftlichen Aspekte und vor allem die dahinterstehenden zwischenmenschlichen und gesellschaftlichen Themen.

Mißtrauen, Unsicherheit, Konkurrenz, kriminelle Energie – die Liste ließe sich fortsetzen. Gibt es eine Gemeinsamkeit bei diesen Missständen? Aus meiner Sicht ja: Sie entstehen alle aus einem Mangel an Gemeinsinn. Diese Formulierung war für mich sehr hilfreich, um im eigenen Leben Prioritäten zu setzen. Wie ich das bei meiner Arbeit umsetze, lesen Sie bei meinen Leitlinien.


Muss für meine Website wirklich so viel Aufwand bei der Sicherheit betrieben werden?
Leider ja, wie dieser Bericht Hacker erbeuten Milliarden Profildaten zeigt.

Wie kann ich mich beim Surfen im Internet schützen?
Lesen Sie hierzu meine Blog-Beiträge:

Verschlüsselung sollte zur Bürgerpflicht werden. Die Bundesregierung zeigt hierbei aber nur Arbeitsverweigerung. Aufklärung darüber sucht man vergeblich. Lesen Sie den Artikel von Markus Beckedahl - Welt im Netz: Gib Überwachung keine Chance.

Berufs-Hacker zu neuem IT-Sicherheitsgesetz: Zu langsam, zu wenig, zu halbherzig.