Datensicherheit

WAS ich aktiv dafür mache
Für Websites

WordPress

Seine Beliebtheit macht WordPress zur Zielscheibe zahlloser Angriffe. Zum Glück gibt es viele Plugins für WordPress, die auf diverser Art und Weise für mehr Sicherheit gegen Angriffe sorgen. Ich habe zwei der führenden Plugins in diesem Bereich ausgewählt, die sich gut ergänzen: iThemes Security versteckt die Login-Seite, blockiert Mehrfach-Aufrufer nicht-vorhandener Seiten, sperrt Besucher anhand schwarzer Listen, und implementiert diverse Sicherheitseinstellungen im System sowie WordPress selbst. Hinzu kommt das Wordfence Plugin, das eine Firewall implementiert (inkl. Brute-Force und Rate Limiting), sowie Scans des Dateisystems für Viruse und inhaltliche Prüfung abgegebener Kommentare. Es gibt bei den beiden Plugins überschneidungen, so dass man wissen muss, welche Features man wo ein- bzw. ausschaltet.

Mein Anspruch ist es, die Sicherheit von jeder WordPress-Installation von Anfang an in vollstmöglichen Umfang zu gewährleisten.

Slimstat oder Matomo statt Google Analytics

Wer seine Website durch Analyse des Besucherverhaltens optimieren will, braucht dafür eine Webanalytik-Software, die sämtliche Seitenaubrufe protokolliert und auswertet. So erfahren Sie welche Suchbegriffe zu Ihrer Website geführt haben, welche Seiten wie oft besucht wurden, Verweildauer der Besuche, u.v.a.m.

Häufig wird hierzu Google Analytics (GA) oder neuerdings Google Tag Manager (GTM) eingesetzt – weil es gute Informationen liefert, bekannt ist und wenig Mühe macht. Bei GA / GTM erfolgt im Hintergrund eines jeden Seitenabrufs die Übermittelung entsprechender Daten an Google, die auf dessen Server aufbewahrt werden. Da Google aufgerufen wird, kann Google auch ein Cookie im Browser des Besuchers setzen bzw. ergänzen – und somit das Surfverhalten von nichtsahnenden Nutzern über verschiedene Website-Besuche hinweg verfolgen. So entstehen Profile für personalisierte Werbung oder gar Meinungsmanipulation!

Für WordPress gibt es eine hervorragende Alternative – das Plugin Slimstat, das eine beeindrückende Vielfalt an Statistiken direkt im Dashboard von WordPress bringt.

Websites nicht auf Basis von WordPress, oder Betreiber mehrerer WordPress-Websites, können auf das Open-Source Programm Matomo setzen für ihre Besuchsstatistiken. Die Features von Matomo, das als eigenständiges Programm auf einem Internet-Server oder Webhosting-Pakete installiert werden muss, können sich durchaus mit GA / GTM messen. Zur Einbindung von Matomo in WordPress steht ein das Plugin WP-Matomo zur Verfügung.

Mehr zu beiden Programmen finden Sie in meinem Artikel DSGVO – Keine Cookies, Keine Fremdaufrufe.

Für die IT-Infrastruktur
Ausrichtung: Bei kommerziellen Produkten besteht die Gefahr, dass der Hersteller Daten absaugt. Ich meide deshalb solche Produkte, wann immer es geht. Und ich umgehe kommerzielle Cloud-Lösung – was in den AGBs der Betreiber steht, ist das eine; ob NSA & Co. doch auf die Daten zugreifen, das andere…
Besser ist Open Source Software. Hier sind garantiert keine unsauberen Praktiken eingebaut, weil der Programmcode ja offen steht. Zudem entsteht mit Open Source Produkten keine Bindung an einen kommerziellen Hersteller – und sie kosten nichts!

E-Mail Konten und Groupware

  • Betrieb auf einem eigenen, gut abgesichertem Server
  • Zeitnahes Einspielen sicherheitsrelevanten Updates
  • Datenübertragung vom und zum Server ausschließlich verschlüsselt
  • Ein komplettes Backup aller veränderlichen Daten jede Nacht

Server-Sicherheit

Die von mir verwalteten Server setzen die Verwaltungssoftware Plesk Onyx ein; sie bietet beachtliche Möglichkeiten:

  • Starke Passwörter erzwingen, FTP-Zugang nur mit gesicherter Übertragung
  • Klasse 2 Sicherheitszertifikate wo immer nötig, auch mit Wildcard-Subdomains
  • Automatische Erkennung und Ablehnung von Angriffen auf Basis der genutzten IP-Adressen
  • E-Mail Schutz: Verschlüsselter Zugang zu den Mailboxen erzwingen, Dr. Web Antivirus, Spam-Erkennung durch SpamAssassin
  • Schutz des Servers gegen Mißbrauch als Spam-Versender durch Überwachung der Anzahl ausgehender E-Mails
  • Sicherung veränderlicher Daten (inkl. Mailboxen) jede Nacht, Aufhebung auf einen anderen Server für 7 Wochentagen + 3 Wochen + 3 Quartale
WARUM ich das machen muss

und ob ein grundlegendes Umdenken nicht besser wäre?

Der Wirtschaft, ja dem ganzen Menschen wäre geholfen, könnten wir Kinder und Jugendliche so fördern, dass Schutz vor krimineller und skrupelloser Energie gar nicht mehr nötig wäre!

Schon vor “Snowden” habe ich mich gezielt über Datensicherheit informiert. Mich bewegen hierbei die politischen und wirtschaftlichen Aspekte und vor allem die dahinterstehenden zwischenmenschlichen und gesellschaftlichen Themen.

Mißtrauen, Unsicherheit, Konkurrenz, kriminelle Energie – die Liste ließe sich fortsetzen. Gibt es eine Gemeinsamkeit bei diesen Missständen? Aus meiner Sicht ja: Sie entstehen alle aus einem Mangel an Gemeinsinn. Diese Formulierung war für mich sehr hilfreich, um im eigenen Leben Prioritäten zu setzen. Wie ich das bei meiner Arbeit umsetze, lesen Sie bei meinen Leitlinien.


Muss für meine Website wirklich so viel Aufwand bei der Sicherheit betrieben werden?
Leider ja, wie dieser Bericht Hacker erbeuten Milliarden Profildaten zeigt.

Wie kann ich mich beim Surfen im Internet schützen?
Lesen Sie hierzu meine Blog-Beiträge:

Verschlüsselung sollte zur Bürgerpflicht werden. Die Bundesregierung zeigt hierbei aber nur Arbeitsverweigerung. Aufklärung darüber sucht man vergeblich. Lesen Sie den Artikel von Markus Beckedahl - Welt im Netz: Gib Überwachung keine Chance.

Berufs-Hacker zu neuem IT-Sicherheitsgesetz: Zu langsam, zu wenig, zu halbherzig.