Warum sind Sicherheitslücken eigentlich so gefährlich?

← zurück zum Blog

Seit letzter Woche sagen wir Sicherheitslücken ganz direkt den Kampf an. Dank dem neuen System können Sicherheitslücken nicht nur erkannt sondern auch sofort mit einem passenden Patch gestopft werden. So haben Angreifer keine Chance mehr, verwundbare Websites für ihre Zwecke zu missbrauchen.

Freude und Skepsis

Unsere Ankündigung, bekannte Sicherheitslücken nun automatisch den Garaus zu machen, hat so einiges an Reaktionen generiert. In den Kommentaren des Blogbeitrags finden sich erfreute aber auch besorgte Meinungen.

Viele positive Rückmeldungen haben wir per E-Mail erhalten. Generell wird geschätzt, dass eine oft aufwendige und bisher manuelle Arbeit nun durch den Computer ausgeführt wird.

Eine Menge Sicherheitslücken geschlossen

Die zahlreichen Reaktionen haben uns gezeigt, dass das Thema Sicherheit einen grossen Stellenwert besitzt. Und das ist auch gut so, denn Sicherheitslücken können enorme Schäden verursachen.

Zwischenzeitlich konnten wir insgesamt 164’425 Sicherheitslücken feststellen, welche nun dank dem neuen System keine Gefahr mehr darstellen. Knapp 20% aller gescannten Webhosting-Kunden waren durch eine Sicherheitslücke gefährdet.

Bis jetzt ist uns übrigens kein einziger Fall bekannt, bei dem es nötig war, einen angewandten Patch rückgängig zu machen.

Die Top-3 der Fragen zum neuen System

Aus den zahlreichen Rückmeldungen haben sich drei Fragen herauskristallisiert, die nach unserer Ankündigung noch unklar waren:

  • Wie werden Sicherheitslücken erkannt?
    Die Erkennung von Sicherheitslücken erfolgt über sogenannte Hashes von Dateien. So wird sichergestellt, dass nur unveränderte Dateien von Applikationen gepatcht werden. Manuelle Anpassungen bleiben also unberührt.

  • Wie wird gepatched?
    Die Patches werden «zielgenau» angebracht. Es werden also weder Updates gefahren noch einzelne Dateien überschrieben sondern nur diese Stellen im Code geändert, welche eine Sicherheitslücke schliessen.

  • Woher kommen die Patches?
    Die Patches kommen in der Regel direkt von den Herstellern der jeweiligen Applikationen. In Einzelfällen werden Patches auch selbst geschrieben, wenn z.B. eine Lücke bereits ausgenutzt wird und der Hersteller noch keinen Patch bereitgestellt hat.

Sie finden im passenden Supportcenter-Artikel ausserdem weitere Antworten auf häufig gestellte Fragen: Wie funktioniert das automatische Schliessen von Sicherheitslücken?

Was Sicherheitslücken anrichten können

Sicherheitslücken können mehr als nur einen bitteren Beigeschmack haben. (Bildquelle)

Sicherheitslücken können mehr als nur einen bitteren Beigeschmack haben. Bildquelle

Sicherheitslücken sind gefährlich, das lässt sich nicht wegdiskutieren. Aber warum eigentlich? Und wieso sollte ich davon betroffen sein? Dieses reale Beispiel soll ein wenig Licht ins Dunkle bringen:

Ursache

Im Dezember 2014 sorgte die sogenannte SoakSoak-Attacke für Aufregung. Die Sicherheitslücke in einem WordPress-Plugin war von vielen Website-Betreibern unentdeckt geblieben und dann in einem relativ koordinierten Angriff ausgenutzt worden.

Wirkung

Die Sicherheitslücke erlaubte es Angreifern, Schadcode in die betroffene Installation zu schleusen und so jeden Besucher der Website potentiell zu gefährden. Den genauen Angriffs-Vektor, den sich die Angreifer dabei zu Nutze gemacht hatten, haben die Spezialisten von Sucuri im Detail beschrieben.

Zum Teil waren Websites innert Sekunden erneut mit Schadcode infiziert worden, nachdem der ursprüngliche Code entfernt worden war. In solchen Fällen half dann nur noch die komplette Neuinstallation des betroffenen Content-Management-Systems.

Nachwehen

Gehackte Websites sind vor allem für deren Betreiber eine mühsame Angelegenheit. Aber auch unbeteiligte Dritte können von solchen Angriffen in Mitleidenschaft gezogen werden. Seien dies andere Kunden auf dem gleichen Server oder die Besucher einer betroffenen Websites, denen beim Aufruf Schadsoftware untergejubelt wird.

Hashtag #cmsnews

Das Fazit ist klar: Mit Sicherheitslücken ist nicht zu spassen. Aktualisieren Sie Ihr Content-Management-System deshalb regelmässig manuell oder nutzen Sie automatische Sicherheits-Updates, die viele Content-Management-Systeme inzwischen von Haus aus mitbringen.

Möchten Sie wissen, wenn für Ihr Lieblings-CMS eine neue Version erschienen ist? Folgen Sie uns auf Twitter, wo wir unter dem Hashtag #cmsnews über neue Versionen der beliebtesten CMS berichten.

19 Kommentare

  1. Ich finde es sehr gut, dass Cyon Sicherheitslücken automatisch stopft, denn das Gros der Websiten-User wäre da überfordert. Kritik einiger „Profis“ ändert daran nichts, dass dies Lösung einmal mehr ein grosser Pluspunkt für Cyon ist!

    Meine WebSite hat gemäss Cyon-Test keine Sicherheitslücken, was mich auch weiter nicht erstaunt hat, verwende ich doch Plugins sehr zurückhaltend und und halte Alles, vom Betriebssystem, WordPress bis zu den Plugins immer auf dem neuesten Stand. Auch verwende ich ein Standardtheme, was sich bisher sehr gelohnt hat und trotzdem sehr gut aussieht (sagen meine WebSitenutzer aus ganz Europa).

    Ich wünsche einen schön verregneten 1.Mai ;)

    Gian

  2. Was mir noch fehlt ist, eine Benachrichtiung, wenn eine meiner diversen betreuten Webseiten einen Patch nötig hätte. Ist etwas gar mühsam, immer wieder alles durchzusehen. Oder gibts so einen „Patch“-Tag einfach 1 x pro Monat?

    • Wir scannen 1x täglich (bzw. in der Nacht) und verschicken immer eine E-Mail, falls wir fündig wurden. In der Standardeinstellung passiert das Patchen sofort, beim verzögerten Patchen erst nach zwei Wochen.

  3. Besten Dank :-)

  4. Noch eine kleine Verbesserungsmöglichkeit für die Profis die es nicht mögen wenn man ihre Codes automatisch fixt. Falls es nicht zu aufwändig ist, könnte man einen DIFF Vergleich einbauen. So kann man die Veränderungen nach oder vor einem Patch als Coder noch mal überprüfen, so ähnlich wie bei GitHub bekannt. Der Patch Code selbst reicht vielleicht auch schon.

    (Vielleicht lernt man sogar was dabei ;-)

    Lohnt sich aber vielleicht auch nicht wenn es nur sehr wenige sind die diese Option verwenden würden.

  5. Ich fände es toll wenn man für die Sicherheits-Benachrichtigungen eine explizite Email-Adresse angeben könnte (oder einfach eine CC-Adresse).

    • Das ist zur Zeit leider nicht möglich, wir versenden immer an die primäre hinterlegte Adresse. Aber wir nehmen den Wunsch gerne auf die Liste.

  6. Ich finde es toll wie sich Cyon ins zeug hängt und soviel für uns tut.
    Macht weiter so.

  7. Hallo

    Ich wollte heute einige Änderungen an unserer Web-Seite mit WordPress machen und seit diesem Update kann ich keine Änderungen mehr speichern und auch die Visuelle Ansicht ich leer. Hat dies etwas mit dem Update zu tun?

    mfg

    Noel Leibundgut

    • Hallo Noel. Wir schauen uns das gerne genauer an. Ich habe dazu ein Supportticket erstellt. Wir melden uns dann direkt per E-Mail. Beste Grüsse, Philipp

  8. Ich muss sagen das ich seit eurem erweitertem Sicherheitssystem kein einziges Problem mehr habe, bei dem ich ein Backup auf den FTP laden musste.

    Von allen schweizweiten Serveranbieter finde ich euch, inkl. Support, als Serverhoster am besten geeignet.

    Christian Egli

  9. Wer wie ich bei gtc (Name maskiert) erleben musste, dass eine Rechnung von ungefähr 200 Franken gestellt wurde, um dann beim nächsten Vorfall gar gekündigt zu werden, der fragt sich, warum das eigentlich nicht alle Hoster so machen.

  10. VIELEN Dank für den SCHNELLEN Sec-Patch für die kritische PHPMailer-Verwundbarkeit im WP-Core.

    DAS nenne ich Service!

    Wünsche Euch allen schon jetzt ein GUTES NEUES JAHR!

  11. Ja, auch von mir ein Lob und grosser Dank für die aufmerksame Betreuung. Für eine kleine NPO wie uns eine grosse Dienstleistung.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog