Warum sind Sicherheitslücken eigentlich so gefährlich?

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

Internet & Recht

Veröffentlicht am 30. Apr. 2015

Aktualisiert am 9. Mai 2022

Seit letzter Woche sagen wir Sicherheitslücken ganz direkt den Kampf an. Dank dem neuen System können Sicherheitslücken nicht nur erkannt sondern auch sofort mit einem passenden Patch gestopft werden. So haben Angreifer keine Chance mehr, verwundbare Websites für ihre Zwecke zu missbrauchen.

Freude und Skepsis

Unsere Ankündigung, bekannte Sicherheitslücken nun automatisch den Garaus zu machen, hat so einiges an Reaktionen generiert. In den Kommentaren des Blogbeitrags finden sich erfreute aber auch besorgte Meinungen.

Viele positive Rückmeldungen haben wir per E-Mail erhalten. Generell wird geschätzt, dass eine oft aufwendige und bisher manuelle Arbeit nun durch den Computer ausgeführt wird.

Eine Menge Sicherheitslücken geschlossen

Die zahlreichen Reaktionen haben uns gezeigt, dass das Thema Sicherheit einen grossen Stellenwert besitzt. Und das ist auch gut so, denn Sicherheitslücken können enorme Schäden verursachen.

Zwischenzeitlich konnten wir insgesamt 164’425 Sicherheitslücken feststellen, welche nun dank dem neuen System keine Gefahr mehr darstellen. Knapp 20% aller gescannten Webhosting-Kunden waren durch eine Sicherheitslücke gefährdet.

Bis jetzt ist uns übrigens kein einziger Fall bekannt, bei dem es nötig war, einen angewandten Patch rückgängig zu machen.

Die Top-3 der Fragen zum neuen System

Aus den zahlreichen Rückmeldungen haben sich drei Fragen herauskristallisiert, die nach unserer Ankündigung noch unklar waren:

  • Wie werden Sicherheitslücken erkannt?
    Die Erkennung von Sicherheitslücken erfolgt über sogenannte Hashes von Dateien. So wird sichergestellt, dass nur unveränderte Dateien von Applikationen gepatcht werden. Manuelle Anpassungen bleiben also unberührt.

  • Wie wird gepatched?
    Die Patches werden «zielgenau» angebracht. Es werden also weder Updates gefahren noch einzelne Dateien überschrieben sondern nur diese Stellen im Code geändert, welche eine Sicherheitslücke schliessen.

  • Woher kommen die Patches?
    Die Patches kommen in der Regel direkt von den Herstellern der jeweiligen Applikationen. In Einzelfällen werden Patches auch selbst geschrieben, wenn z.B. eine Lücke bereits ausgenutzt wird und der Hersteller noch keinen Patch bereitgestellt hat.

Sie finden im passenden Supportcenter-Artikel ausserdem weitere Antworten auf häufig gestellte Fragen: Wie funktioniert das automatische Schliessen von Sicherheitslücken?

Was Sicherheitslücken anrichten können

Sicherheitslücken können mehr als nur einen bitteren Beigeschmack haben. (Bildquelle)

Sicherheitslücken können mehr als nur einen bitteren Beigeschmack haben. Bildquelle

Sicherheitslücken sind gefährlich, das lässt sich nicht wegdiskutieren. Aber warum eigentlich? Und wieso sollte ich davon betroffen sein? Dieses reale Beispiel soll ein wenig Licht ins Dunkle bringen:

Ursache

Im Dezember 2014 sorgte die sogenannte SoakSoak-Attacke für Aufregung. Die Sicherheitslücke in einem WordPress-Plugin war von vielen Website-Betreibern unentdeckt geblieben und dann in einem relativ koordinierten Angriff ausgenutzt worden.

Wirkung

Die Sicherheitslücke erlaubte es Angreifern, Schadcode in die betroffene Installation zu schleusen und so jeden Besucher der Website potentiell zu gefährden. Den genauen Angriffs-Vektor, den sich die Angreifer dabei zu Nutze gemacht hatten, haben die Spezialisten von Sucuri im Detail beschrieben.

Zum Teil waren Websites innert Sekunden erneut mit Schadcode infiziert worden, nachdem der ursprüngliche Code entfernt worden war. In solchen Fällen half dann nur noch die komplette Neuinstallation des betroffenen Content-Management-Systems.

Nachwehen

Gehackte Websites sind vor allem für deren Betreiber eine mühsame Angelegenheit. Aber auch unbeteiligte Dritte können von solchen Angriffen in Mitleidenschaft gezogen werden. Seien dies andere Kunden auf dem gleichen Server oder die Besucher einer betroffenen Websites, denen beim Aufruf Schadsoftware untergejubelt wird.

Hashtag #cmsnews

Das Fazit ist klar: Mit Sicherheitslücken ist nicht zu spassen. Aktualisieren Sie Ihr Content-Management-System deshalb regelmässig manuell oder nutzen Sie automatische Sicherheits-Updates, die viele Content-Management-Systeme inzwischen von Haus aus mitbringen.

Möchten Sie wissen, wenn für Ihr Lieblings-CMS eine neue Version erschienen ist? Folgen Sie uns auf Twitter, wo wir unter dem Hashtag #cmsnews über neue Versionen der beliebtesten CMS berichten.

Beteilige dich an der Diskussion

20 Kommentare

rittiner & gomez
rittiner & gomez 6. Nov. 2017 15:30

vielen dank

marcel
marcel 30. Dez. 2016 08:20

Ja, auch von mir ein Lob und grosser Dank für die aufmerksame Betreuung. Für eine kleine NPO wie uns eine grosse Dienstleistung.

Philipp Zeder
Philipp Zeder cyon
3. Jan. 2017 09:29

Vielen Dank, Marcel.

Norbert
Norbert 28. Dez. 2016 20:50

VIELEN Dank für den SCHNELLEN Sec-Patch für die kritische PHPMailer-Verwundbarkeit im WP-Core.

DAS nenne ich Service!

Wünsche Euch allen schon jetzt ein GUTES NEUES JAHR!

Philipp Zeder
Philipp Zeder cyon
29. Dez. 2016 11:38

Danke Norbert, wir wünschen Dir ebenfalls einen guten Start ins neue Jahr.

Rudi Tüscher
Rudi Tüscher 27. Dez. 2016 22:05

Wer wie ich bei gtc (Name maskiert) erleben musste, dass eine Rechnung von ungefähr 200 Franken gestellt wurde, um dann beim nächsten Vorfall gar gekündigt zu werden, der fragt sich, warum das eigentlich nicht alle Hoster so machen.

Egli-Werbung
Egli-Werbung 1. Juli 2016 09:36

Ich muss sagen das ich seit eurem erweitertem Sicherheitssystem kein einziges Problem mehr habe, bei dem ich ein Backup auf den FTP laden musste.

Von allen schweizweiten Serveranbieter finde ich euch, inkl. Support, als Serverhoster am besten geeignet.

Christian Egli

Philipp Zeder
Philipp Zeder cyon
1. Juli 2016 09:42

Vielen Dank, Christian.

Noel
Noel 22. Apr. 2016 09:36

Hallo

Ich wollte heute einige Änderungen an unserer Web-Seite mit WordPress machen und seit diesem Update kann ich keine Änderungen mehr speichern und auch die Visuelle Ansicht ich leer. Hat dies etwas mit dem Update zu tun?

mfg

Noel Leibundgut

Philipp Zeder
Philipp Zeder cyon
22. Apr. 2016 09:47

Hallo Noel. Wir schauen uns das gerne genauer an. Ich habe dazu ein Supportticket erstellt. Wir melden uns dann direkt per E-Mail. Beste Grüsse, Philipp

Röbi
Röbi 31. Mai 2015 09:57

Ich finde es toll wie sich Cyon ins zeug hängt und soviel für uns tut.
Macht weiter so.

Wolf
Wolf 8. Mai 2015 11:18

Ich fände es toll wenn man für die Sicherheits-Benachrichtigungen eine explizite Email-Adresse angeben könnte (oder einfach eine CC-Adresse).

David Burkardt
David Burkardt cyon
8. Mai 2015 13:47

Das ist zur Zeit leider nicht möglich, wir versenden immer an die primäre hinterlegte Adresse. Aber wir nehmen den Wunsch gerne auf die Liste.

xor
xor 5. Mai 2015 20:37

Noch eine kleine Verbesserungsmöglichkeit für die Profis die es nicht mögen wenn man ihre Codes automatisch fixt. Falls es nicht zu aufwändig ist, könnte man einen DIFF Vergleich einbauen. So kann man die Veränderungen nach oder vor einem Patch als Coder noch mal überprüfen, so ähnlich wie bei GitHub bekannt. Der Patch Code selbst reicht vielleicht auch schon.

(Vielleicht lernt man sogar was dabei ;-)

Lohnt sich aber vielleicht auch nicht wenn es nur sehr wenige sind die diese Option verwenden würden.

David Burkardt
David Burkardt cyon
5. Mai 2015 20:39

Gute Idee! Wir werden schauen, ob sich da was machen lässt.

Bea
Bea 4. Mai 2015 21:36

Besten Dank :-)

Bea
Bea 4. Mai 2015 12:41

Was mir noch fehlt ist, eine Benachrichtiung, wenn eine meiner diversen betreuten Webseiten einen Patch nötig hätte. Ist etwas gar mühsam, immer wieder alles durchzusehen. Oder gibts so einen “Patch”-Tag einfach 1 x pro Monat?

David Burkardt
David Burkardt cyon
4. Mai 2015 12:51

Wir scannen 1x täglich (bzw. in der Nacht) und verschicken immer eine E-Mail, falls wir fündig wurden. In der Standardeinstellung passiert das Patchen sofort, beim verzögerten Patchen erst nach zwei Wochen.

Gian Bott
Gian Bott 1. Mai 2015 09:49

Ich finde es sehr gut, dass Cyon Sicherheitslücken automatisch stopft, denn das Gros der Websiten-User wäre da überfordert. Kritik einiger “Profis” ändert daran nichts, dass dies Lösung einmal mehr ein grosser Pluspunkt für Cyon ist!

Meine WebSite hat gemäss Cyon-Test keine Sicherheitslücken, was mich auch weiter nicht erstaunt hat, verwende ich doch Plugins sehr zurückhaltend und und halte Alles, vom Betriebssystem, WordPress bis zu den Plugins immer auf dem neuesten Stand. Auch verwende ich ein Standardtheme, was sich bisher sehr gelohnt hat und trotzdem sehr gut aussieht (sagen meine WebSitenutzer aus ganz Europa).

Ich wünsche einen schön verregneten 1.Mai ;)

Gian

David Burkardt
David Burkardt cyon
4. Mai 2015 12:50

Merci für den Kommentar. Saubere Arbeit!