Vor Angriffen auf seine Website ist scheinbar kaum jemand gefeit: Sony hat es bei seiner Playstation-Webseite schon erwischt, den Sicherheitsanbieter Kaspersky (wenn auch nur in der Filiale in Malaysia) und im Herbst 2007 die Gewerkschaft Deutscher Lokomotivführer, als der noch laufende Streik auf deren Website kurzerhand für beendet erklärt wurde.
Als Faustregel gilt dabei: Je prominenter die Seite, umso wahrscheinlicher ist es, dass die Cracker sich lediglich Aufmerksamkeit verschaffen oder von der bekannten Seite profitieren wollen. Beispielsweise bei Bundesinnenminister Wolfgang Schäuble vor wenigen Wochen, als die Startseite lediglich durch ein zusätzliches Bild verändert wurde, wahrscheinlich, um den Sicherheitsfanatiker zu ärgern.
Kommerzielle Interessen steckten dagegen bereits hinter der Attacke auf die Webseite von Al Gore im vergangenen Herbst. Mit von den Crackern eingebauten versteckten Links half Gore unbeabsichtigt dabei, den Google-Page-Rank der Seiten von Anbietern gefälschter Pharmaprodukte zu verbessern.
Je unbekannter die Seite dagegen ist, umso wahrscheinlicher wird es, dass der Angreifer ganz andere Ziele verfolgt: Etwa den Versand von Spam. Dafür suchen Internetkriminelle inzwischen auch gerne private Homepages oder Sites kleiner Firmen auf, bei denen sie zu Recht hoffen können, weniger ausgefeilte Sicherheitsvorkehrungen anzutreffen.
Den Betroffenen, die die Veränderung oft erst einige Tage später bemerken oder auf Umwegen davon erfahren, droht ein böses Erwachen – etwa wenn der Provider die Rechnung für den zusätzlichen Traffic vorlegt. Oder noch schlimmer, wenn sie auf einmal als Spam- oder Malwareversender dastehen – ohne davon überhaupt etwas bemerkt zu haben. Zwar ist laut Bundesamt für Sicherheit in der Informationstechnik „die fahrlässige oder unwissentliche Verbreitung von Schadprogrammen wie Viren oder Würmern grundsätzlich keine Straftat, allerdings kann eine zivilrechtliche Haftung auch schon bei Fahrlässigkeit entstehen.“
Zu Deutsch heißt das: Es droht zwar keine Strafe, für entstandenen wirtschaftlichen Schaden müsste aber aufgekommen werden. Und bei Unternehmen – seien sie auch noch so klein – „besteht unter Umständen eine erhöhte Sorgfaltspflicht, die sich etwa aus dem Aktiengesetz oder dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) ergeben kann.“
Neueste Kommentare
8 Kommentare zu Website gehackt: Was tun im Fall der Fälle?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Danke für Artikel. Habe Ihn durch google gefunden. Mir ist das selbe passiert. Plötzlich war meine Webseite gehackt. Ich habe hier von einer Sicherheitsfirma ein Werkzeug gefunden das kostenlos ist und sicher dem einen oder anderem Helfen wird.
Mit hat es geholfen.
dotcomsecurity.de/wordpress-antihacking/
Sehr nützlich ist auch der kostenlose Scanner von sucuri.net.
Wurde mir von website-bereinigung.de empfohlen, als auf meiner WordPress Seite immer wieder Schadcode eingeschleust wurde.
Es lag schließlich daran, dass meine FTP Daten per Trojaner aus den Filezilla XML Dateien ausgelesen wurden.
Das ist natürlich ein gefundenes Fresschen, als Seitenbetreiber sollte man unbedingt mal nach „Filezilla Kiosk Mode“ googlen, der die Passwortspeicherung verhindert.
Sicherheit testen
Nachdem meine Seite 3 mal gehackt wurde, habe ich diesen Service genutzt um herauszufinden wie die Hacker „eingebrochen“ sind. https://www.infected-web.de/
Es war erstaunlich was die alles bei mir gefunden haben. Seitdem war nichts mehr und meine Webseite ist sicher.
Linux benutzt, was?
Nun ja, Open Source. In alle Richtungen offen. ;-)
Manchmal denke ich, solche Software wird nur deswegen kostenlos verteilt, und von bestimmten (Hacker-) Kreisen wie dem CCC empfohlen, damit diese leichter in fremde Systeme eindringen können…
Also wer glaubt, nur „Open Source“ wäre sicher, und „Closed Source“ wäre unsicher, ist schon ganz schön naiv und brainwashed!
AW: Sicherheit testen
@Hans K.: Ich habe mit http://www.hackalarm24.com ebenfalls gute Erfahrungen gemacht. Die bieten neben dem vollständigen Check übrigens auch einen Hacküberwachungs-Service an. Das ist nicht schlecht: Wenn Verdacht auf einen Hackangriff besteht, kriege ich sofort eine SMS und kann gleich ein Backup einspielen. Seither ist Ruhe und endlich schlafe ich wieder ruhig :)
@Martin: Linux ist definitiv sicherer als Windows. Alleine schon wegen der Rechtevergabe im Dateisystem. Gegen Opensource spricht ja nichts, wenn man täglich Updates einspielt. Serveradmins machen das gewöhnlich. Bei CMS oder Blogs schauts schon anders aus. Webmaster nehmen es da nicht so genau mit den Updates. Ich sprech da aus Erfahrung.
Diese Website gibt es nicht mehr aber ich habe einen ähnliches gratis und sehr guten Website Malware Scanner gefunden das mir geholfen hat meine Webseite wieder zu säubern. http://www.websicherheit.at/web-security-check/
Alternative Automatische Erkennung
Zur Vermeidung von Hackerangriffen lässt sich auch das Projekt hackprot.com benutzen. Dieses scannt automatisch alle Anfragen und Filtert schädliche dabei aus. Auch lassen sich dort IP Adressen und einzelne Länder problemlos sperren. Also ich bin davon überzeugt.
Automatische Erkennung
Es geht aber schon lange nicht mehr nur um gezielte Hacks, Web-Würmer (z.B. PHP-Würmer) sind immer mehr im kommen und werden allmählich zu einem belastenden Problem für jeden Seitenbetreiber.
Eine griße Problematik ergibt sich auch mit der Tatsache, dass man meistens erst viel zu spät erkennt, dass die eigene Website oder Webshop gehackt wurde.
Hier ein Link zu einem interessanten Beitrag in meinem Blog, wo es um automatische Erkennung von Hackattacken geht:
http://www.ecommerce-blog.at/frontend/scripts/index.php?setMainAreaTemplatePath=mainarea_news.html&newsId=50