Neue Kriminalitätswelle: Angriff auf mittelständische Websites

Die meisten Hoster bieten einen Standard-FTP-Zugang zu ihren Webhosting-Angeboten, um Content auf den Server zu bringen. Dabei wird das Passwort immer unverschlüsselt übertragen. Auf der Strecke zwischen dem eigenen Computer und dem Hoster können Mitarbeiter des Providers oder der Carrier das Passwort mitschneiden. Verbreiter von Malware sind gerne bereit, längere Listen mit Passwörtern gegen Bares zu kaufen.

FTP wird von den Hostern angeboten, da Windows-Benutzer zur Nutzung dieses Protokolls keine Zusatzsoftware benötigen. Der Windows-Explorer reicht aus. Die Kopieren von Webseiten vom lokalen Rechner auf den Webserver ist so einfach wie das Kopieren von Dateien von einem Verzeichnis ins andere.

Die meisten Hoster bieten sicherere Alternativen dazu an, beispielsweise SFTP, FTPS oder WebDAV mittels SSL-Verschlüsselung. Somit wird ein Ausspionieren des Passwortes verhindert. SFTP und FTPS erfordern unter Windows immer die Installation eines zusätzlichen Programms, beispielsweise WinSCP. WebDAV kann ab Windows XP mit einem Explorer-Interface genutzt werden und bietet ähnlichen Komfort wie FTP.

Ein Großteil der Webseiten wird allerdings nach wie vor mit FTP auf die Server gebracht. Gefährdet sind auch Websitebetreiber, die ihre Website von einer Agentur erstellen lassen. Meist haben sie keinen Einfluss darauf, wie die Agentur die Inhalte auf den Server lädt.

Von einem derartigen Passwort-Diebstahl kann jede Website betroffen sein, unabhängig davon, ob es sich nur um eine Web-Visitenkarte oder einen Shop handelt. Das gilt gleichermaßen für private und geschäftliche Websites.