Sicherheitsaspekte bei der Erstellung und Pflege einer Webseite

Die meisten Praxisinhaber glauben nicht, dass Ihre Webseite gehackt wird, da sie davon ausgehen, dass immer eine direkte Person hinter einem Angriff steckt und keine Sorge besteht, solange es auf Ihrer Seite vermeintlich “nichts zu holen” gibt. Die meisten Hackerangriffe erfolgen mittlerweile jedoch automatisiert durch kleine Computerprogramme. Diese checken tausende von Webseiten auf das Vorhandensein möglicher Schwachstellen wie etwa zu kurze und zu einfache Passwörter oder bekannte Schwachstellen im CMS-System, dem Theme oder eines Plugins von Webseiten, die nicht regelmäßig upgedated werden. Die Angriffe erfolgen häufig aus dem Ausland. Ziel der Angriffe sind in der Regel die Übernahme der Kontrolle über Ihre Website zur Verbreitung von Schad-Programmen (Computerviren, Trojaner etc.), zum unbemerkten Verschicken von Spam-E-Mails oder dem Angriff auf andere Server und Websites, die von Ihrer Website ausgehen.

Regelmäßige Back-Ups

Eine gehackte Webseite kann in der Regel nicht mehr benutzt werden, oft hilft aber das Einspielen eines Back-Ups. Aber nicht nur ein Hacker-Angriff, sondern auch technische Probleme können ein Grund für Fehler bei der Darstellung auf der Webseite sein. Aus diesem Grund legen wir regelmäßig ein Back-up Ihrer Seite an.

Regelmäßige Updates

Mit regelmäßigen Updates halten wir Ihre Webseite aktuell!

Regelmäßige Tests & Tools

Mit regelmäßigen Tests, Tools und Reports haben wir die Sicherheit Ihrer Webseite im Blick.

IT-Sicherheitsgesetz

Data-Security

Am 25.07.2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Das neue Regelwerk soll in erster Linie kritische Infrastrukturen zur Einführung eines einheitlichen und hohen Schutzniveaus für ihre informationstechnologischen Systeme verpflichten um der zunehmendem Bedrohung durch Cyber-Angriffe vorzubeugen und rechtswidrige Zugriffe auf sensible Daten unterbinden. Durch den durch das IT-Sicherheitsgesetz modifizierten §13 TMG  gelten folgende Regeln für alle Diensteanbieter:

„Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.
Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Werden die nach §13 Abs. 7 Satz 1 Nr. 1 und Nr. 2 lit. a TMG geeigneten Maßnahmen nicht, unzulängliche oder fehlerhafte eingeführt, kann dies mit einem Bußgeld von bis zu 50.000€ geahndet werden (siehe auch z.B.: https://www.it-recht-kanzlei.de/ssl-verschluesselung-online-shop.html?print=1).

Aus diesem Grund sollten auch Praxisinhaber bestimmte Schutzvorkehrungen für Ihre Praxiswebseite treffen.

Gut zu Wissen

Beim Bayerisches Landesamt für Datenschutzaufsicht kann jede bayerische Webseite aus dem privaten Bereich (und sofern diese personenbezogene Daten verarbeitet) über den HTTPS-Check zur Prüfung angemeldet werden (Wir haben unsere eigene Webseite ebenfalls eingereicht und erfüllen die Vorgaben). Unter anderem wird getestet, ob die Seite über HSTS (Strict Transport Security – Sicherheitsmechanismus für HTTPS-Verbindungen zum Schutz vor Man-in-the-Middle angriffen) verfügt Ob Ihre eigene Webseite über HSTS verfügt, können unter anderem hier testen: https://www.ssllabs.com/ssltest/

Schutz Ihrer Praxiswebseite

Security-System

Als Kunde, deren Webseiten wir dauerhaft betreuen, setzen wir auf Ihrer Praxiswebseite zahlreiche Schutzmaßnahmen ein. Hierzu gehören u. a.:

  • Sichere Passwörter: Für das Back-end Ihrer Webseite vergeben wir ausschließlich sichere Passwörter und wählen unterschiedliche Namen für Benutzer- und öffentlichem Namen.
  • SSL-Zertifikat: Wir stellen keine Webseite ohne SSL-Zertifikat online. (HTTPS sorgt für eine verschlüsselte Kommunikation von und zu Ihrer Website)
  • Anti-Spam Schutz: Wir setzen verschiedene Anti-Spam Maßnahmen auf Ihrer Webseite ein, um den Spam-Versand zu reduzieren.
  • regelmäßige Updates: Mit regelmäßigen Updates des CMS, Theme und Plugins sorgen wir dafür, dass Ihre Praxiswebseite gegen zahlreiche bekannte Schwachstellen geschützt ist
  • regelmäßige Back-ups: Mit regelmäßigen Back-ups sorgen wir dafür, dass Ihre Webseite auch im Falle eines Hackerangriffs nicht verloren ist. Für jede Webseite halten wir mehrere und auch ältere Backups vor.
  • aktuelle PHP-Version: Soweit dies Seitens Ihres Hosters möglich ist, achten wir darauf, dass Ihre Webseite auf einer aktuellen PHP-Version läuft und so bekannte Schwachstellen alter Versionen nicht ausgenutzt werden können (PHP ist eine beliebte Skriptsprache im Web. Die Verwendung aktueller PHP-Versionen macht sich auch in einer Verbesserten Leistung der Webseite bemerkbar).
  • verschiedene Sicherheitstools: Mit mehreren Sicherheitstools sorgen wir dafür, dass die Angriffsmöglichkeiten auf Ihre Praxiswebseite minimiert werden.