Trust made in Germany.

Diese und andere Websites (Teil 3: Vorsicht)

Artikelinformationen

Warum ist diese Website eigentlich so einfach gestaltet und wie funktioniert das Ganze überhaupt? Mit dieser Artikelserie möchte ich einen Überblick darüber geben, welche Komponenten für das Bereitstellen einer Website notwendig sind und in welcher Beziehung diese zueinander stehen.

Dieser Artikel ist eher leichte Kost und für jeden Kollegen (egal in welchem IT-Bereich), für die die Zusammenhänge noch ein weißes Tuch sind.

Teil 1: Programmierung
Teil 2: Bereitstellung
Teil 3: Vorsicht
Teil 4: Nachsicht

Übersicht

Wenn Sie nun einen grundlegenden Überblick über die Technik haben und sich Ihr Horizont einfach ein wenig erweitert hat, stellen Sie wahrscheinlich keine erhöhte Gefahr für sich und andere dar. Wenn Sie sich bereits jetzt schon weiter eingearbeitet haben und womöglich planen eine Website zu veröffentlichen, setzen Sie bitte unbedingt einen zentralen Fokus auf die Sicherheit und den Datenschutz, auch wenn Ihr Administratorfreund aus Bielefeld es ganz anders macht. In diesem Teil möchte Ich Ihnen zumindest ein kleines Erste-Hilfe-Paket an die Hand geben.

Impressum

Es gibt nach meinen ungefähren Schätzungen 234533 Artikel über die Angaben in einem Impressum, viele davon sind sogar richtig, und trotzdem sehe ich regelmäßig Steuernummern und anderen Quatsch im Impressum. Dabei ist der Paragraph, welcher diese Informationspflichten regelt, ausnahmsweise mal total übersichtlich: Extern: TMG §5

Datenschutz, DSGVO und Cookie-Banner

Wir beginnen mit einem Trick, den alle hassen: Sammeln Sie so wenig Daten wie möglich! Die DSGVO (EU-Verordnung) ist lang und häufig sperrig, trotzdem der erste richtige Schritt. Es gibt einige gute Zusammefassungen und Beschreibungen im Netz, und auch hier kann ich mich nur wiederholen: Meist liegt der Aufwand in den Daten die Sie "eigentlich" nicht erfassen müssten.

Beispiel

Sie schreiben einem Kunden eine Rechnung und müssen dafür die Daten speichern, weil der Gesetzgeber (*Grüße an unsere freundlichen Finanzämter*) es vorschreibt, dann benötigen Sie dafür keine "Einverständniserklärung". Wenn Sie das Geburtsdatum des Kunden notieren damit Sie später aus reiner Nächstenliebe diesem eine Geburtstagskarte mit tollen Rabatten zusenden können, dann muss der Kunde dem heutzutage (Gott sei Dank) zustimmen.

Das man Kundendaten mit aktuellen Techniken und sauberer Arbeit bestmöglich vor Fremdzugriffen schützt, sollte eine Selbstverständlichkeit sein.

Updates

"Never touch a running system" ist wiederum ein toller Spruch, den kriminelle und weit verbreitete Angriffstools lieben. Wenn Sie dann noch ein beliebtes CMS wie WordPress und Co verwenden, können sogar Bäckermeister^*1 Ihre System infiltrieren und ausnutzen. Kurz: Machen Sie Updates!

^*1 Falls Sie Brot backen und IT-Systeme hacken können, sind Sie nicht gemeint!

Banner

Viele Webserver und Anwendungen sind ziemlich Gesprächig und verratem jedem wie die Anwendung heißt und auf welchem Versionsstand sie ist. Vermeiden Sie das, wenn Sie können. (mehr dazu im Analyse-Teil)

Datenbanken und Benutzereingaben

Legen Sie auf diesen Bereich ein ganz besonderes Augenmerk. Falsche Verarbeitung sowie unzureichende Sicherung von Benutzereingaben enden im schlimmsten Fall mit der Übergabe des Servers und seinen Daten an den Feind. Für ausführliche Informationen kann ich Ihnen die OWASP Foundation ans Herz legen: Extern: OWASP

Weiter zu Teil 4: Nachsicht

Zurück zur Übersicht