Schützen Sie Ihre TYPO3-Website vor Angriffen
Viele Universitäten und Hochschulen haben derzeit vermehrt mit Angriffen, Hacks oder kompletten Ausfällen Ihrer Infrastruktur zu kämpfen. In Einzelfällen wird der Gesamtbetrieb erheblich gestört oder gar komplett lahm gelegt. Dabei spielen mögliche Einfallstore wie unsichere E-Mail-Anhänge, zu einfache Authentifizierungs-Methoden oder eben auch Ihre Website sowie deren redaktionelle Benutzer eine kritische Rolle.
Aber nicht nur technisch muss hier ein Sicherheitsplan erarbeitet werden, auch kommunikativ muss klar sein, was im Fall des Falles von wem zu tun ist. Wichtig ist auch, wie Sie trotz - im schlimmsten Fall - Komplett-Shutdown mit Ihren Zielgruppen kommunizieren können.
Kennen Sie mögliche Einfallstore
Jede Infrastruktur hat Sicherheitslücken und irgendwann wird jemand diese finden und ausnutzen - das lässt sich auch kaum verhindern. Wichtig ist aber, dass man aus den letzten Hacks lernt und bereits bekannte Einfalltore schließt.
Typische Angriffe der letzten Zeit laufen über unsichere E-Mail-Anhänge oder Website-Hacks wie z.B. SQL-Injection, Cross Site Request Forgery (CSRF) oder XSS Cross Site Scripting. Sichern Sie auch andere unsichere Bereiche ab und verbieten Sie z.B. FTP, schränken Sie die Rechte auf den Servern so weit wie möglich ein, blocken Sie nicht benötigte Ports und erlauben Sie nur noch Pubkey-Authentifizierungen anstelle von unsicheren Passwörtern. Sorgen Sie außerdem dafür, dass Ihre SSL-Zertifikate immer aktuell sind (hier empfiehlt sich beispielsweise ein Monitoring mit Icinga oder ähnlichen Tools) und zeigen Sie keine ausführlichen Fehlermeldungen im Production-Kontext, um Angreifern keine potentiellen Hinweise zu liefern.
Technisches Security-Konzept
Im Ernstfall muss auf allen Ebenen schnell reagiert werden und um das leisten zu können, muss vorher schon klar sein, wer wann was zu tun hat und wie die Verantwortungen koordiniert sind. Dazu sollte ein konkreter Notfallplan erarbeitet werden, in dem ganzheitlich alle Schritte mit verantwortlichen Personen und Parteien (wie externen Dienstleistern) festgehalten werden. Dieser muss für alle zugänglich und vor allem bekannt und kommunikziert sein. Gehen Sie hierbei im schlimmsten Fall davon aus, dass alle normalen Kommunikationskanäle erst einmal gestört sind und Sie komplett offline agieren und koordinieren müssen.
Vorab sollten Sie vorsorglich einen Security Audit der im Einsatz befindlichen Systeme durchführen. Dabei sollte sowohl die komplette Server-Landschaft bewertet, als im Optimalfall auch eine detaillierte Evaluierung einzelner kritscher Systeme durchgeführt werden. Eine anschließend Definition eines Notfallplans mit verschiedener Ausbaustufen ist ebenfalls anzuraten. Fragen Sie sich, was passiert wenn einzelne Systeme ausfallen und wie können diese oder sogar die komplette Serverarchitektur wieder rekonstruiert werden? Das hängt natürlich ganz individuell von der eingesetzten Soft- und Hardware bzw. den umgesetzten Funktionalitäten ab. Ebenfalls wichtig ist eine eigene Priorisierung nach Alarmstufen und einzelner Systeme. Fragen Sie sich also wie lange Sie auf ein System im schlimmsten Fall verzichten könnten. Beispielsweise wird der Schutz der persönlichen Daten Studierender ganz klar über den Standardfunktionen der eigenen Website stehen.
Ein ausgereiftes und standortübergreifendes Backup-Konzept mit Disaster-Recovery-Szenarien schützt Sie vor dem Schlimmsten. Versionieren und provisionieren Sie jeden Ihrer Schritte mit einem sicheren und zentralen Speicherort, um die Software jederzeit neu aufsetzen zu können. Tipp: Sehen Sie eine Blackpage (vorgeschaltene Notfall-Webseite) für Ihre Website vor, die in einer Übergangszeit zwischen Ausfall und Wiederaufbau über den Stand der Dinge informieren soll. Gegebenenfalls kann diese genz bewusst bei einem externen Partner geplant und über diesen ausgeliefert werden.
Konzipieren Sie gerade Ihre Infrastruktur oder möchten diese für den Notfall absichern? Hier erfahren Sie anschaulich mit Beispiel-Downloads alles Wichtige - angefangen von der Planung, über Provisionierung und Skalierbarkein, bis hin zu Monitoring.
Ihre Checkliste
- Konkreter Notfallplan erarbeitet
- Verantwortliche Personen definiert und informiert
- Security Audit durchgeführt
- Infrastruktur versioniert und provisioniert
- Backup-Konzept umgesetzt
TYPO3 Security Optimierungen
Laut BSI Sicherheitsstudie über verschiedene CMS (Content Management Systeme) schneidet TYPO3 nicht schlecht ab und vor allem die Infrastruktur rund um TYPO3 mit Security Bulletins, TYPO3 Security Guidelines und einem offiziellen und sehr aktivem Security Team findet großes Lob.
Durch verschiedene Maßnahmen kann das System aber noch weiter optimiert und abgesichert werden. Wir empfehlen vor allem dem Einsatz des Helmut Hummel Secure Web Packages zur weiteren Absicherung. Damit kann PHP nur noch wenigen, definierten Stellen über den Apache ausgeführt werden, was Hacks über Webshells nahezu unmöglich macht. Außerdem sollten HTTP Secure Headers und Cookie Domains konfiguriert werden, so dass das Ausführen von Fremd-Scripten blockiert wird. Achten Sie ebenfalls darauf, Benutzerrechte möglichst rezessiv zu vergeben. Müssen alle Redakteure wirklich HTML- und iFrame-Content-Elemente in TYPO3 einstellen können? Um das Live-System weiter zu schützen, kann mit Tools wie dem Content Publisher für TYPO3 auch ganz auf Redakteurs-Benutzer auf dem Live-TYPO3 verzichtet werden.
Zusätzlich empfehlen wir ein laufendes Monitoring des TYPO3-Cores und verwendeter Zusatz-Extensions mit Prüfung auf Sicherheitsupdates. Hier empfiehlt sich der Einsatz eines Caretaker-Servers zusammen mit der Caretaker Extension für TYPO3. Auf Server-Ebene sollten ebenfalls Tools wie ICINGA oder Sentry Verwendung finden.
Kommunikativer Notfallplan
Ein technischer Notfall-Plan ist wichtig! Aber im schlimmsten Fall ist eines besonders ausschlaggebend: Kommunikation! Und das auf verschiedenen Ebenen. Sie haben jetzt die Verantwortung, Kontrolle und Sicherheit zu vermitteln, auch wenn Sie im ersten Moment verständlicher Weise genauso verunsichert sind wie alle anderen.
Überlegen Sie sich vorab Kommunikationskanäle, mit denen Sie Ihr Zielgruppe auch außerhalb Ihrer Infrastruktur erreichen können. Studierende z.B. können über Social Media Kanäle angesprochen werden, von Mitarbeitern hingegen sollten private Notfall-Kontaktdaten dezentral gespeichert sein. Gegenüber der Öffentlichkeit sollten Sie sich überlegen, ob Sie im Notfall eine entsprechende Presseerklärung rausgeben möchten und ggf. auch generelle Inhalte schon vorab definieren.
Vieles kann aber auch schon im Vorfeld bekannt gemacht und die verschiedenen Parteien sensibilisiert werden. Gehen Sie offen mit dem Thema "potenzielle Hacks" um und sprechen Sie proaktiv die Gefahren und Herausforderungen offen an. Mitarbeiter sollten sensibilisiert werden, z.B. keine unbekannten oder unseriösen E-Mail-Anhänge zu öffnen oder sichere Passwörter zu verwenden - etwa ganze Sätze, die man sich einfacher merken kann, sollte kein Passwortmanager im Einsatz sein.
Auf einen Blick
- Alle Parteien vorab sensibilisiert
- Notfall-Kontaktinformationen gesammelt
- Nötige Stellen wie BKA eingeschaltet
- Alternative Kommunikationskanäle der Zielgruppen identifiziert
- Öffentlichkeit informiert
Sie möchten Beratung oder Unterstützung bei der Absicherung Ihrer Web-Landschaft?
Als Experten für TYPO3 und Server-Infrastruktur für Web-Applikationen helfen wir Ihnen gerne.
Angefangen beim Consulting mit Security Audits bis hin zur konkreten Planung und Umsetzung nötiger Maßnahmen.