Sie kennen das: Die technische Infrastruktur für den Onlineshop ist fertig eingerichtet und wird durch einen Dienstleister an Sie übergeben. Möglicherweise sind zu diesem Zeitpunkt noch die Standardzugangsdaten wie „admin“ für Benutzername und die Zahlenfolge „12345“ als Passwort hinterlegt. Wer diese Kombination nicht schleunigst ändert, läuft Gefahr, dass irgendjemand – eher früher als später – Schindluder mit der Seite betreiben wird; noch leichter haben es die Angreifer, wenn der Benutzername einem Klarnamen auf der Seite entspricht. Denkbar wäre hier ein Autor, der im firmeneigenen Blog schreibt.

Admin oder Webmaster gehen gar nicht

Daher gilt Regel Nr. 1: Wer offensichtliche Benutzernamen vermeidet, hat die meisten Angriffe schon abgewehrt. Wie bereits oben beschrieben, sollten niemals so genannte Default-Usernamen wie „admin“, „administrator“, „webadmin“ oder „webmaster“ zur Anwendung kommen. Auch die eigene Domain als Username ist ein absolutes No-Go.

Einfache Passwörter werden geknackt

Wer all diese Hinweise missachtet, muss sich über eine zwingende Konsequenz im Klaren sein. Das Content Management System oder der Shop können noch so aktuell und gepflegt sein: Wer ein einfaches Passwort benutzt, kann den Schlüssel zu seinem Onlineshop gleich mit unter die virtuelle Fußmatte legen und ein großes Willkommensschild über die Tür nageln. Und wer sein Passwort in einem der bekannteren Passwort-Dictionaries findet, kann sicher sein, dass die Langfinger bereits mit einem Bein im Portal stehen. Verwenden Sie daher immer generierte Passwörter und überprüfen Sie deren Stärke mit einem Messwerkzeug, wie z. B. dem Password-Meter.

Bruteforce-Angreifer abwehren

Wenn die Einbrecher in der realen Welt mit der Brechstange anrücken, um die Terrassentür aus den Angeln zu heben, wird dies üblicherweise mit „roher Gewalt“ umschrieben; im weltweiten Netz existiert hierfür ein Äquivalent namens „Bruteforce“. Bei dieser Angriffsform werden alle erdenklichen Zeichenkombinationen in der Login-Maske ausprobiert. Es kann zwar lange dauern, bis man einen Treffer landet, aber dieses Verfahren funktioniert zuverlässig. Machen Sie es Brutforce-Angreifern daher so schwer wie möglich!

Ändern Sie die Standard-URL für den Administrationsbereich. In vielen Shops oder Content-Management-Systemen lässt sich der Login-Bereich nach einem festen Schema aufrufen; meistens indem man „/admin“ oder „/backend“ an den Domainnamen anhängt. Zusätzlich sollten Sie nach einer bestimmten Anzahl missglückter Login-Versuche die IP-Adresse des Angreifers aussperren.

Ein weiterer Tipp: Wenn Namen oder E-Mail-Adressen von Personen auf ihrer Website zu finden sind, werden Angreifer diese Namen auch für Bruteforce-Attacken nutzen. Die wenigsten dieser Angriffe kommen übrigens aus Mitteleuropa. Spitzenreiter sind stattdessen Südostasien und Osteuropa.

Content-Keywords regelmäßig überprüfen

Was auch noch wichtig ist: Rufen Sie ihre Website hin und wieder als Google-Bot ab um zu sehen, ob manipulierte Inhalte vorliegen. Malware zum Aufbau von Backlinks ist meistens so programmiert, das Sie menschlichen Besuchern nicht angezeigt wird. Ein letzter Tipp: Überprüfen Sie regelmäßig ihre Content-Keywords in den Webmaster-Tools. Wenn dort plötzlich „Warez“ und „Viagra“ auftauchen, kann dies darauf hinweisen, dass die Seite auf irgendeine Art und Weise missbraucht wird.

Checkliste Systemsicherheit:

  • Benutzen Sie niemals offensichtliche Benutzernamen und Default-Usernamen wie „admin“, „administrator“, „webadmin“ oder „webmaster“.
  • Auch die eigene Domain als Username ist absolut tabu.
  • Überprüfen Sie ihr Passwort in einem Passwort-Verzeichnis und prüfen Sie die Passwortstärke.
  • Machen Sie es Brutforce-Angreifern so schwer wie möglich, indem Sie Login-URLs verstecken und nach einer bestimmten Anzahl missglückter Login-Versuche die IP-Adressen sperren.
  • Rufen Sie ihre Website regelmäßig als Google-Bot ab.
  • Überprüfen Sie regelmäßig ihre Content-Keywords in den Webmaster-Tools.