/ SaaS

5 effektive Sicherheitsmassnahmen für Webseiten, SaaS und Web-Applikationen

Sicherheit ist ist eine Verhinderungsdisziplin und hat immer zwei Seiten. Jede Massnahme stärkt die Sicherheit, aber verursacht Kosten in unterschiedlicher Form: finanziell, durch mehr Komplexität oder weniger Benutzerfreundlichkeit. Die möglichen Massnahmen sind fast unendlich, deshalb ist es wichtig ein Sicherheitskonzept umzusetzen welches die beste Balance hat und dieses ständig weiterzuentwickeln.

Wir haben für mehrere Projekte umfassende Sicherheitsmassnahmen getroffen um sensitive Daten zu schützen. Das betrifft nicht nur technische Aspekte, sondern auch alle Berührungspunkte wo Menschen mit der Applikation interagieren.

Wir haben daraus die fünf effektivsten Massnahmen ausgesucht, durch welche Sie Ihre Applikation wesentlich sicherer machen können.

1. Starke Passwörter richtig managen und 2-Faktoren Authentifizierung nutzen

Das klingt selbstverständlich, aber das beste Sicherheitskonzept scheitert an einfachen Passwörtern. Zudem wissen viele Betreiber oft nicht wo die Domain registriert wurde, noch wo der den Login dazu gespeichert ist.
Es gibt unterschiedliche Passwort-Manager welche das Verwalten und Eingeben von Logindaten erheblich vereinfachen (z.B. 1Password, LastPass). Dadurch wird die Verwendung von starken Passwörtern - welche besser für die Sicherheit sind - einfacher.
Um eine höhere Sicherheit zu gewährleisten, setzen Sie wo immer möglich auch noch die 2FA (2-Faktoren Authentifizierung) ein. Machen Sie ein Backup von den 2FA Codes, damit Sie diese bei Verlust des Gerätes (oft das Smartphone) wieder herstellen können.
Versenden Sie nie Benutzername und Passwort zusammen in einer E-Mail, sondern verwenden Sie dazu unterschiedliche Kommunikationwege (z.B. Benutzername per E-Mail, Passwort per sicherer Messenger-App wie Threema).

2. Geräte und Backups verschlüsseln

Computer und Smartphone sollen verschlüsselt werden. Das ist mit Programmen wie Filevault (Mac) und Bitlocker (Windows) einfach möglich. Vergessen Sie nicht Backups davon zu machen (am besten an zwei verschiedenen Orten) und diese jeweils ebenfalls zu verschlüsseln. Bei Verlust ist so die Harddisk nicht lesbar und der Zugang zu Ihrer Applikation nicht möglich.

3. Rigide Firewallregeln

Stellen Sie sicher, dass nur valide Anfragen an den Applikationsserver möglich sind und lassen Sie einen Experten alle anderen Dienste auf Firewallebene blockieren. Meistens sind zu viele Ports offen und viele unsichere Protokolle (wie FTP etc.) ermöglichen Attacken, die einfach zu verhindern wären. Es sind auch Regeln gegen Bots nötig, welche sonst DDos-Attacken ausführen und den Server verlangsamen oder zum Erliegen bringen. Erzwingen Sie also möglichst rigide Regeln auf der Firewall ihres Servers.

4. Externe Penetrations Tests

Um die aktuelle Sicherheit ihrer Applikation zu prüfen lohnt sich es sich, ein externes Team anzustellen, welches darauf spezialisiert ist, Schwachstellen im System zu finden. Diese Audits sind nicht ganz günstig, aber ermöglichen Probleme früh zu erkennen und dann Massnahmen zu treffen um die Schwachstellen zu schliessen. Oft gibt es mehrere Iterationen bis die Applikation als sicher bezeichnet werden kann.

5. Backup und Restore Prozess testen

Es ist klar, dass man Backups von allen Teilen der Applikation machen sollte. Diese sind jedoch dazu da, dass man im Problemfall darauf zugreifen und einen gewissen Zustand wiederherstellen kann. Diesen Restore Prozess sollte man unbedingt testen, da erst dann offensichtlich wird, ob der ganze Prozess funktioniert und auch alle Beteiligten wissen was bei einem Problem zu tun ist.

Wir hoffen diese Punkte inspirieren Sie, die Sicherheit in Ihren Projekten zu verbessern. Für ein umfassendes Sicherheitskonzept oder die Umsetzung davon melden Sie sich unverbindlich bei uns: info@networking.ch.

Photo von Kees Streefkerk

5 effektive Sicherheitsmassnahmen für Webseiten, SaaS und Web-Applikationen
Teile dies