2019 war ein besorgniserregendes Jahr für Webseitenbetreibende – die Anzahl von Sicherheitsverletzungen stieg im Vergleich zum Vorjahr um 11 Prozent an. Und diese Sicherheitsverletzungen haben unabhängig ihrer Ursache und ihres Ausmaßes häufig eines gemein: Für die betroffenen Unternehmen bedeuten sie finanzielle Verluste. Tatsächlich belaufen sich für Unternehmen die Kosten einer Sicherheitsverletzung im Durchschnitt auf 200.000 USD.

HubSpot Website Grader: Lassen Sie Ihre Website auswerten und erfahren Sie,  welche Verbesserungen Sie vornehmen können. In nur wenigen Sekunden und völlig  kostenlos!

Sicherheitsverletzungen im Web schaden Ihrem Unternehmen

Abgesehen von enormen finanziellen Belastung können Sicherheitsverletzungen aber auch Ihrem Markenimage, Ihrer Autorität und dem Vertrauensverhältnis zu Ihrer Kundschaft schaden.

Bedenkt man nun, dass es durchschnittlich 280 Tage dauert, bis eine Sicherheitsverletzung erkannt wird, und dass immer mehr Unternehmen ihre Onlineaktivitäten ausweiten, liegt auf der Hand, dass das Thema Sicherheit für Webseitenbetreibende unbedingt Priorität haben sollte.

Und genau deshalb gibt es auch zahlreiche Lösungen, die Ihnen dabei helfen können, Ihre Webseite bestmöglich zu schützen. Um Ihnen bei der Wahl der passenden Lösung für Ihre spezifischen Bedürfnisse ein wenig unter die Arme zu greifen, stellen wir Ihnen in diesem Beitrag sieben bewährte Sicherheitslösungen für Webseiten sowie ihre jeweils wichtigsten Funktionen vor.

Sicherheitslösungen für Webseiten

Cybersicherheit ist ein Thema, das uns alle betrifft – vor allem aber Webseitenbetreibende, die ihrer Kundschaft ein sicheres Nutzererlebnis bieten möchten, das Vertrauen schafft und begeistert. Sehen wir uns also einmal genauer an, welche Möglichkeiten Ihnen hierfür zur Verfügung stehen.

1. Let’s Encrypt: SSL-Zertifikat

SSL-Zertifikate (Secure Sockets Layer) sind kleine Dateien, die dazu dienen, sichere und verschlüsselte Verbindungen zwischen einem Browser und einem Webserver herzustellen. Sie sorgen dafür, dass Daten während ihrer Übertragung verschlüsselt werden und vor nicht autorisiertem Zugriff geschützt sind.

Ob eine Webseite über ein SSL-Zertifikat verfügt, erkennen Sie an ihrer URL, die in diesem Fall mit https:// beginnt (nicht mit http://). Gerade für Unternehmen, die über ihre Webseite sensible Daten wie Kreditkarteninformationen erfassen oder Inhalte zum Download bereitstellen, ist ein SSL-Zertifikat unverzichtbar. So zeigen Sie Ihren Besuchern und Besucherinnen auch gleich, dass Sie den Schutz ihrer Daten ernst nehmen.

Hinzu kommt, dass URLs, die mit https:// beginnen, von Google in den Suchergebnissen priorisiert werden. In Google Chrome erkennt man sie an dem Schloss-Symbol, das der URL in der Adresszeile vorangestellt ist:

google address bar with lock icon DE

Bei dem Versuch, über Google auf eine unsichere Webseite zuzugreifen, wird sofort ein Warnhinweis mit der Empfehlung eingeblendet, besser eine andere Seite zu besuchen:

Beispiel eines Warnhinweises von Google bezüglich einer unsicheren Verbindung

Bildquelle

SSL-Zertifikate sind für gewöhnlich beim jeweiligen Hostingdienst erhältlich – teilweise sogar kostenlos. Alternativ dazu erhalten Sie sie auch bei anderen Anbietern bzw. über deren Tools. Ein Beispiel dafür ist Let's Encrypt.

Dies ist die Zertifizierungsstelle der Internet Security Research Group (ISRG), einer US-amerikanischen gemeinnützigen Organisation, die sich der Sicherheit im Netz widmet und kostenlose Zertifikate ausstellt. Anders als die nachstehend genannten Unternehmen bietet Let’s Encrypt zwar keine umfassenden Sicherheitslösungen an, dafür aber kostenlose, seriöse SSL-Zertifikate für Unternehmen. Alles, was Sie dazu benötigen, ist Ihr eigener Domain-Name.

Falls Sie zwischen verschiedenen Providern schwanken und Zweifel haben, inwiefern Sie einem kostenlosen SSL-Zertifikat trauen sollten, können wir Ihnen diese Sorge nehmen: Namhafte Unternehmen wie Shopify, Cisco und GitHub unterstützen, sponsern und vertrauen Let’s Encrypt.

Vorteile

Nachteile

Kostenlose SSL-Zertifikate

Ausschließlich SSL-Zertifikate mit Domain-Validierung – größere Unternehmen benötigen also unter Umständen zusätzliche Tools

Unkomplizierte Installation und einfach verständliche Anweisungen zur Einrichtung

Zertifikate müssen alle 90 Tage aktualisiert werden

Google Chrome zählt zu den wichtigsten Sponsoren und Spendern

Kein Supportangebot

Keine Ausfallzeiten während der Einrichtung, sodass Besucher und Besucherinnen auch während des Set-ups unterbrechungsfrei auf Ihre Webseite zugreifen können

Obergrenze für die Anzahl von Domains, die Sie registrieren können – diese liegt allerdings bei 100 und ist damit primär für große Unternehmen relevant

Für WordPress-Webseiten wird Let’s Encrypt automatisch aktiviert

 

2. Cloudflare: Web Application Firewall

Eine Web Application Firewall (WAF) filtert eingehenden Traffic, prüft ihn auf verdächtige Auffälligkeiten hin und kann unerwünschten Traffic basierend auf vorab festgelegten Regeln blockieren. Damit kann eine WAF effektiv vor Bedrohungen wie DDoS-Angriffen, Cross-Site-Scripting (XSS) und SQL-Injection schützen. Das Angebot an Web Application Firewalls ist groß und umfasst einige erstklassige Lösungen, wie zum Beispiel auch Cloudflare.

Die Web Application Firewall von Cloudflare filtert eingehenden Traffic und schützt Ihre Webseite vor externen Bedrohungen. Dank Funktionen für maschinelles Lernen, die mit Daten von insgesamt 25 Millionen Webseiten gespeist werden, wird der Prüfprozess der WAF automatisch fortlaufend optimiert – ohne jeglichen Aufwand Ihrerseits. Falls Ihnen aber zum Beispiel auffallen sollte, dass von einer bestimmten IP-Adresse aus mehrfach Angriffe auf Ihre Webseite verübt werden, können Sie diese IP-Adresse auch gezielt blockieren. Dazu müssen Sie lediglich eine entsprechende benutzerdefinierte Regel erstellen:

Beispiel für eine benutzerdefinierte Regel im Cloudflare WAF-Dashboard

Bildquelle

Eine Funktion hebt die WAF von Cloudflare klar von vergleichbaren Lösungen ab und das ist der „I’m Under Attack“-Modus. Diesen können Webseitenbetreibende im Notfall aktivieren, um Zugriff auf zusätzliche Sicherheitsmechanismen zu erhalten. Cloudflare bietet verschiedene Preisoptionen – von einer kostenlosen Version über eine Business-Version für 200 USD pro Monat bis hin zu einer Enterprise-Version, deren Preis von den jeweiligen Anforderungen abhängt.

Vorteile

Nachteile

Benutzerfreundlicher Onboarding-Prozess, unkomplizierte Einrichtung und einfach verständliche Dokumentation

Verwaltung über einen einzigen Account

Fortlaufende Optimierung basierend auf Daten zu Millionen von Webseiten weltweit

Manche Nutzer und Nutzerinnen berichten von Schwierigkeiten bei der Konfiguration mit Amazon Web Services

Analytics- und Berichte-Dashboards bieten einen Überblick über alle bisher blockierten Bedrohungen – eine Funktion, über die Web Application Firewalls für gewöhnlich nicht verfügen

Für die kostenlose Version gilt, dass die Aktualisierung der Nameserver bis zu 24 Stunden in Anspruch nehmen kann, Scans nur einmal pro Woche durchgeführt werden und Probleme bei der Integration externer SSL-Zertifikate auftreten können

3. Cloud CDN: globales Content Delivery Network

Ein Content Delivery Network (CDN) ist ein Netzwerk aus geografisch verteilten, aber miteinander verknüpften Servern, das es Ihnen ermöglicht, Besuchern und Besucherinnen weltweit schnellen und zuverlässigen Zugriff auf Ihre Webseite zu bieten. Ein CDN empfiehlt sich auch aus Sicherheitsgründen, da es verhindert, dass Ihre zentralen Server überlastet werden. Überlastete Server stellen wiederum ein Sicherheitsrisiko dar, weil sie Ihre Webseite anfälliger für Spam-Angriffe werden lassen.

Gerade für Unternehmen, deren Seiten von Nutzern und Nutzerinnen aus aller Welt besucht werden, ist ein CDN unverzichtbar. Denn ein einzelner Server kann derartige Traffic-Volumina nicht verarbeiten. In einem global verteilten CDN kann Traffic dagegen gleichmäßig auf verschiedene Server verteilt werden, sodass einzelne Server nicht überlastet werden. Das verbessert die allgemeinen Ladezeiten und die Performance Ihrer Webseiten für Besucher und Besucherinnen weltweit.

Falls Sie bereits einen Hostingdienst in Anspruch nehmen, können Sie sich direkt an diesen wenden, denn in der Regel bieten Hostingdienste auch CDN-Lösungen an. Andernfalls empfiehlt sich eine Lösung wie zum Beispiel Cloud CDN von Google.

Cloud CDN ist ein zuverlässiges CDN, mit dem Sie gewährleisten können, dass Besucher und Besucherinnen weltweit stets schnell und sicher auf Ihre Webseite zugreifen können. Dazu setzt Google sogenannte Anycast-Adressen ein. Anycast ist ein international anerkanntes Routing-Schema, mit dem Sie die Ladezeiten Ihrer Webseite verbessern und dafür sorgen können, dass immer direkt Ihre gesamte Seite verfügbar ist, statt nur der Elemente, die als Erstes geladen wurden.

Diagramm der Serverlastverteilung in einem globalen Anycast-Netzwerk

Bildquelle

Cloud CDN unterstützt die gängige Open-Source-Sprache JavaScript und darüber hinaus auch jQuery, Dojo und SPF. Was die Preisgestaltung angeht, so wird pro Serveranfrage abgerechnet. Die Gebühren hängen also stark von der jeweiligen Nutzung ab. 

Vorteile

Nachteile

Verwaltete SSL-Zertifikate ohne Zusatzgebühren verfügbar; alternativ können auch externe SSL-Zertifikate verwendet werden

Technische Fachkenntnisse erforderlich, es stehen aber detaillierte Einführungsleitfäden zur Verfügung

Unterstützung von Terraform

Die Preisgestaltung kann gerade kleine Unternehmen vor eine Herausforderung stellen

Echtzeit-Benachrichtigungen zu Webseiten-Kennzahlen per E-Mail, Slack oder Ihrem bevorzugten Messaging-Dienst

Manche Nutzer und Nutzerinnen berichten von langen Antwortzeiten bei Supportanfragen

Vollständig verwaltetes CDN ohne zusätzlichen Aufwand Ihrerseits

 

4. LogicMonitor: Website-Monitoring-Software

Website-Monitoring-Software zählt zu den einfachsten Möglichkeiten, die Sicherheit Ihrer Webseite zu gewährleisten. Sie wird eingesetzt, um die Performance von Webseiten zu überwachen und diese auf Ausfälle oder potenzielle Sicherheitsrisiken hin zu prüfen. Anders ausgedrückt dient Website-Monitoring-Software dazu, proaktiv nach potenziellen Bedrohungen zu suchen und diese zu eliminieren, bevor sie Schaden anrichten können.

Ein Beispiel dafür ist LogicMonitor, eine beliebte hybride SaaS-Plattform. „Hybrid“ bedeutet in diesem Kontext, dass sie zum Teil über eine Cloud bereitgestellt wird und zum Teil über ein einfaches Tool, das in Ihre Webseite integriert ist. Die Plattform umfasst verschiedene Analytics-Dashboards, die Ihnen tiefe Einblicke in die Performance Ihrer Seite bieten und Sie vor akuten und potenziellen Bedrohungen warnen.

Beispiel für ein Analytics-Dashboard zur Website-Performance in der Website-Monitoring-Software LogicMonitor

Bildquelle

LogicMonitor wird sehr gut bewertet: Von G2 wurde die Plattform in den Bereichen Implementierung und Benutzerfreundlichkeit als beste Software ausgezeichnet und von PCMag erhielt sie eine Redaktionsempfehlung. Die Abrechnung erfolgt nutzungsbasiert. Detaillierte Preisinformationen sind nur per persönlichem Angebot erhältlich.

Vorteile

Nachteile

Mit mehr als 2.000 verfügbaren Integrationen ist sichergestellt, dass Sie Ihre bevorzugten Tools verknüpfen und alle für Ihre Anforderungen erforderlichen Daten erfassen können

Kundenbewertungen zufolge ist mit einem eher längeren, komplexen Einrichtungsprozess zu rechnen

Unterstützung bei der Einrichtung und Zugang zu interaktiven Präsentationen zur richtigen Interpretation der Performance-Kennzahlen

Da die Gebühren je nach Anforderungen individuell berechnet werden, sind entsprechende Verhandlungen zu führen

Benachrichtigungen zu drängenden Problemen per Telefon, SMS, E-Mail oder Slack

Für den Zugriff auf die Software ist eine Internetverbindung erforderlich

Überwachung mehrerer Webseiten möglich

 

5. Duo Security: Zwei-Faktor-Authentifizierung

Mit der Zwei-Faktor-Authentifizierung können Sie sich auf einfache Weise effektiv vor gezielten Cyberattacken wie beispielsweise Brute-Force-Angriffen schützen. Im Gegensatz zu den anderen hier aufgelisteten Lösungen, die vorwiegend zum Schutz Ihrer Webseite eingesetzt werden, dient die Zwei-Faktor-Authentifizierung in erster Linie der Zugriffskontrolle. So können Sie mit der Zwei-Faktor-Authentifizierung beispielsweise sicherstellen, dass ausschließlich Admins auf Ihre Sicherheitssoftware zugreifen können.

Da Nutzer und Nutzerinnen ihre Identität nach diesem Verfahren auf zwei verschiedene Weisen verifizieren müssen – etwa anhand einer PIN und über eine Push-Benachrichtigung auf ihrem Smartphone o. Ä. –, bietet die Zwei-Faktor-Authentifizierung zusätzlichen Schutz für sensible Daten und Dateien.

Ein Beispiel für eine solche Lösung ist Duo von Duo Security. Abgesehen von den bereits genannten Vorteilen bietet Duo außerdem auch zusätzlichen Schutz für Remote-Verbindungen zu Ihrem VPN sowie die Möglichkeit, benutzerdefinierte Zugriffssregeln für Ihre verschiedenen Benutzerrollen zu erstellen.

Duo Security: Zwei-Faktor-Authentifizierung – Dashboard zu Benutzerrollen

Bildquelle

Kurz gesagt können Sie mit Duo also sicherstellen, dass tatsächlich nur Admins oder Nutzende mit bestimmten Adminrechten auf Ihre Systeme zugreifen können – und nicht etwa Bots oder Cyberkriminelle. Duo ist in verschiedenen Preisoptionen erhältlich – angefangen bei einer kostenlosen Version bis hin zu Duo Beyond für 9 USD pro Person und Monat. 

Vorteile

Nachteile

Schützt Remote-Verbindungen, sodass Ihre Beschäftigten auch vom Homeoffice aus sicher auf Ihre Webseite zugreifen können

Aufwendige Einrichtung und komplexer Erstauthentifizierungsprozess für neue Nutzer und Nutzerinnen

Möglichkeit, benutzerdefinierte Zugriffsregeln zu erstellen und den Zugriff für individuelle Nutzer und Nutzerinnen, Geräte und Standorte flexibel einzuschränken

Wird die Zwei-Faktor-Authentifizierung zusammen mit Single-Sign-On (SSO) und Remote- oder Offline-Tools eingesetzt, können Zusatzkosten entstehen, da SSO-Lösungen Server vor Ort erfordern

6. GoDaddy: sicheres Webhosting

Unter Webhosting versteht man die Bereitstellung von Webspace und das Hosting von Webseiten auf dem Webserver des jeweiligen Serviceproviders.

Ein gängiger Provider von Webhostingdiensten ist GoDaddy: Die All-in-one-Lösung von GoDaddy beinhaltet Kundensupport, lückenlose Netzwerksicherheit, Schutz vor DDoS-Angriffen und ein benutzerfreundliches Bedienfeld.

Das Hosting-Angebot des Unternehmens umfasst Webseiten von Privatpersonen, E-Commerce-Unternehmen und WordPress-Webseiten sowie VPS-Hostingdienste für Design- und Entwicklerteams mit anspruchsvollen Anforderungen. Darüber hinaus bietet GoDaddy auch Domain- und SSL-Zertifikate an. Zur Unterstützung bei der Einrichtung stehen detaillierte Videoanleitungen zur Verfügung.

Das Unternehmen bietet verschiedene Preisoptionen – angefangen bei 5,99 USD pro Monat für grundlegende Anforderungen bis hin zu 399,99 USD für ein umfassendes Hostingpaket inklusive dedizierten Serverkapazitäten. Über Add-ons können zusätzliche Back-up-Dienste und Speicherkapazitäten erworben werden.

Vorteile

Nachteile

Unbegrenzte Bandbreiten- und Speicherplatznutzung

Live-Support (rund um die Uhr) wird eher nicht als zufriedenstellend bewertet

Breit gefächertes Hosting-Angebot mit Optionen für verschiedenste Anforderungen

Weniger benutzerdefinierte Layout-Optionen als bei anderen Hostingdiensten

Integriertes Website-Monitoring rund um die Uhr

Für kleine Unternehmen unter Umständen zu kostspielig

Umfassende Dokumentation und Leitfäden zur Problembehebung sowie zusätzlicher Kundensupport bei Bedarf

 

7. Dropmysite: Website-Back-up

Sie sollten grundsätzlich regelmäßig ein Back-up Ihrer Webseite erstellen, damit Ihnen Sicherungskopien Ihrer Dateien vorliegen, sollten Sie Ihren Hostingdienst wechseln wollen oder gar Opfer eines Cyberangriffs werden.

Dazu stehen Ihnen verschiedene Möglichkeiten zur Verfügung: Sie können manuelle Back-ups erstellen, sofern verfügbar die Leistungen Ihres Hostingdienstes in Anspruch nehmen oder ein Tool wie Dropmysite verwenden, um den Back-up-Prozess zu automatisieren.

Dropmysite ist ein zuverlässiges Tool für die Datensicherung und - wiederherstellung, mit dem Sie Ihre Webseitendateien in einer cloudbasierten Datenbank sichern können. Zum Schutz der Daten werden dabei die Protokolle SFTP, FTP oder RSYNC eingesetzt. Sämtliche Prozesse sind vollständig automatisiert und sollten Dateien oder Webseiten-Inhalte beschädigt oder versehentlich gelöscht werden, können Sie sie mit nur einem Klick wiederherstellen.

Dropmysite: Beispiel-Dashboard für Website-Back-up

Bildquelle

Mit Dropmysite können Sie entweder ein Back-Up Ihrer gesamten Webseite erstellen oder gezielt nur die wichtigsten Dateien und Ordner auswählen. Alle Back-up-Dateien werden mit Amazon Web Services gesichert und serverseitig verschlüsselt. Die Gesamtkosten hängen von den genutzten Speicherkapazitäten ab und können zwischen 29,99 USD für 10 GB und 1.299,99 USD für 1.000 GB liegen.

Vorteile

Nachteile

Unkomplizierte Einrichtung

Keine gezielte Sicherung einzelner Datensätze oder der zuletzt geänderten Dateien möglich; es werden immer alle Dateien vollständig gesichert

Vollständig automatisierter Back-up-Prozess ohne manuellen Aufwand

Keine Zusatzfunktionen oder Add-ons erhältlich, wobei diese (je nach Anbieter) auch vom Hostingdienst bereitgestellt werden

Nutzungsbasierte Gebühren bedeuten, dass kleine Unternehmen nur für den Speicherplatz bezahlen, den sie auch tatsächlich benötigen

 

Fazit: Schützen Sie Ihre Webseite mit dem richtigen Tool

Ihnen stehen zahlreiche leistungsstarke und bewährte Tools zur Verfügung, um die Sicherheit Ihrer Webseite zu gewährleisten und sich vor Hacker-Angriffen oder Spoofing zu schützen. Je nachdem, wie viel Zeit Sie in die Verwaltung Ihrer Tools investieren möchten, können Sie sich entweder für eine Kombination aus verschiedenen Lösungen entscheiden oder aber die Leistungen eines Hostingdienstes in Anspruch nehmen, um den Großteil des Aufwands auszulagern.

In beiden Fällen gilt, dass Sie eine Lösung wählen sollten, die zu Ihrem Budget passt, alle benötigten Funktionen beinhaltet und es Ihnen ermöglicht, Ihre Webseite und das Nutzererlebnis Ihrer Besucher und Besucherinnen bestmöglich zu schützen.

New Call-to-action

Titelbild: scyther5 / iStock / Getty Images Plus

Ursprünglich veröffentlicht am 23. Juli 2021, aktualisiert am Juli 23 2021

Themen:

CMS