#sicherheit = gepflegt up to date bleiben
von Dr. Heike Zeriadtke, HZ WebDesign
Haben Sie einen Wartungs- oder Pflegevertrag für Ihre Internetseite? Nein? Denken Sie dann selbst an regelmäßige Updates? Nein? Sollten Sie aber! Sonst könnte es Ihnen schnell so ergehen wie diesem Kunden:
Montag morgen, ich plane gerade meine Woche bzw. kontrolliere, ob mein Plan von Freitag für diese Woche gelingen kann. Dazu öffne ich als Erstes mein Mailprogramm und schaue, was sich am Wochenende getan hat. Ja, viele meiner Kunden haben am Wochenende meist Zeit, sich mit Ihrer Website zu beschäftigen, in der Woche eher nicht. Da bleibt dann auch die Mail vom Webhoster schon mal 3 Tage liegen. Am Wochenende wird sie mir dann weitergeleitet mit der Frage: „Ist das wichtig? Trifft mich das? Schauen Sie doch bitte mal.“ Vieles ist dann nicht wichtig, ich kann die Kundin oder den Kunden beruhigen: „Alles im grünen Bereich, das verwenden wir nicht.“ Aber dann kommt diese eine Mail, die meine ganze Woche über den Haufen wirbelt: „Lieber Kunde, die neue PHP-Version 8.0 ist online. Wir stellen unsere Server um und rüsten uns für die Zukunft. Ab dem 23.01.21 schalten wir nach und nach die veralteten PHP-Versionen 5.6 bis 7.1 ab, da diese nicht mehr mit Sicherheitsupdates versorgt werden. Bitte stellen Sie Ihre Website rechtzeitig auf eine aktuelle Version um.“
Ich schaue mir das an und weiß leider nur zu gut: Dort läuft eine Website, ein CMS, das kommt mit einer aktuellen PHP-Version nicht zurecht. Jetzt ist guter Rat teuer. Meist sind dies auch nicht die ersten Meldungen vom Webhoster, die dieses Vorgehen andeuten. In der Regel wird bereits rechtzeitig (ungefähr ein Jahr im Voraus) darauf hingewiesen, dass ab dem xx.xx.xxxx die Version xy von z.B. PHP nicht mehr mit Updates versorgt wird. Aber 14 Tage oder 3 Wochen vor der Abschaltung kommt dann DIE Mail, die meinen Wochenplan durcheinanderbringt.
Wie bitteschön soll ich in 14 Tagen mal eben eine Website, die seit Jahren kein richtiges Update erhalten hat, vor der Abschaltung retten?
Natürlich konnten wir die Seite retten, aber das kostet neben Nerven auch Geld. Und das sind Kosten, die Sie mit einer gezielten Update-Strategie vermeiden können. Zusätzlich kommt das jetzt unumgängliche große Upgrade ebenfalls. Wir konnten die betreffende Website auf einen „alten“ Server eines anderen Anbieters umziehen und so vor dem Abschalten retten. Aber auch der Hoster wird in naher Zukunft seine Technik erneuern und alte Software entsorgen. Schließlich dient das der Sicherheit.
Wer selbst regelmäßige Aktualisierungen einpflegt oder auch eine Agentur dazu verpflichtet hat, ist fein raus. Diese Webseitenbetreiber*innen können sich entspannt zurücklehnen und Mails diesen Inhalts getrost dem Papierkorb überantworten. Sie müssen in der Regel nichts tun.
Wer aber noch eine veraltete Typo3-, Contao- oder WordPress-Website besitzt, sollte sich dann sputen. Leider ist es ja meist nach einigen Jahren ohne Update nicht mit einer schnellen Aktualisierung getan. Dann wird ein solches Update durchaus vergleichbar mit dem Wechsel eines Betriebssystems von z.B. Windows 7 (oder gar Windows XP) auf Windows 10. Lieb gewonnene Programme funktionieren nicht mehr, das eine oder andere gibt es für diese Version nicht und die Bedienung hat sich total verändert. Das ist bei Content-Management-Systemen wie WordPress, Contao, Typo3 usw. nicht anders. Oft hilft in solchen Fällen nur ein kompletter Relaunch, eine Neugestaltung der Internetseite.
Wer aber seiner Website regelmäßig mehrmals im Jahr ein Update gönnt, für den kommen zwar immer kleine Änderungen, aber die fallen nicht ins Gewicht. Vor allem können so nicht mehr gepflegte Plugins und Erweiterungen rechtzeitig und ganz gezielt durch aktuellere ersetzt werden. Wenn Sie nur noch 14 Tage Zeit haben, Ihr Internetangebot in die Neuzeit zu heben, kann es schnell sehr teuer werden. Und dass so etwas stets zur Unzeit kommt und dann viele Nerven kostet, bräuchte ich eigentlich gar nicht erwähnen.
Noch eines sollten sich Webseitenbetreiber klar machen: Mit dem Vertragsabschluss bei einem Webhoster gehen sie die Verpflichtung ein, Ihre Website „auf technisch aktuellem Stand zu halten“, um die Sicherheit der Server nicht zu gefährden. Denn nur aktuelle Programme sind gegen Cyberkriminelle, Hackerangriffe und Viren schützt. Jedes Update schließt Sicherheitslücken. Nun mag manche*r denken: „Ich bin so ein kleines Licht. Bei mir lohnt sich so ein Angriff gar nicht.“ Doch hier erliegt man / frau schnell einem Trugschluss. Natürlich sind große bekannte Internetseiten bevorzugte Ziele von Hackern, aber in der Vielzahl der Fälle werden bekannte Sicherheitslücken gezielt von automatischen Bots (Suchrobotern) aufgespürt und ausgenutzt. Da ist die Größe der Website völlig egal, da es kaum Aufwand macht, auch diese Kleinen zu infizieren und z. B. einen Wurm einzuschleusen, der sich dann durch jeden Besucher weiter im Internet verbreitet. So manch ein Webseitenbetreiber merkt davon nichts, die Website funktioniert ganz normal weiter. Aber gute aktuelle Browser bemerken die Infektion oft und warnen die Besucher bzw. weigern sich die Seite aufzurufen. Und die Hosting-Anbieter scannen ihre Server in regelmäßigen Abständen nach infizierten Dateien. Dann kommt schnell die Mail: „Verehrter Kunde, wir haben Ihre Website / Ihren Account gesperrt! Bitte setzten Sie sich mit unserem Kundenservice in Verbindung.“
Der so entstehende Imageschaden ist meist viel größer als die Kosten einer regelmäßigen Wartung, um das System auf einem technisch einwandfreien Stand zu halten und Sicherheitslücken zu schließen. Also bleiben Sie besser gepflegt up to date!