Strato scannt mit Sitelock Websites auf Malware

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheit
Strato Logo (Bild: Strato)

Betreiber können so erkennen, ob auf ihre Website – etwa durch eine Lücke im CMS – Malware platziert wurde. Der Dienst ist ab 99 Cent pro Monat erhältlich. Ein Prüfsiegel wird solange auf der Website angezeigt, wie diese tatsächlich frei von Schadsoftware und Sicherheitslücken ist.

Strato bietet mit Sitelock einen Scan-Dienst für Website-Betreiber an. Er ist bei einer Mindestvertragslaufzeit von zwölf 12 Monaten ab 99 Cent pro Monat erhältlich. Der Malware-Scanner prüft dafür einmal im Monat bis zu 25 Unterseiten einer Website. Im Premium-Paket für 4,99 Euro pro Monat sind tägliche Scans für bis zu 500 Unterseiten möglich.

strato-logo

Nach bestandenem Scan können Webmaster das Sitelock-Siegel auf ihrer Website einbinden. Es wird solange angezeigt, wie die Website tatsächlich frei von Schadsoftware und Sicherheitslücken ist. Beim Einsteigerpaket mit monatlichen Scans hat es aber natürlich nur eine sehr begrenzte Aussagekraft.

Sitelock scannt Websites unter mehreren Gesichtspunkten. Zum einen wird auf der Site nach Malware und verdächtigen Links und generell verdächtigen Code. Der Dienst prüft aber auch, Sicherheitslücken vorliegen, mit denen Datenbanken manipuliert werden können oder ob er Sicherheitslücken in Skripten findet, mit denen Angreifer Seiteninhalte manipulieren könnten. Schließlich untersucht er die Site auch in Hinblick auf veraltete Software und Sicherheitslücken in der Software.

Typische Schwachstellen in CMS-Systemen
Die in CMS-Systemen häufigsten Schachstellen sind XSS- und SQL-Injection-Lecks (Bild: BSI).

Um die Notwendigkeit seines Dienstes zu untermauern, argumentiert Strato mit einer kürzlich vom BSI veröffentlichten Studie zur Sicherheit von Open-Source-Content-Management-Systemen. Untersucht wurden darin Bedrohungslage und Schwachstellen bei Drupal, Joomla, Plone, TYPO3 und WordPress. Dazu wurden ausführlich die Art der auftretenden Lecks, nötige Wartungsarbeiten und dergleichen mehr unter die Lupe genommen.

Die Studie kommt zu dem Ergebnis, dass die untersuchten CMS grundsätzlich ein angemessenes Sicherheitsniveau bieten. Außerdem sei in den Programmen sogar ein “hinreichender Sicherheitsprozess zur Behebung von Schwachstellen” implementiert.

Allerdings seien Plug-ins prinzipiell ein Risiko und der Betrieb erfordere die kontinuierliche Beschäftigung mit dem System, um nicht durch veraltete Versionen oder nicht eingespielte Patches Gefahr zu laufen, Angriffspunkte zu bieten. Der Strato-Dienst kann dabei Administratoren durchaus helfen, sich auf die wesentlichen und drängenden Aspekte zu konzentrieren.

google-safe-browsing-
Der weitaus größte Teil der von Google entdeckten unsicheren Websites dient der Verbreitung von Malware (Bild: Google).

Dass Strato mit seinem Dienst einen echten Bedarf erfüllt, zeigen auch die von Google im Juni vorgelegten Zahlen der Websites, die aus Sicherheitsgründen blockiert werden. Dem Bericht zufolge missbrauchen Hacker, um gefährliche Inhalte zu verbreiten, deutlich mehr legitime Websites als sie speziell für diesen Zweck anlegen.

Googles Safe-Browsing-Programm stuft insgesamt täglich bis zu 10.000 Websites als unsicher ein. Davon verbreiten 60 Prozent Schadsoftware. Die restlichen 40 Prozent werden für Phishing-Angriffe benutzt. Google zufolge gab es Ende 2009 nur wenige Hundert für Angriffe bestimmte Websites. Seitdem habe die Zahl stetig zugenommen. Ende 2012 sei mit mehr als 6000 Sites ein vorläufiger Höchststand erreicht worden. Am 9. Juni identifizierte Google immerhin noch 3891 dieser gefährlichen Seiten.

Hilfe für von Malware befallene Websites bietet unter anderem der Dienst StopTheHacker an. Er richtet sich insbesondere an kleine Unternehmen, Selbständige und Mittelständler und kommt ohne Installation in der IT des Kunden aus. Die Säuberungsaktion nimmt er automatisch vor. Der Dienstleister benötigt nur die URL des Internetauftritts, um zur Tat zu schreiten.

Dazu gehört nicht nur das Aufspüren von gefährlichem Code, sondern auch deren restlose Beseitigung. Der Dienst kommt mit JavaScript und PHP-Script zurecht. Webseiten-Objekte werden von ihm dekompiliert und auf Code-Einschübe sowie verdächtiges Verhalten untersucht. Je nach Tiefe der Analyse und Umfang des Webangebots kostet der Dienst von StopTheHacker zwischen 10 und 100 Dollar pro Monat.

Tipp: Sind Sie ein SEO-Experte? Testen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen