Die Nachricht von der infiltrierten Website unseres Kunden Reitverein Eberbach verbreitete sich wie ein Lauffeuer. Nicht nur regionale Medien, sondern auch bundesweite Presseportale und das Radio berichteten über den Hackerangriff auf die Website des Eberbacher Vereins.
Ergänzend zu der durchaus sachlichen Berichterstattung in den verschiedenen Medien, möchten wir den Vorfall noch etwas genauer beleuchten und damit Aufklärungsarbeit leisten.
Die Website www.reitvereineberbach.de wurde von unserer Internetagentur unter Verwendung des Open Source Content-Management-Systems WordPress initial erstellt. Ziel des Projekts war es eine kostengünstige, einfach zu bedienende Website zu erstellen und zu hosten, weshalb die Wahl letztlich auf WordPress als CMS fiel. Das Basissystem wurde dabei um diverse Plugins (Erweiterungen) ergänzt um den Komfort bei der Bedienung der Website zu erhöhen. Nach Fertigstellung und Schulung übernahm der Reitverein die Content-Gestaltung in Eigenregie. Unser Auftrag bestand seit dem im Hosting, d.h. dem „zur Verfügung stellen“ der Infrastruktur für den Betrieb der Website.
Am Wochenende vom 17.04-19.04.2015 wurde die Website Ziel eines Hackerangriffs, mit der Folge, dass anstatt der echten Website des Reitvereins, Inhalte einer islamistischen Vereinigung und Parolen der Terrormiliz IS angezeigt wurden. Dieser Hackerangriff zielte jedoch nicht konkret auf die Website unseres Kunden oder gar Servers ab, sondern war vielmehr Bestandteil eines groß angelegten, automatisierten (scriptgesteuerten) Angriffs. Sogenannte Bots durchforsten dabei das Internet nach zuvor festgelegten Systemen (wie z.B. WordPress) und melden an den Hacker entsprechende Ergebnisse zurück. In einem weiteren Schritt werden die Funde auf Sicherheitslücken, ebenfalls automatisch, hin untersucht. Als letzter Schritt erfolgt der eigentliche Angriff auf die gefundenen Sicherheitslücken.
Im Fall des Reitvereins befand sich die Schwachstelle im Plugin, welches für die Bildergalerie verantwortlich ist.
Der Vorfall wurde vom Reitverein Eberbach schnell entdeckt und per E-Mail sowie Voicenachricht an uns kommuniziert. Da sich der Angriff am Wochenende ereignete und unser Büro daher nicht besetzt war, erfolgte die Desinfektion erst am Montag früh. Gegen 09.30h erschien die Website wieder im gewohnten Bild. Möglich war diese schnelle Entstörung aufgrund des täglichen Backups der Daten sowie Datenbanken die wir für all unsere Kunden als Service anbieten. Damit heben wir uns von Hostinganbietern wie Strato oder 1und1 ab. Bei diesen Anbietern ist jeder Kunde selbst für seine Backups verantwortlich. Nach dem Zurückspielen des Backups wurde das WordPress System sowie dessen Plugins auf Updates hin überprüft. Es stellte sich heraus, dass es für das Plugin für die Bildergalerie ein Update gegebene hatte, welches die Sicherheitslücke geschlossen hätte. Leider wurde dieses nicht rechtzeitig eingespielt.
Der Angriff hätte also abgewehrt werden können, sofern alle vorhandenen Updates rechtzeitig eingespielt worden wären. Nur wer ist hierfür verantwortlich? An genau dieser Stelle ist die Berichterstattung in den Medien etwas wässrig, weshalb wir darauf allgemein noch einmal gesondert eingehen möchten.
Sofern nicht anders durch einen (SLA) Vertrag oder individuellen Auftrag vereinbart, ist die Inhaltsgestaltung und Pflege der Website Angelegenheit des Kunden. Dies bedeutet, dass der Kunde sich selbst um Wartung und Pflege der Website kümmert. Sollte hierfür das technische, bzw. fachliche Know-how nicht ausreichen, stehen wir als Dienstleister selbstverständlich zur Verfügung. Als Vergleich hierzu kann eine Softwareaktualisierung eines Smartphones, Windows oder Mac Betriebssystem gesehen werden. Die jeweiligen Anbieter stellen Updates zur Verfügung, installieren muss man diese jedoch selbst.
Selbstverständlich bieten wir aber auch eine proaktive Beratung und Betreuung an. Je nach Ausprägung fallen hier natürlich entsprechende, regelmäßige Gebühren an.
Die Aussage, dass der „Server“ als Ganzes gehackt und daher unsicher wäre, ist unhaltbar. Der Angriff galt nachweislich dem auf dem Server installierten WordPress CMS und erfolgte ungezielt. Um den Zusammenhang besser zu verstehen sei an dieser Stelle das Zusammenspiel Server, Hostingpaket, CMS / Shop Installation noch einmal erläutert:
Als Reseller haben wir einen Managed Server in einem Hochleistungsrechenzentrum angemietet. Auf diesem Server können für jeden Kunden eigene, individuell zusammenstellbare Hostingpakete angelegt werden. Diese Accounts sind gekapselt, d.h. jeder Kunde hat seinen eigenen Bereich auf dem Serversystem, aus dem er nicht herausbrechen kann. Entsprechend kann auch eine Infizierung eines einzelnen Accounts sich nicht auf andere Accounts ausweiten. Pro Account wiederum können mehrere CMS und Shopsysteme installiert werden. Das Angriffsziel erfolgte somit auf die letzte Instanz, nämlich das eigentliche Content-Management-System (in unserem Fall WordPress).
Script gesteuerte Angriffe auf einfache CMS Systeme, WordPress ist dabei sicherlich nur eines von vielen, sind leider keine Seltenheit mehr. Daher ist es wichtig jegliche Updates zeitnah einzuspielen. Dies können CMS Updates an sich, aber auch Updates für Erweiterungen (Plugins) und / oder Themes (Designs) sein. Wer sich unsicher ist was wann wo und wie zu tun ist, sollte seinen Dienstleister um Unterstützung bitten. Die einmaligen Kosten für das Einspielen von solchen Updates sind gering und ersparen einem ggf. eine Menge Ärger.
Sicherheitslücken existieren jedoch auch außerhalb der jeweiligen Installationen. Im Browser oder auf dem PC gespeicherte Zugangsdaten können leicht ausgespäht und missbraucht werden. Der Zugriff von unbekannten Netzwerken (z.B. Internetcafé, WLAN Hotspots etc.) birgt ebenfalls ein hohes Risiko. Selbst die Speicherung von Zugangsdaten in einem FTP Client können mitunter zu massiven Sicherheitslücken führen.
