7 Best Practices für die HTML-Sicherheit bei statischen Website-Schwachstellen

von

Sicherheitsmaßnahmen für statische Webseiten

Statische Webseiten zeichnen sich dadurch aus, dass ihre Inhalte bereits vorgerendert sind. Dies bedeutet, dass bei einer Nutzeranfrage weder eine Datenbankabfrage noch die Ausführung komplexer Skripte oder eine Laufzeitumgebung erforderlich sind.

Daraus ergeben sich entscheidende Vorteile hinsichtlich der Ladezeit und Sicherheit. Statische Seiten beanspruchen weniger Serverressourcen und weisen eine geringere Anzahl an potenziellen Sicherheitslücken auf. Diese Eigenschaften führen zu einer besseren Bewertung statischer Seiten durch Suchmaschinen im Vergleich zu dynamischen Alternativen.

SEO-Experten favorisieren daher statische Inhalte, um in einer Umgebung, in der Sekundenbruchteile über Erfolg oder Misserfolg entscheiden können, optimal zu performen. Die Bereitstellung statischer Inhalte ist zu einem zentralen Thema für Marketingstrategen geworden, während IT-Mitarbeiter die geringere Anfälligkeit und den reduzierten Wartungsaufwand zu schätzen wissen.

Es ist jedoch wichtig zu beachten, dass statische Webseiten nicht vollkommen immun gegen Angriffe sind. Um das Sicherheitsniveau statischer Inhalte zu maximieren, ist die Beachtung einiger grundlegender Sicherheitsmaßnahmen unerlässlich.

Sicherheits-Header für erhöhten Schutz

Sicherheits-Header sind Bestandteile der HTTP-Antwort-Header, die neben Metadaten, Fehlercodes und Cache-Regeln vom Webserver an den Browser übermittelt werden. Sie enthalten Anweisungen, wie der Browser mit den empfangenen Inhalten umgehen soll. Zwar unterstützen nicht alle Browser alle Sicherheits-Header, doch es gibt eine Auswahl gängiger Header, die einen grundlegenden Schutz vor häufigen Angriffen bieten.

X-Frame-Options: SAMEORIGIN

Der X-Frame-Options-Header zielt darauf ab, die Risiken zu minimieren, die von Iframes auf einer Webseite ausgehen. Cyberkriminelle können Iframes missbrauchen, um Klicks auf legitime Elemente abzufangen und Nutzer auf unerwünschte Webadressen umzuleiten. Es gibt verschiedene Optionen, um den Missbrauch von Iframes zu verhindern.

Eine von OWASP empfohlene bewährte Methode ist die Verwendung des Parameters SAMEORIGIN. Dieser Parameter erlaubt die Nutzung von Iframes ausschließlich von Ressourcen mit derselben Herkunft. Weitere Optionen sind DENY, um Iframes komplett zu deaktivieren, und ALLOW-FROM, mit der sich die Verwendung von Iframes auf bestimmte URLs beschränken lässt.

Hier finden Sie Anleitungen zur Implementierung für Apache und Nginx.

X-XSS-Protection: 1; mode=block

Der X-XSS-Protection-Header wurde konzipiert, um Webseiten vor Cross-Site-Scripting-Angriffen zu schützen. Er lässt sich auf zwei Arten implementieren:

  • X-XSS-Protection: 1
  • X-XSS-Protection: 1; mode=block

Die erste Methode ist weniger strikt und filtert zwar Skripte aus der Anfrage an den Webserver, gibt die Seite aber trotzdem wieder. Die zweite Option ist sicherer, da sie die gesamte Seite blockiert, sobald ein XSS-Skript in der Anfrage erkannt wird. OWASP empfiehlt diese zweite Methode als Best Practice.

X-Content-Type-Options: nosniff

Dieser Header verhindert das sogenannte MIME-Sniffing. MIME-Sniffing ist eine Funktion, bei der der Browser den Inhalt einer Datei analysiert und, wenn nötig, anders interpretiert als es der Header vorgibt. Mit diesem Header wird der Browser gezwungen, den angegebenen Inhaltstyp zu verwenden und nicht die tatsächliche Beschaffenheit des Inhalts zu erraten.

Durch die Anwendung dieses Headers sollten Sie die korrekte Zuweisung der Inhaltstypen auf jeder Seite Ihrer statischen Website überprüfen.

Content-Type: text/html; charset=utf-8

Diese Angabe wird seit der Version 1.0 des HTTP-Protokolls den Anforderungs- und Antwort-Headern für HTML-Seiten hinzugefügt. Sie stellt sicher, dass alle HTML-Elemente vom Browser korrekt interpretiert und auf der Webseite angezeigt werden.

Verwendung von TLS-Zertifikaten

Ein SSL/TLS-Zertifikat ist für jede Webseite unerlässlich, da es die Verschlüsselung der Datenübertragung zwischen dem Webserver und dem Browser über das sichere HTTPS-Protokoll ermöglicht. Bei einem Abfangen der Daten sind diese somit unlesbar, was für den Schutz der Privatsphäre der Nutzer und die Sicherheit der Webseite unerlässlich ist. Eine statische Website speichert zwar keine personenbezogenen Daten der Besucher, jedoch muss sichergestellt sein, dass die angeforderten Informationen nicht von Unbefugten eingesehen werden können.

Die Verwendung von Verschlüsselung ist eine Voraussetzung für die Kennzeichnung einer Webseite als sicher durch die meisten Webbrowser und zwingend erforderlich für Webseiten, die die EU-Datenschutz-Grundverordnung (DSGVO) einhalten müssen. Zwar schreibt das Gesetz die Verwendung von SSL-Zertifikaten nicht explizit vor, jedoch ist dies der einfachste Weg, um die Datenschutzanforderungen der Verordnung zu erfüllen.

Im Sicherheitskontext ermöglicht das SSL-Zertifikat die Überprüfung des Webseitenbesitzers durch Zertifizierungsstellen und verhindert die Erstellung gefälschter Webseiten durch Hacker. Der Webseitenbesucher kann dadurch die Authentizität des Herausgebers überprüfen und sicher sein, dass seine Aktivitäten auf der Webseite nicht ausgespäht werden.

Ein SSL-Zertifikat ist kostengünstig, teilweise sogar kostenlos, beispielsweise über ZeroSSL, oder als Premium-Version über SSL-Speicher.

DDoS-Schutz einrichten

DDoS-Angriffe (Distributed Denial of Service) werden immer häufiger. Bei dieser Art von Angriff wird eine Vielzahl von Geräten verwendet, um einen Server mit einer Flut von Anfragen zu überlasten, bis er nicht mehr reagiert. Auch wenn Ihre Webseite statische Inhalte anbietet, kann Ihr Webserver leicht Opfer eines DDoS-Angriffs werden, wenn Sie nicht die notwendigen Schutzmaßnahmen ergreifen.

Die einfachste Methode zur Implementierung von DDoS-Schutz ist die Beauftragung eines Sicherheitsdienstleisters, der sich um alle Bedrohungen kümmert. Solche Dienste bieten Angriffserkennung, Virenschutz, Schwachstellen-Scans und mehr, sodass Sie sich keine Gedanken über Bedrohungen machen müssen.

Eine solche umfassende Lösung kann kostspielig sein. Es gibt jedoch auch fokussiertere, kostengünstigere Optionen wie DDoS Protection as a Service (DPaaS). Fragen Sie bei Ihrem Hosting-Anbieter, ob er einen solchen Dienst anbietet.

Günstigere Alternativen sind cloudbasierte DDoS-Schutzdienste, wie sie beispielsweise von Akamai, Sucuri oder Cloudflare angeboten werden. Diese Dienste erkennen und analysieren DDoS-Angriffe frühzeitig und filtern beziehungsweise leiten den schädlichen Datenverkehr um, sodass Ihre Webseite nicht beeinträchtigt wird.

Bei der Auswahl einer Anti-DDoS-Lösung sollten Sie auf die Netzwerkkapazität achten. Dieser Parameter gibt an, wie viel Angriffsintensität der Schutz aushält.

Vermeidung anfälliger JavaScript-Bibliotheken

Auch wenn Ihre Webseite statische Inhalte besitzt, kann es sein, dass Sie JavaScript-Bibliotheken verwenden, die Sicherheitsrisiken bergen. Es wird geschätzt, dass rund 20 % dieser Bibliotheken Webseiten anfälliger machen. Nutzen Sie die Datenbank , um zu überprüfen, ob eine Bibliothek Sicherheitslücken aufweist. Diese Datenbank bietet detaillierte Informationen und Anleitungen zu vielen bekannten Schwachstellen.

Zusätzlich zur Überprüfung von Bibliotheken auf Schwachstellen können Sie diese bewährten Methoden für die Verwendung von JavaScript-Bibliotheken beachten, um potenzielle Risiken zu reduzieren:

  • Verwenden Sie keine externen Bibliotheksserver. Speichern Sie die Bibliotheken stattdessen auf dem gleichen Server wie Ihre Webseite. Wenn Sie externe Bibliotheken verwenden müssen, vermeiden Sie Bibliotheken von Servern auf der schwarzen Liste und überprüfen Sie die Sicherheit externer Server regelmäßig.
  • Nutzen Sie die Versionsverwaltung für JavaScript-Bibliotheken und stellen Sie sicher, dass Sie die aktuellste Version einer Bibliothek verwenden. Falls Versionsverwaltung nicht möglich ist, verwenden Sie zumindest Versionen, die keine bekannten Schwachstellen aufweisen. Mit retire.js können Sie die Verwendung anfälliger Versionen erkennen.
  • Überprüfen Sie regelmäßig, ob Ihre Webseite externe Bibliotheken nutzt, von denen Sie nichts wissen. So können Sie erkennen, ob Hacker unerwünschte Bibliotheken eingeschleust haben. Einschleusungsangriffe sind bei statischen Webseiten unwahrscheinlich, es schadet jedoch nicht, diese Überprüfung regelmäßig durchzuführen.

Implementierung einer Backup-Strategie

Statische Webseiten sollten ihre Inhalte bei jeder Änderung sichern. Die Backups müssen sicher gespeichert und leicht zugänglich sein, falls eine Wiederherstellung nach einem Systemausfall erforderlich ist. Es gibt verschiedene Möglichkeiten zur Sicherung von statischen Webseiten, die sich grob in manuelle und automatische Sicherung unterscheiden lassen.

Wenn sich die Inhalte Ihrer Webseite nicht häufig ändern, kann eine manuelle Backup-Strategie ausreichend sein. Sie müssen lediglich bei jeder Inhaltsänderung ein neues Backup erstellen. Falls Sie ein Control Panel zur Verwaltung Ihres Hosting-Kontos haben, finden Sie dort höchstwahrscheinlich eine Option zum Erstellen von Backups. Alternativ können Sie jederzeit einen FTP-Client verwenden, um alle Webseiteninhalte auf ein lokales Gerät herunterzuladen, wo sie sicher aufbewahrt und bei Bedarf wiederhergestellt werden können.

Automatische Sicherungen sind vorzuziehen, wenn Sie die Aufgaben zur Webseitenverwaltung auf ein Minimum reduzieren möchten. Automatische Backups werden jedoch in der Regel von Hosting-Anbietern als Premium-Funktionen angeboten, was die Gesamtkosten für die Sicherung Ihrer Webseite erhöht.

Sie können die Verwendung von Cloud-Speicher für Ihre Sicherungen in Betracht ziehen.

Auswahl eines zuverlässigen Hosting-Anbieters

Ein zuverlässiger Webhosting-Service ist sowohl für einen reibungslosen Betrieb Ihrer Webseite als auch für ihren Schutz vor Hackerangriffen entscheidend. Die meisten Webhosting-Bewertungen zeigen Vergleiche und Zahlen zu Geschwindigkeit, Betriebszeit und Kundensupport. Bei der Webseitensicherheit sollten Sie die folgenden Aspekte berücksichtigen und Ihren Anbieter fragen:

  • Software-Sicherheit: Erkundigen Sie sich, wie Software-Updates gehandhabt werden, z.B. ob Updates automatisch erfolgen oder ob es vor der Bereitstellung einen Testprozess gibt.
  • DDoS-Schutz: Falls dieser Schutz im Hosting-Service enthalten ist, fragen Sie nach den Einzelheiten zur Implementierung, um sicherzustellen, dass diese Ihren Anforderungen entspricht.
  • SSL-Verfügbarkeit und -Unterstützung: Da Zertifikate meist vom Hosting-Provider verwaltet werden, sollten Sie prüfen, welche Zertifikatsart angeboten wird und welche Richtlinien für die Zertifikatserneuerung gelten.
  • Sicherung und Wiederherstellung: Viele Hosting-Anbieter bieten einen automatisierten Sicherungsdienst an, der es Ihnen ermöglicht, sich um die Erstellung, Speicherung und Aktualisierung von Backups zu kümmern. Berücksichtigen Sie jedoch die Kosten und wägen Sie diese gegen den Aufwand der manuellen Sicherung ab.
  • Malware-Schutz: Ein zuverlässiger Hosting-Anbieter sollte seine Server durch regelmäßige Malware-Scans und Dateiintegritätskontrollen vor Malware schützen. Im Falle von Shared Hosting sollte der Hosting-Provider die Kontoisolierung nutzen, um die Ausbreitung von Malware-Infektionen auf benachbarte Webseiten zu verhindern.
  • Firewall-Schutz: Ein Hosting-Anbieter kann die Sicherheit der gehosteten Webseiten durch den Einsatz einer Firewall, die schädlichen Datenverkehr blockiert, erhöhen.

Hier finden Sie zuverlässige Hosting-Plattformen für statische Webseiten.

Durchsetzung einer Richtlinie für starke Passwörter

Da statische Webseiten weder eine Datenbank noch ein Content-Management-System verwenden, müssen weniger Benutzernamen und Passwörter verwaltet werden. Sie sollten jedoch immer eine Passwortrichtlinie für die Hosting- oder FTP-Konten anwenden, die Sie zur Aktualisierung der statischen Inhalte verwenden.

Bewährte Methoden für Passwörter umfassen:

  • Regelmäßiges Ändern der Passwörter.
  • Festlegen einer Mindestlänge für Passwörter.
  • Verwendung von Kombinationen aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen.
  • Vermeidung der Weitergabe von Passwörtern per E-Mail oder Textnachrichten.

Zusätzlich müssen Sie das Standardpasswort für Administratorkonten von Anfang an ändern. Dies ist ein häufiger Fehler, den Hacker leicht ausnutzen. Verwenden Sie zur sicheren Verwaltung Ihrer Passwörter einen Passwort-Manager.

Der Trend zur Statik

Vor einigen Jahren galten dynamische Inhalte als der beste Ansatz: Alles konnte einfach geändert und aktualisiert werden, was die komplette Neugestaltung einer Webseite innerhalb von Sekunden ermöglichte. Nachdem jedoch die Geschwindigkeit immer wichtiger wurde, kamen statische Inhalte wieder in Mode.

Im Zuge dieser Entwicklung sollten alle Praktiken zur Webseitensicherheit neu bewertet werden. Es gibt zwar weniger Aspekte zu berücksichtigen, dennoch sollten Sie die Sicherheit nicht vernachlässigen. Die genannten Punkte können Ihnen dabei helfen, Ihre eigene Checkliste zu erstellen, um Ihre statische Webseite sicher zu betreiben.

Weitere Artikel:

  1. Best Practices für die Sicherheit von Operational Technology (OT) im Jahr 2023
  2. 15 Best Practices-Leitfaden für DevOps-Sicherheit
  3. App-Sicherheit: Best Practices und Tipps für Entwickler
  4. Physische Sicherheit ist ein wichtiger Teil der digitalen Sicherheit: Meine 5 besten Tipps