Die größte Schwachstelle in der IT sind die Menschen, die damit arbeiten. Alle Sicherheit auf dem (Web)-Server nutzt nichts, wenn Sie zum Login Ihrer Internetseite kein sicheres Passwort verwenden. Ihr Passwort sollte auf keinen Fall in der Top 10 Liste unsicherer Passwörter zu finden sein. Ihr Geburtsdatum, den Namen Ihres Haustiers, der Mädchenname vor oder rückwärts geschrieben oder sogar „Passwort“ sollten Sie auch nicht verwenden. Persönliche Infos oder offizielle Wörter können innerhalb kurzer Zeit mit entsprechenden Programmen ermittelt werden. Nur ein sicheres, kryptisches Passwort bietet echten Schutz.
Sicherlich kann man serverseitig zusätzliche Schutzmechanismen einführen. Man kann beispielsweise IP-Adressen blockieren, die zu häufig das falsche Passwort eingeben.
Keine Standardpasswörter verwenden
All diese Schutzmechanismen helfen aber nur wenig, wenn Sie „Ihr“ Standardpasswort überall verwenden. Nicht jede Internetseite kümmert sich um die Sicherheit der Nutzerdaten. Bei „kleineren“ Internetseiten kommen solche Sicherheitsprobleme häufiger vor. Aber auch Internetseiten von großen Unternehmen können gehackt werden. Verwenden Sie aus (durchaus verständlicher) Bequemlichkeit eine Standard-Kombination aus Email-Adresse und Passwort, gehen Sie damit ein hohes Risiko ein.
Bekommt ein Dritter Kenntnis von dieser Kombination, kann er damit auf alle Konten zugreifen, bei denen sie verwendet wird. Testen wird er es wohl zunächst an den Internetseiten von Banken und großen Online Shops. Den Schaden, den er potentiell damit anrichten kann, können Sie sich bestimmt vorstellen.
Die einzige sinnvolle Alternative sind kryptische Passwörter – und zwar für jeden Login-Bereich ein individuelles. Außerdem gilt: Je länger das Passwort, desto sicherer. Diese Sicherheit geht aber auf Kosten der Benutzerfreundlichkeit und Bequemlichkeit: Es wird schwierig, den Überblick zu behalten. Und Post-It’s am Monitor sind auch keine Lösung. Excel Listen auch nicht wirklich. Spätestens beim Arbeiten mit mehreren Geräten ist das zu umständlich.
LastPass – ein Standardpasswort + Sicherheit
Wir haben lange nach einer Lösung für dieses Problem gesucht. Es war nicht einfach, etwas zu finden, dass sicher und bequem ist.
Die größte Herausforderung ist unsere Mobilität. Kaum noch jemand arbeitet heute nur an einem einzigen Gerät. Ein Großteil bewegt sich zwischen Desktop PC, Notebook, Tablet und mindestens einem Smartphone.
Wir haben uns für die Verwendung von LastPass entschieden. Es ist bequem, da es auf fast allen aktuellen Browsern und Smartphones funktioniert.
Außerdem ist es sicher. Im Gegensatz zu anderen Lösungen, werden die Passwörter direkt auf dem Computer des Endnutzers generiert. Auf den Servern von LastPass werden nur die Hash-Codes gespeichert. Auch die Rückumwandlung der Hash-Codes in ein Passwort übernimmt wieder der Rechner des Endanwenders. Das bedeutet auch Konformität mit dem deutschen Datenschutzrecht, da keine Nutzerdaten übermittelt werden. Auch die NSA kann damit recht wenig anfangen.
Sicherheit des eigenen PC
Um Ihre Internetseite vor Hackern zu schützen, müssen Sie auch die Sicherheit der Computer im Auge behalten, mit denen Sie darauf arbeiten. Wenn es Ihr eigener Computer ist, sollte darauf mindestens ein aktueller Virenscanner mit aktivierter Echtzeitsuche installiert sein. Alle Vorsichtsmaßnahmen auf dem Server nützen nichts, wenn Sie einen Keylogger auf Ihrem Rechner haben, der jede Eingabe protokolliert und „nach Hause“ meldet.
Sie sollten auch genau darauf achten, von wo aus Sie sich auf Ihrer Internetseite einloggen. Idealerweise machen Sie das nur auf Computern von Menschen, denen Sie vertrauen. Oder Sie nutzen für die Arbeit auf solchen Geräten ein Einmal-Passwort und geben es nur über die Bildschirmtastatur ein.
Für die tägliche Arbeit an Ihrer Internetseite (z.B. beim Erstellen von Beiträgen, etc) ist es am besten Sie verwenden ein Benutzer-Konto, dass keine Administrator Rechte hat. Wird dieses Konto doch einmal gehackt, können Sie so verhindern, dass über das WordPress Backend/Dashboard schädliche Software installiert wird.