Passwort: "Bitte fassen Sie sich kürzer!"

Die Sicherheitsrisiken von Webservern werden unnötigerweise immer größer

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Hacker dringen gerne in fremde Webserver ein, um diese entweder mit persönlichen Marken wie rosa Kaninchen zu verzieren – oder, schlimmer noch, andere Daten wie Warez und Raubkopien zu hinterlassen. Bemerkt wird dies erst, wenn die Providerrechnung oder eine Abmahnung eintrudeln. Leider wird die Sicherheit beim Serverzugriff allerdings klein geschrieben.

Ein "Defacement", ein Webserverhack ist lustig – besonders wenn es nicht der eigene Server ist: So ein rosa Hase mit übergroßem Geschlechtsteil macht plötzlich selbst die Website von Harald Schmidt interessant! Insofern ist das unerwartete Erscheinen des rosa Plüschtiers für den Webmaster zwar peinlich, für die Website dagegen sogar positiv.

"Mein Name ist Fluffy Bunny, ich weiß von nix"

Solche witzigen Serverhacks sind aber selten geworden. Die meisten Hacks geschehen inzwischen in den Schulferien, in denen gelangweilte Kids ihre Botschaften hinterlassen und sich der Normalsurfer ärgert, dass er statt Weihnachtsgrüßen auf manchen Webseiten nur noch ihm unverständliche Texte irgendwelcher Brasilianer findet. Die Brasilianer sind dabei besonders aktiv, weil sie die Sicherheitslücken der brasilianischen kostenlosen Portalsoftware PHP-Nuke besonders gut kennen, die teilweise auch den Einstieg in den Server selbst ermöglichen und dies empörender finden als Sicherheitslücken bei Microsoft. Doch auch dies ist zwar für die Betroffenen ärgerlich, aber noch kein echtes Problem, wenn er Backups seines Servers hat, was eigentlich selbstverständlich sein sollte.

Nicht lustig: Anonyme Musik-, Film-oder Softwarespenden

Richtiger Ärger entsteht, wenn mit einem geknackten Server-Passwort Kuckuckseier auf dem Server hinterlegt werden: MP3s, Videos oder Warez in einem dem Webmaster unbekannten Verzeichnis, die auf der Website auch gar nicht in Erscheinung treten, aber deren Adressen in "einschlägigen Kreisen" anschließend sofort die Runde machen. Die Folge, wenn das Kuckucksei nicht schnell genug bemerkt wird: Enormer Downloadtraffic, der sich in einer unerwarteten Providerrechnung von einigen tausend Euros niederschlägt und eventuell auch noch eine Abmahnung der Rechteinhaber für das Anbieten der Musik, der Videos oder der Software.

Alle Jahre wieder: Lästige Weihnachts- und Neujahrsgrüße aus Brasilien

Entdecken kann man so ein Malheur natürlich durch tägliche Kontrolle der Serverstatistik. Deshalb erwischt es meist auch entweder besonders große Websites, bei denen die Zusatzbelastung nicht sofort auffällt, insbesondere natürlich auch komplette Webserver, oder aber gemieteten Webspace, der momentan nicht genutzt und deshalb auch nicht kontrolliert wird.

Ungünstig sind hier natürlich Statistiken, die stur nur die 20 meist aufgerufenen URLs anzeigen: Bis die Hackerdateien hier auftauchen, die ja ohne weiteres einige 100 MB groß sein können statt der paar KB einer normalen HTML-Webseite, ist bereits erheblicher Traffic angefallen. Doch eigentlich ist es auch schon zu spät, wenn man den gehackten Webspace entdeckt – es sollte gar nicht erst so weit kommen, zumal der Hacker ja durchaus auch Kopien nichtöffentlicher Dinge wie einer Kundendatenbank samt Bankverbindungen und Kreditkartendaten ziehen könnte.

Confixx-Login: Verschlüsselte Übertragung? Fehlanzeige

Umso erschreckender, dass gerade das Masterpasswort zur Serverkonfiguration und der FTP-Login bei den meisten Webspace-Anbietern überhaupt nicht abgesichert werden: Die Eingabe des Logins ist selbst in Confixx in der neuesten Version 3.0 immer noch unverschlüsselt, ebenso findet der FTP-Login meist im Klartext statt. Confixx light oder professional ist die auf den meisten Servern und auch Webspace-Angeboten kleinerer Hoster zu findende Verwaltungssoftware für Linux-Server, große Hoster wie 1&1 haben dagegen eigene Interfaces, die dann auch verschlüsselten Login bieten. Es bleibt jedoch das FTP-Problem. Wer also Mitlauscher in der Leitung hat, ist seines Zugangs nicht sicher.

Langes Passwort? Gibt’s nicht, ist viel zu sicher!

Völlig unverständlich ist allerdings, dass die zulässige Länge der Passwörter mit jeder neuen Version der Zugangssoftware bei den Hostern weiter reduziert wird. Passwörter unter sechs Buchstaben gelten zu Recht als völlig unzureichend, da sie selbst bei beliebig gewählten Buchstaben/Zahlenkombinationen knackbar sind, doch teils werden von Hoster auch nur maximal acht Zeichen zugelassen. Auch zehn Zeichen sind eine unnötige Einschränkung und selbst Confixx, das bislang keine spürbare Begrenzung der Passwortlänge hatte, erlaubt mit der neuen Version 3.0 nur noch zwölf Zeichen. Das allerdings verrät es nur, wenn man ein zu kurzes Passwort definieren will – wer dagegen immer schon 15 Zeichen hinterlegt hatte, kann problemlos weiter in seine Serververwaltung, es werden nur die ersten 12 Zeichen verglichen. Allerdings ist nun für den Webmaster nach einem Update auf Confixx 3.0 kein FTP-Upload neuer Dateien mehr möglich, denn hier wird das lange Passwort nicht mehr akzeptiert.

Immerhin verschlüsselt, dafür aber nur mit kurzen Passwörtern: Login auf 1&1-Servern

Wen wundert es, dass so mancher Webmaster nach längeren ihm unerklärlichen Fehlschlägen dann doch beim Vornamen des Lebenspartners als Passwort endet und sich wundert, ein paar Wochen später ein dickes Ei auf dem Server zu haben?

nach oben