Sicherheit mit Augenmaß
Server-Anwendungen sicher betreiben
Wenn Web-Anwendungen beim Hoster oder auf dem eigenen Server laufen und im Internet zugänglich sind, muss der Betreiber mit unerwünschten Besuchern rechnen: Leute, die systematisch Sicherheitslücken abprüfen, auf ungesicherte Anmeldungen warten oder munter Passwörter durchprobieren. Wenige Maßnahmen genügen und das Gesindel zieht weiter.
Ein Server ist nur eingemauert und stromlos wirklich sicher. Sobald er aber Dienste für die Außenwelt anbietet, muss der Betreiber Sorge tragen, dass die ausschließlich in der intendierten Weise benutzt werden. Es sollten nur wirklich nötige Prozesse laufen, authentifizierte Zugriffe per SSL geschützt sein, administrative Zugänge doppelt gesichert und Sicherheitsupdates regelmäßig eingespielt werden.
Wer danach handelt, kann einigermaßen sicher sein, dass die Angriffsfläche klein bleibt, dass die Nutzer nicht belauscht werden, dass Amateur-Einbrecher weiterziehen und dass niemand bekannte Lücken für einen Einbruch verwenden kann. Absolute Sicherheit vor Angriffen kann es jedoch nicht geben. Deswegen: Ein Server-Betreiber muss stets beobachten, um Fehlentwicklungen zu erkennen und eingreifen zu können.
