"Die Bedrohung kommt nicht ausschliesslich von aussen "

Welche Herausforderungen in Sachen Cyberbedrohungen und -­angriffen stellen sich für einen Shared-Hosting-Anbieter wie Cyon?

Christian Schubnell: Beim Geschäftsmodell, wie wir es betreiben, kommt die Bedrohung nicht ausschliesslich «von aussen». Denn anders als bei Angeboten wie beispielsweise Managed-Wordpress, bei dem das CMS vom Anbieter betrieben wird, stellen wir unseren Kunden lediglich die technische Plattform zum Betrieb von Web­sites, Applikationen und E-Mail zur Verfügung. Die Kunden wählen also selbst, welche Applikationen sie darauf betreiben und sind auch für deren Wartung verantwortlich. Bei den allermeisten Systemen gehören automatische Sicherheitsupdates mittlerweile zu Standard, jedoch nicht bei allen. Es gibt folglich immer wieder Fälle von verwundbaren Anwendungen, zum Beispiel durch Lücken in veralteten CMS-Installationen, nicht aktualisierten Plugins oder selbst entwickelte Software, die nicht den aktuellen Sicherheitsstandards entspricht. Hinzu kommen die klassischen Angriffsvektoren wie Malware, Spam, Phishing, DDoS-Angriffe und mehr. 

Wie sorgen Sie in diesem Umfeld für Sicherheit? 

Unsere Aufgabe ist es, neben dem stabilen Betrieb gleichzeitig mit einer ganzen Palette an Massnahmen die Sicherheit zu gewährleisten. Wir schotten einzelne Kundeninstallationen technisch wirkungsvoll voneinander ab, damit zum Beispiel Malware nicht auf andere Kundeninstalla­tionen übergreifen kann. Logging-Informationen der gesamten Infrastruktur sammeln wir zentral und werten sie automatisiert aus. Geht etwas Verdächtiges vonstatten, sind wir so umgehend alarmiert. Weitere Beispiele für Massnahmen sind vernetzte Firewalls sowie automatisierte Systeme, die sämtliche Installationen proaktiv und regelmässig auf Sicherheitslücken scannen und bei Bedarf automatisch schliessen. Mit über 1500 Patches pro Tag geschieht das häufiger als man denkt. 

Wie gehen Sie mit Software- und Hardware-Updates um und ­stellen sicher, dass die jeweils aktuellen Sicherheits-Patches 
und Schutzmassnahmen angewendet werden?

Planbare Soft- und Hardware-Updates folgen fest definierten Regeln. Unsere Systeme sind so konzipiert, dass automatisch Aufträge zum Einspielen der Updates angelegt und den verantwortlichen Mitarbeitern zugewiesen werden. Bei ungeplanten Updates, die häufig zeitkritisch sind, verhält es sich je nach System unterschiedlich: Updates der von uns eingesetzten Software werden regelmässig automatisiert eingespielt. Liegen Sicherheitsupdate bei der Hardware wie Server, Switches, Router oder auch SSDs vor, informiert uns der Hersteller proaktiv. All diese Informationen werden von System Operations verarbeitet und entsprechende Massnahmen auf den Weg gebracht.

Gibt es eine Web Application Firewall (WAF), um Kunden-Web­sites vor gängigen webbasierten Angriffen wie SQL-Injections und Cross-Site Scripting zu schützen?

Selbstverständlich. Unsere Sicherheitsvorkehrungen sind in mehreren Schichten aufgebaut und eine Web Application Firewall gehört auch dazu. Alle Firewalls sind durch ein Netzwerk miteinander verbunden, um Angriffsinformationen zu melden sowie auch zu beziehen, wovon alle angeschlossenen Systeme profitieren. Wird ein Server innerhalb des Firewall-Verbundes angegriffen, erhalten alle Systeme diese Informationen und blockieren das angreifende System proaktiv. Den Firewalls wird dabei nicht langweilig. Pro Tag greifen sie über 20 000 Mal ein, um ungültige Aufrufe zu unterbinden. 

Bieten Sie auch SSL-Zertifikate an und unterstützt Sie HTTPS-­Verschlüsselung für eine sichere Datenübertragung?

Ein Netz ohne Verschlüsselung und somit auch ohne TLS-Zertifikate ist heute undenkbar. Cyon setzt sich seit jeher für ein sicheres Internet ein und unterstützt das Let’s-Encrypt-Projekt, das sich zum Ziel gesetzt hat, das gesamte Web über verschlüsselte Verbindungen erreichbar zu machen, seit dessen Gründung jährlich mit einem namhaften Betrag. Die TLS-Zertifikate von Let’s Encrypt stellen wir unseren Kunden für ihre Websites ohne Aufpreis kostenlos zur Verfügung.

Gibt es besondere Massnahmen zum Schutz vor Distributed-­Denial-of-Service-Angriffen (DDoS)?

DDoS-Angriffe kommen immer wieder vor, gerade auch jüngst, als eine Hackergruppe Websites in der ganzen Schweiz, darunter auch Dienste des Bundes, lahmlegten. Unsere Mechanismen zur Abwehr von DDoS-Angriffen sind ebenfalls mehrschichtig aufgebaut. Massnahmen können an verschiedenen Stellen getroffen werden, zum Beispiel bei unseren Internetprovidern, auf Routern oder auf den Firewalls der Server. Auch der von uns eingesetzte Webserver LiteSpeed kennt Mechanismen zur Mitigation von DDoS-Angriffen. Je nach Art und Umfang der Angriffe haben wir auch die Möglichkeit, den gesamten Datenverkehr innert weniger Sekunden über ein sogenanntes «Scrubbing-Center» umzuleiten. Dort wird dann der «gute» vom «bösen» Datenverkehr getrennt und ausgesiebt.

Immer wieder tauchen inzwischen auch Schweizer Webhosting-Anbieter als Opfer von Phishing-Kampagnen auf. Haben es die Cyberkriminellen dabei vor allem auf Kreditkartendaten abgesehen?

Kreditkartendaten sind sicher das offensichtlichste Ziel. Aber man darf nicht vergessen, dass Phisher für ihre «Arbeit» auf weitere Werkzeuge angewiesen sind, nämlich Webspace und leistungsfähige E-Mail-Infrastrukturen. Naheliegend deshalb, bei Phishing-Versuchen gegen Webhosting-Kunden nicht nur deren Kreditkartendaten zu ergaunern, sondern gleichzeitig Login und Passwort für deren Webhosting-Account, um diesen später dann für den Versand der gefälschten E-Mails und in wenigen ­Fällen fürs Hosting der nächsten Phishing-Site zu missbrauchen.

Und wie gehen Sie dagegen vor?

Es fängt bei der Sensibilisierung unserer Kundinnen und Kunden an. Gerade erst haben wir eine neue Informationsseite über Phishing veröffentlicht. Daneben informieren wir ­regelmässig per E-Mail, spielen das Thema im Newsletter und empfehlen, wenn immer möglich, die Zwei-Faktor-Authentifizierung zu nutzen. Ist eine Phishingwelle in Gang, informieren wir proaktiv, zum Beispiel mit auffälligen Warnbannern auf unserer Website und im Webmail. Zudem blockieren wir die Zustellung der E-Mails, ­sammeln relevante Daten und informieren Stellen wie das Nationale Zentrum für Cybersicherheit NCSC oder ­Dienste wie Google Safe Browsing. Gleichzeitig versuchen wir, eine Sperrung beim Webhoster der Phishing-Seite zu erreichen. Auf der anderen Seite machen wir es Phishern so schwer wie möglich, unsere Infrastruktur zu missbrauchen. Etwa, indem wir überwachen, ob jemand plötzlich Tausende von E-Mails verschicken will und wir den Versand ausbremsen oder ob innerhalb kürzester Zeit unverhältnismässig viele E-Mail-Adressen erstellt werden. ­Zudem sind unsere Anti-Phishing-Systeme darauf trainiert, Muster zu erkennen und entsprechend zu alarmieren. Dabei haben sie alle Hände voll zu tun, von zirka 3 Millionen eingehenden E-Mails pro Tag werden über 60 Prozent blockiert.