Wenn die eigene Internetseite plötzlich weg ist

Wenn die eigene Internetseite plötzlich weg ist
Neonazis schafften es am Mittwoch, Webseiten der KZ-Gedenkstätte Buchenwald zeitweise abzuschalten - eine Gefahr, die prinzipiell jedem Internetanbieter droht, wie die Vergangenheit zeigt. Selbst große Anbieter wurden immer wieder das Opfer von Netzpiraten. Wie kann man sich davor schützen?
29.07.2010
Von Thomas Östreicher

Als Jens-Christian Wagner am Mittwoch dieser Woche im thüringischen Nordhausen den Bürocomputer einschaltete, traute er seinen Augen kaum. Anstelle der gewohnten Internetstartseite begrüßte ihn der freche Spruch "Brown is beautiful" (braun ist schön), dazu der Hinweis "Wir kommen wieder".

Die Homepages der KZ-Gedenkstätten Buchenwald und Mittelbau-Dora waren offenbar von Neonazis gekapert worden, eine Seite führte gar direkt auf eine Webseite von Holocaustleugnern. "Da ist man natürlich etwas irritiert", kommentierte Wagner am Tag danach mit leichtem Sarkasmus die Aktion. Schlimmer noch: Die Inhalte von dora.de waren komplett gelöscht, sogar die Sicherungskopien auf dem Server.

Angreifer mit schlechtem Timing

Glück im Unglück: Der Täter starteten die Aktion pünktlich zu Beginn des Arbeitstages. "Es war blöd von dem Hacker, dass er es morgens gemacht hat", so der Leiter der Gedenkstätte Mittelbau-Dora zu evangelisch.de. Ein Angriff nachts oder am Wochenende wäre kaum so schnell aufgefallen. Um 9.32 Uhr wurde die Manipulation bemerkt, um 9.47 Uhr, nach nur 15 Minuten, waren die Seite schon gesperrt. Den Angriff selbst - der erste seiner Art auf eine deutsche NS-Gedenkstätte - findet der Historiker "eigentlich ziemlich plump". Er zeige jedoch, "dass die Rechtsextremisten technisch aufgerüstet haben".

Nicht nur sie. Hackerwebseiten wie zone-h registrieren eine sprunghaft ansteigende Zahl von "Defacement"-Fällen, bei denen Dritte die Startseite von Internetauftritten verändern - allein im April 2010 soll es sich um 95.000 unerlaubte Zugriffe handeln, die sogar in einem permanent aktualisierten Archiv dokumentiert sind. Das ist gut die Hälfte mehr als im Jahr zuvor. Nicht wenige dieser Angriffe waren spektakulär - und manchmal ging sogar die komplette Internetadresse in den Besitz von Piraten über:

  • Im August 2004 leitete ein 19-jähriger Computerexperte aus dem Kreis Helmstedt die Besucher der Auktionsseite eBay.de auf eine Spieleseite um. Er hatte laxe Kontrollen ausgenutzt und sich kurzzeitig die Domain sichern können.
     
  • Eigentlich sollte dort die US-Flagge wehen - doch im Juli 2005 kontrollierten Unbekannte mehrere Tage lang die Webseite der US-Basis Guantánamo.
     
  • Im September 2006 verwendete eine Berliner Werbeagentur unter dem Motto "Chancen durch Umsatz (C.d.U.)" plötzlich die Adresse www.cdu-donaueschingen.de, die eigentlich den baden-württembergischen Christdemokraten gehörte. Damit sollte die Wirksamkeit von sogenanntem "Guerilla-Marketing" demonstriert werden.
     
  • "Für diese Domain wurden keine Inhalte hinterlegt", hieß es im Januar 2007 für kurze Zeit unter google.de. Ein fremder User hatte behauptet, Inhaber der Rechte für die Domain google.de zu sein und beantragt, sie auf seinen Namen zu überschreiben. Der Antrag wurde vollautomatisch bearbeitet - und erst Stunden später korrigiert.
     
  • Selbst angeblich besonders sichere Seiten weisen Lücken auf: Im Mai 2007 wurde bekannt, dass die Internetseiten einiger deutscher Sparkassen von findigen Spezialisten gekapert und durch gefälschte Seiten ersetzt werden konnten. Mittels "Cross Site Scripting" und "Frame Spoofing" erschien die Originaladresse der entsprechenden Sparkasse im Browserfenster beim Besuch einer gefälschten Bankingseite. Die Nutzer merkten nichts davon, dass sie auf einer Spionageseite gelandet waren.
     
  • Im Sommer 2008 gelang es Hackern, Besucher der US-Seite google.com kurzzeitig auf eine gefälschte, mit Werbung versehene Seite umzuleiten.
     
  • Anfang 2009 kaperten marokkanische Hacker israelische Websites, indem sie deren Zugangsdaten benutzten. Ziel: Protest gegen den Einmarsch im Gaza-Streifen.

Insider gehen davon aus, dass die Zahl der wegen krimineller Geschäftsinteressen gekaperten und manipulierten Webseiten längst größer ist als die der von vornherein mit schadhaften Programmen versehenen Adressen. Für die Täter ist es lohnender, als vertrauenswürdig geltende Adressen mit Schadprogrammen zu versehen - so geschehen Anfang 2006, als der Besuch des Webauftritts der Super Bowl in Miami auf dem Computer vieler Nutzer automatisch unerwünschte Software installierte.

Sorglosigkeit an der Tagesordnung

"Viele Inhaber einer Webseite haben von der Materie wenig Ahnung, übergeben die Verantwortung an ihren Internetdienstleister, und meistens war's das dann." Jürgen Kuri, stellvertretender Chefredakteur des Fachblatts "c't Magazin" in Hannover, macht vor allem die rechtmäßigen Betreiber für derartige Probleme verantwortlich.

Die Homepage von Familie Mustermann sei davon seltener betroffen, denn Privatpersonen legten ihre Daten meist auf Großrechnern von Anbietern wie 1&1 oder Strato ab. Wer allerdings mit einem eigenen Server arbeite, wie das oft schon kleine Unternehmen und Organisationen tun, komme nicht darum herum, sich regelmäßig um die Daten- und Zugangssicherheit kümmern. "Da wird es schon problematischer", gibt Kuri zu bedenken.

Sorglosigkeit sei hingegen an der Tagesordnung: "Meistens stehen die Server ja nicht zu Hause bei den Inhabern der Seite, sondern zum Beispiel in einem Rechenzentrum. Das heißt, man muss immer aus der Ferne darauf zugreifen können - für die Einrichtung der Internetseite, für inhaltliche Veränderungen, die Wartung und so weiter." Die Aufgabe laute darum, die eigenen Zugriffe auf die Daten abzusichern. "Es kommt immer wieder vor, dass zu einfache Passwörter gewählt werden, weil man gar nicht auf die Idee kommt, dass jemand diesen Webserver kapern möchte. Und dann ist es schon passiert."

Schutz ist möglich

Das Kapern sei in jedem Fall kriminell, sagt Kuri, das Ausspionieren von Passwörtern mittels Trojanern findet er "ganz übel". Defacement sei auch alles andere als harmlos. "Es gibt zwar Spinner, die sich aus dem Webseitenkapern einen Spaß machen. Die schreiben dann wie kleine Kinder zur Selbstbestätigung ein paar dumme Sprüche auf die Seite." Im Fall der Gedenkstätte stecke dagegen "schon eine ganz andere kriminelle Energie dahinter". Als mögliche Straftatbestände kämen Datenspionage infrage, die unrechtmäßige Veränderung von Daten "und ganz normale Sachbeschädigung".

Wie man sich als Betreiber einer Webseite schützen kann? "Man muss die üblichen Sicherheitsvorkehrungen beachten wie ein ein normaler Nutzer auch", sagt Jürgen Kuri. "Also dafür sorgen, sich keine Viren einzufangen, die Passwörter ausspähen, außerdem die Software aktuell halten - auch die auf dem Webserver - und möglichst komplizierte Zugangsdaten wählen." Sicherungskopien der Daten gehörten selbstverständlich dazu.

Für den jüngsten Internetangriff auf die NS-Gedenkstätten kommt dieser Rat zu spät. Doch Jens-Christian Wagner sieht den Vorgang auch positiv: "Das Schöne dabei ist, dass die neue Homepage viel besser wird als die alte."


Thomas Östreicher ist freier Mitarbeiter bei evangelisch.de.