Malware-Infektion verhindern

Damit du von Malware verschont bleibst, musst du immer wachsam sein. Dieser Artikel enthält Tipps und Hinweise dazu, wie du eine Infektion mit Malware verhindern kannst. Allerdings ist er bei Weitem nicht vollständig. Google weist Websiteinhaber deshalb ausdrücklich darauf hin, Informationen auch durch weitere Recherchen einzuholen.

Status deiner Website überwachen

Viele Funktionen der Search Console können dir dabei helfen, mögliche Probleme zu identifizieren. Beispiel:

  • Du kannst mit dem Suchoperator site: in Google suchen, um zu sehen, welche Seiten Google auf deiner Website gefunden hat. Wir empfehlen, diese Suche regelmäßig durchzuführen, denn so findest du auch Seiten und Inhalte, die jemand ohne dein Wissen auf deiner Website platziert haben könnte. Wenn du auf deiner Website unbekannte Seiten oder Themen findest, die du nicht verfasst hast, kann das bedeuten, dass sie gehackt wurde. Der Suchoperator site: kann verwendet werden, um deine Suche auf eine bestimmte Website einzuschränken. Beispielsweise erhältst du mit der Suchanfrage site:developers.google.com nur Ergebnisse von der Google Developers-Website.
  • Im Bericht Sicherheitsprobleme findest du alle gehackten Seiten, die Google auf deiner Website gefunden hat, sowie eine Anleitung zur Behebung des Problems.
  • Wenn Google Malware auf deiner Website findet, wird im Nachrichtenbereich der Search Console eine Benachrichtigung angezeigt. Damit du die Benachrichtigung schnell erhältst, kannst du die Nachrichten an dein E-Mail-Konto weiterleiten lassen.

Sicherheits-Checkliste

Zusätzlich zur regelmäßigen Überprüfung deiner Website empfehlen wir Folgendes:

Alle Websiteinhaber

  • Wähle sichere Passwörter. Die Google-Kontorichtlinien können dir dabei helfen.
  • Wähle deine Drittanbieter für Inhalte sorgfältig aus. Achte darauf, dass Drittanbieter-Apps und -Anzeigen auf deiner Website aus vertrauenswürdigen und seriösen Quellen stammen. Eine solche Quelle verfügt über Support- und Kontaktinformationen auf der Website.
  • Wende dich an deinen Hosting-Anbieter oder deine Publishing-Plattform, um Support zu erhalten. Die meisten Unternehmen haben hilfreiche und schnell erreichbare Supportgruppen und/oder Seiten mit Sicherheitsinformationen. Wenn eine solche Seite oder Website einen RSS-Feed aufweist, abonniere diesen, um immer auf dem neuesten Stand zu bleiben.
  • Schütze alle deine Computer. Besonders dann, wenn du eine Website betreibst, solltest du darauf achten, dass dein Arbeitscomputer über aktuelle Software verfügt, dass er frei von Viren, Trojanern oder ähnlicher Malware ist und dass darauf eine kürzlich aktualisierte Antivirensoftware installiert ist.

Websiteinhaber mit Serverzugriff

  • Prüfe deine Serverkonfiguration. Apache bietet einige Tipps zur Sicherheitskonfiguration auf seiner Website an und bei Microsoft finden sich einige Tech Center-Ressourcen für IIS. Einige dieser Tipps enthalten Informationen zu Verzeichnisberechtigungen, SSI (Server Side Includes), Authentifizierung und Verschlüsselung.
  • Erstelle eine Sicherheitskopie der Datei .htaccess oder eines anderen, von deiner Website-Plattform verwendeten Mechanismus zur Zugriffssteuerung. Verwende deine Sicherung zur Wiederherstellung, wenn im Folgenden ein Fehler auftreten sollte. Du kannst die Sicherung löschen, wenn du fertig bist.
  • Informiere dich immer über aktuelle Softwareaktualisierungen und -Patches. Es gibt viele Tools, mit denen Websites schnell und einfach erstellt werden können. Jedes dieser Tools birgt aber auch ein gewisses Risiko von Sicherheitslücken, die von Hackern ausgenutzt werden können. Ein häufiger Stolperstein für Websiteinhaber ist die Installation von Foren oder Blogs auf ihrer Website, die sie dann nicht mehr kontrollieren. Genau wie bei einem Auto, das man regelmäßig zur Inspektion bringt, muss auch bei installierter Software darauf geachtet werden, dass sie regelmäßig aktualisiert wird. Erstelle eine Liste jeglicher Software und aller Plug-ins, die du auf deiner Website verwendest, und dokumentiere die Versionsnummern und Updates. Auch wenn du sorgfältig vorgehst und alle Komponenten deiner Website auf dem aktuellen Stand hältst, kannst du trotzdem Opfer von Hackern werden, wenn dein Webhosting-Anbieter nicht die neuesten Betriebssystem-Patches installiert hat. Das ist nicht nur ein Problem kleinerer Websites. Auch die Websites von Banken und Sportmannschaften sowie Unternehmen und Regierungsbehörden waren in der Vergangenheit bereits betroffen.
  • Prüfe deine Protokolldateien. Protokolldateien regelmäßig zu prüfen bringt viele Vorteile mit sich – nicht zuletzt ein höheres Maß an Sicherheit. So können unbekannte URL-Parameter wie =http: oder =// oder stark erhöhte Zugriffe auf Weiterleitungs-URLs auf deiner Website darauf hinweisen, dass ein Hacker offene Weiterleitungen missbraucht. Beachte außerdem, dass Hacker oftmals versuchen, Protokolldateien zu verändern. Ergreife Maßnahmen, um diese Dateien vor Manipulation zu schützen. So kannst du z. B. ihren Standardspeicherort ändern, damit Hacker sie nicht einfach finden können.
  • Prüfe deine Website auf häufige Sicherheitslücken. Vermeide die Verwendung von Verzeichnissen mit offenen Berechtigungen. Dies ist in etwa damit vergleichbar, die Haustür weit offen stehen zu lassen.

    Prüfe ebenfalls mögliche Sicherheitslücken in Verbindung mit XSS (Cross-Site-Scripting) und SQL-Einschleusung.

  • Verwende sichere Protokolle. Google empfiehlt für die Datenübertragung statt Nur-Text-Protokollen wie Telnet oder FTP die Verwendung von SSH und SFTP. Bei SSH und SFTP kommt Verschlüsselung zum Einsatz und sie sind wesentlich sicherer.
  • Bleib beim Thema Sicherheit auf dem neuesten Stand. Im Google Security Blog findest du hilfreiche Informationen zur Onlinesicherheit und Verweise auf andere Ressourcen. Die Website der US-Behörde US-CERT (United States Computer Emergency Readiness Team) stellt technische Sicherheitswarnungen und -tipps bereit.

Wenn du als Search Console-Nutzer Probleme mit hartnäckigen oder nicht behebbaren Sicherheitsproblemen auf deiner Website hast, kannst du dich jederzeit an uns wenden.

Sicherheitsproblem melden