Angriff auf deinen Server - Das große Handbuch für Webmaster

Angriff auf deinen Server - Das große Handbuch für Webmaster

Von Chris Dimperl

Wer einen eigenen Webserver betreibt, ist ständig im Fadenkreuz. Unzählige automatisierte Scanner, Bots und gezielte Hackerangriffe tasten Tag für Tag das Internet ab – auf der Suche nach genau dem einen Server, auf dem eine kleine Schwachstelle lauert. Webmaster müssen sich deshalb bewusst sein: Sicherheit ist kein Zustand, sondern ein Prozess. In diesem Artikel beleuchten wir die wichtigsten Angriffsarten, erklären, wie sie funktionieren, und zeigen praxisnahe Schutzmaßnahmen, mit denen du deinen Server widerstandsfähig machst.

1. Angriffe auf Konten und Identitäten

Einer der häufigsten Einstiegspunkte in fremde Systeme sind Benutzerkonten. Angreifer versuchen mit automatisierten Methoden wie „Credential Stuffing“ gestohlene Passwörter aus Datenlecks auf deinen Login-Seiten einzusetzen. Beim sogenannten „Password Spraying“ testen sie eine Handvoll besonders häufiger Passwörter („123456“, „Passwort“, „qwerty“) gegen viele verschiedene Konten. So haben sie selbst dann Erfolg, wenn Nutzer scheinbar individuelle, aber schwache Kennwörter verwenden.

Abwehr: Hier hilft nur ein konsequentes Sicherheitskonzept. Starke Passwörter sind Pflicht, besser noch setzt man auf Passkeys oder Hardware-Keys (FIDO2). Außerdem sollten Multi-Faktor-Authentifizierung und Rate-Limiting Standard sein. Ein weiteres Schutzinstrument sind IP-Beschränkungen für Admin-Bereiche, sodass sensible Zugänge nur aus bekannten Netzen erreichbar sind.

Ebenso gefährlich ist der Diebstahl von Sitzungen. Gelingt es Angreifern, an Session-Cookies zu gelangen, können sie die Identität eines eingeloggten Benutzers übernehmen. Dem beugt man durch strenge Cookie-Einstellungen vor: HttpOnly, Secure und SameSite sind Pflicht. Sitzungen sollten außerdem nur kurz gültig sein und regelmäßig erneuert werden.

Eine moderne Masche ist die sogenannte MFA-Fatigue: Nutzer werden mit Authentifizierungsanfragen überflutet, bis sie irgendwann versehentlich auf „Bestätigen“ klicken. Auch Phishing-Seiten, die täuschend echt aussehen, sind allgegenwärtig. Hier helfen nur phishing-resistente Verfahren wie Hardware-Keys oder Passkeys. Zudem sollten Webmaster sicherstellen, dass ihre eigenen Domains korrekt per DMARC, SPF und DKIM abgesichert sind, um Marken-Phishing zu erschweren.

2. Angriffe auf Webanwendungen

Die größte Angriffsfläche bietet die eigentliche Webanwendung. Zu den Klassikern gehört die SQL-Injection: Dabei schleusen Angreifer eigenen Code in Datenbankabfragen ein und lesen oder manipulieren so Daten. Die Lösung ist simpel, aber entscheidend: immer vorbereitete Statements mit Parameterbindung verwenden und niemals Benutzereingaben direkt in SQL-Strings einsetzen. Zusätzlich sollte der Datenbanknutzer, den die Anwendung verwendet, nur minimale Rechte besitzen.

Ein weiteres Dauerproblem ist Cross-Site-Scripting (XSS). Hierbei schleusen Angreifer JavaScript in Webseiten ein, das dann im Browser anderer Nutzer ausgeführt wird – etwa, um Cookies zu stehlen. Der Schutz besteht in kontextbezogenem Escaping aller Ausgaben und dem Einsatz einer Content-Security-Policy (CSP), die nur erlaubten Code ausführt.

Eng verwandt ist Cross-Site Request Forgery (CSRF). Dabei wird ein eingeloggter Nutzer dazu gebracht, unbeabsichtigt eine Aktion auszuführen, etwa eine Passwortänderung. Abhilfe schaffen CSRF-Tokens und strenge Cookie-Einstellungen mit SameSite.

Moderne Bedrohungen wie Server-Side Request Forgery (SSRF) zielen darauf ab, dass dein Server interne Systeme oder Metadaten-Dienste abfragt. Hier helfen Ausgangsfilter (Egress-Kontrolle) und das konsequente Blockieren interner Adressbereiche.

Besonders gefährlich sind Angriffe, die direkt zu Remote Code Execution (RCE) führen – etwa durch unsichere Dateiuploads, Shell-Kommandos oder unsaubere Template-Engines. Daher gilt: Uploads niemals im Webroot speichern, MIME-Typen streng prüfen und wenn möglich Dateien neu enkodieren (z. B. Bilder). Shell-Kommandos sollten konsequent vermieden werden.

Eine unterschätzte Gefahr sind IDORs (Insecure Direct Object References): Angreifer greifen auf Ressourcen anderer Nutzer zu, indem sie IDs in URLs erraten. Deshalb muss die Anwendung immer prüfen, ob ein Nutzer auch wirklich berechtigt ist, auf die angeforderte Ressource zuzugreifen.

3. Netzwerk- und Protokollangriffe

Neben den Anwendungen selbst wird auch die Netzwerkebene angegriffen. DDoS-Attacken (Distributed Denial of Service) überfluten Server mit Anfragen, bis sie nicht mehr reagieren können. Klassische Schutzmaßnahmen sind CDNs und WAFs, die den Verkehr filtern, sowie strikte Rate-Limits. Große Anbieter bieten zudem „Scrubbing-Center“, die den Angriffstraffic abfangen, bevor er den Server erreicht.

Auch die TLS-Konfiguration ist ein beliebtes Ziel. Veraltete Protokolle oder unsichere Cipher-Suites erleichtern Angreifern das Abhören. Moderne Server sollten mindestens TLS 1.2, besser TLS 1.3 einsetzen, mit HSTS (HTTP Strict Transport Security), um Downgrades zu verhindern. Zertifikate lassen sich mit ACME-Clients wie Let’s Encrypt automatisiert erneuern.

4. Fehlkonfigurationen und Infrastruktur

Viele Angriffe gelingen gar nicht wegen komplexer Zero-Days, sondern durch banale Fehlkonfigurationen. Offene Admin-Panels, Standardpasswörter oder vergessene Debug-Modi sind beliebte Einstiegspunkte. Auch ungeschützte Backup-Dateien oder .git-Verzeichnisse im Webroot sind fatale Fehler.

Die Lösung: Admin-Bereiche gehören hinter VPNs oder IP-Restriktionen, Debugging hat in der Produktion nichts verloren, und sensible Dateien dürfen niemals öffentlich erreichbar sein. Dienste sollten zudem immer mit minimalen Rechten laufen, am besten in eigenen User-Kontexten.

Ein weiteres Muss ist konsequentes Patchmanagement. Nur wer regelmäßig aktualisiert, minimiert die Gefahr, Opfer automatisierter Exploits zu werden. Moderne Werkzeuge für Dependency-Scanning oder SBOMs (Software Bill of Materials) helfen, die Übersicht zu behalten.

5. Cloud, Container und CI/CD

Wer in der Cloud arbeitet, kämpft mit eigenen Gefahren. Offene Speicher-Buckets, zu breite IAM-Rollen oder frei zugängliche Datenbanken sind häufige Fehler. Hier gilt: Least Privilege in allen Rechten und konsequente Trennung von Umgebungen.

Auch Container und Kubernetes bergen Risiken. Unsichere oder manipulierte Images können ganze Cluster kompromittieren. Deshalb ist es wichtig, nur signierte Images zu nutzen, Admission Policies zu erzwingen und Container mit minimalen Rechten laufen zu lassen.

In der CI/CD-Pipeline drohen Supply-Chain-Angriffe. Wenn Angreifer es schaffen, in deine Build-Kette einzubrechen oder manipulierte Abhängigkeiten einzuschleusen, landet ihre Malware direkt in der Produktion. Isolierte Runner, konsequentes Secrets-Management und automatisiertes Scanning sind hier unverzichtbar.

6. Malware, Kryptominer und Ransomware

Server sind ein begehrtes Ziel für Kryptominer oder Ransomware. Der Einstieg gelingt oft über schwache SSH-Passwörter oder veraltete Dienste. Deshalb sollten SSH-Zugänge nur mit Schlüsseln erlaubt und Passwortlogins deaktiviert werden. Tools wie Fail2ban können Angriffe zusätzlich abbremsen.

Gegen Ransomware helfen vor allem Backups nach der 3-2-1-Regel: drei Kopien, auf zwei verschiedenen Medien, davon eine außer Haus oder unveränderlich gespeichert. Wichtig ist, regelmäßig zu prüfen, ob sich diese Backups auch tatsächlich wiederherstellen lassen.

7. Monitoring und Reaktion

Selbst bei allen Vorsichtsmaßnahmen kann es zu Vorfällen kommen. Deshalb ist Erkennung mindestens so wichtig wie Prävention. Zentralisierte Logs, Alarme bei ungewöhnlichen Mustern (z. B. plötzliche Anstieg von 401- oder 500-Fehlern) und Tools zur Integritätsprüfung der Dateien sind Pflicht.

Ein klarer Incident-Response-Plan hilft, im Ernstfall schnell zu reagieren: Vorfall erkennen, eindämmen, beheben, forensisch aufarbeiten und daraus lernen. Nur so verbessert man die eigene Abwehr kontinuierlich.

Fazit: Schichtenverteidigung ist der Schlüssel

Absolute Sicherheit gibt es nicht. Doch wer auf Defense-in-Depth setzt – also mehrere Schutzschichten von strenger Konfiguration über sicheren Code bis hin zu Monitoring und Backup –, reduziert das Risiko drastisch. Entscheidend ist, Sicherheit als kontinuierlichen Prozess zu begreifen.

Ein gehärteter Server, gepflegte Anwendungen, aktuelle Updates und klare Prozesse machen den Unterschied zwischen einem schnellen Totalausfall und einem souverän abgewehrten Angriff.