20.05.2021 · Business / Tech

Vorsicht mit der eigenen Domain

Das Google Ranking ist für sehr viele Unternehmen absolut überlebenswichtig. Ob man einen eigenen Online-Shop betreibt, Tisch-Reservierungen entgegennimmt oder die eigenen Dienstleistungen bewirbt – Google ist aus unserem Alltag kaum mehr wegzudenken. Jedoch findet man auch Schattenseiten – so gibt es Beispiele über falsch hinterlegte Öffnungszeiten bei Google, welche dafür sorgten, dass Restaurants dadurch leer blieben oder Läden nicht mehr besucht wurden.

Einer der wichtigen Faktoren für Google ist der geschriebene Textinhalt, welcher auf deiner Webseite zu finden ist. Google crawled regelmässig alle Links einer Domain ab und analysiert diesen Inhalt. Mit diesem Crawl-Vorgang durchsucht Google aber nicht nur für den Textinhalt, sondern auch alle Dateien. Die Informationen, welche Google daraus generiert, landen nicht nur in der Google Suche, sondern fliessen auch in viele weitere Dienste.

Google Safe Browsing

Seit 2007 betreibt Google den Dienst Safe Browsing. Dies ist eine Blacklist von Domains, bei welchen der Google Crawler Viren, Malware oder Phishing festgestellt hat.

Diese Daten werden in verschiedenen Google-Produkte wie Chrome, Android, Ads und Gmail verwendet, um die Benutzer vor Schäden zu schützen. Aber auch andere Software kann auf die Google Blacklist zugreifen, so z.B. Apple Safari, Mozilla Firefox und Instagram.

Risiken für die eigene Domain

Es gab bereits einige Startups und SaaS-Dienstleister, welche versehentlich auf der Liste gelandet sind. Beispiele dafür findet man zuhauf. Für die Betroffenen ist dies meist ein massives Learning und ist ein gutes Beispiel dafür, weshalb man auf der produktiven Domain auf keinen Fall Tests machen sollte. Nachfolgend haben wir einige Beispiele gesammelt, welche auf der Hauptdomain vermieden werden sollten.

Beispiel 1: Up- und Download-Dienst anbieten

Der Datenaustausch zwischen Unternehmen ist selbst in Zeiten von WeTransfer und anderen Diensten trotzdem ein Problem - vor allem für kritische Unternehmensdaten. Deshalb bieten einige Unternehmen (meist auf einer Subdomain) Dienste an, um Daten sicher von Unternehmen A zu Unternehmen B zu transportieren. Auch diese Daten können indexiert werden. Falls diese Daten jedoch kompromittiert sind, kann dies unternehmensweit Probleme auslösen: die Seite wird von Google sehr schnell geblacklisted. Jeder Nutzer erhält anschliessend eine Warnmeldung beim Besuch der Domain.

Tipp: Bieten Sie Daten grundsätzlich nicht ungeschützt über das Web zum Download an. Es sollte SFTP, ein Passwortschutz o.ä. genutzt werden.

Beispiel 2: Downloads anbieten

Auch eigene Downloads können zu Probleme führen, egal ob sie von anderen Benutzern oder von Mitarbeitern angeboten werden. So können beispielsweise Dateien als false-poitives von AntiViren Software erkannt werden und die Domain dadurch auf der Blacklist landen.

Tipp: Nutzen Sie eine eigene Domain zum Ausliefern. Auch gibt es seit einigen Jahren sehr viele neue, generische Domain-Endungen (wie z.B. .xyz oder .download) wovon viele unregistriert sind.

Beispiel 3: ungesicherte Testumgebungen

Viele Firmen betreiben eine Testumgebung der eigenen Webseite auf einer Subdomain. Oft wird nicht darauf geachtet, dass die Software auf diesen Testumgebungen aktuell ist, da sie zu wenig verwendet und überwacht wird. Dadurch können Hacker schneller eindringen und selber Schadcode auf der Webseite einschleusen. Schlimmstenfalls sind Test- und Produktionsumgebung nicht getrennt, so dass sie auch an die produktiven Daten gelangen können.

Tipp: Fügen Sie eine simple HTTP Basic Authentifizierung oder ähnliches hinzu, um die Testumgebung vor unberechtigten Zugriffen und Indexierung von Google zu schützen.

Beispiel 4: Subdomain auf externe IP Adresse

Durch IaaS-Anbieter ist es mittlerweile sehr einfach, schnell neue virtuelle Server zu starten. Meist erstellt man kurzerhand einen DNS Pointer auf diese neue IP. Einige Wochen später löscht man die virtuelle Maschine wieder, der DNS Pointer wird aber oft vergessen. Dadurch ist eine IP-use-after-free Attack möglich. Der neue Besitzer der IP (der ebenfalls eine Cloud VM gestartet hat und die ehemalige IP zugewiesen bekam) kann nun deine Subdomain verwenden, SSL Zertifikate ausstellen und Inhalte oder Downloads publizieren.

Tipp: Prüfen Sie regelmässig (mind. 1x pro Monat) die DNS Einträge auf deren Aktualität und löschen Sie alte Einträge. Am besten nutzen Sie für Tests nicht die produktive Domain.

Weitere Sicherheitsmassnahmen

Natürlich gibt es noch viel mehr, was wichtig ist, damit die Domain sicher ist. Dazu gehören:

  • Einen seriösen Domain-Registrar auswählen und unbedingt Transfer Lock und 2-Faktor-Authentifizierung aktivieren. So ist die Domain vor Diebstahl geschützt. Wir arbeiten seit Jahren mit INWX AG zusammen und haben ausschliesslich positive Erfahrungen gesammelt.
  • DNSSEC aktivieren, damit die Besucher der Webseite die DNS Einträge auf Echtheit prüfen können.
  • Den SPF Eintrag so konfigurieren, dass nur Server eine E-Mail mit Ihrem Domain-Namen versenden können, welche explizit erlaubt sind. Zudem sollten Sie DKIM nutzen, um die E-Mails zu signieren.
  • Prüfen Sie alle DNS Einträge regelmässig, um z.B. nicht mehr benötigte aufzuräumen.

Zusammenfassung

Die eigene Domain - vor allem wenn sie für den produktiven Betrieb im Unternehmen genutzt werden - sollte vorsichtig behandelt werden und wirklich nur für produktive Dienste genutzt werden. Achten Sie darauf, dass nur IT-affine Mitarbeiter der eigenen Firma oder der Partner Inhalte auf dieser Domain publizieren können. Es ist sinnvoll, weitere Domains für Testumgebungen usw. einzuführen. Das 4-Augen-Prinzip, wie auch regelmässige Audits, sollten genutzt werden, um die Domain weiter abzusichern.

Foto von Amol Tyagi auf Unsplash

Weiterstöbern

Business / News / Tech
Best of March/April

In unserer regelmässigen Blog-Serie «Best of» fassen wir die interessantesten Neuigkeiten aus unserem Umfeld zusammen.

Möchten Sie mehr erfahren?

Ueli Banholzer
Geschäftsführer
+41 31 511 26 27
ueli@whatwedo.ch

Das ist whatwedo

whatwedo ist ein Software-Studio aus Bern, welches individuelle Web-Applikationen und Software auf Basis von modernen Technologien entwickelt.

get in touch 
with whatwedo