Cyberangriffe gefährden Betriebe

Headless CMS schützt die eigenen IT-Systeme

„Ich bin davon überzeugt, dass hierzulande das Risikobewusstsein in Unternehmen weiter steigen muss, weil die Gefährdung der Betriebe durch Cyberattacken erheblich zunimmt“, betont Frederik Scheele von Standpunkt Digital. So illustrieren beispielsweise die Webseiten von Akamai die Vielzahl der aktuellen weltweiten Seiten-Aufrufe, Cyber-Angriffe und Bedrohungen. Daher sei es aus Sicht des Dortmunder Digitalexperten unabdingbar, „in die Sicherheit eigener IT-Systeme zu investieren“.

Eine wirkungsvolle vorbeugende technische Maßnahme wäre hierbei die Nutzung eines sogenannten Headless Content Management Systems (CMS), um flexibel vielfältige Kundenerlebnisse zu schaffen, Kommunikationskanäle zu bespielen und gleichzeitig die Inhalte und (Kunden-)Daten wesentlich besser zu schützen. „API-first lautet daher die Devise!“, erläutert der IT-Experte.
 

Cyberangriffe nehmen zu

Der „Lagebericht Security 2022“ weist darauf hin, dass weltweit 65 Prozent der Unternehmen deutlich mehr Angriffe registriert hätten. Hierbei gerieten die „Sicherheitsteams“ vielfach an ihre Belastungsgrenzen. Sie müssten viel Arbeitszeit aufwenden, Personal abstellen und Geld in die Hand nehmen, um die hierdurch entstandenen Schäden zu beheben.

Auch hierzulande seien vielfältige Cyberattacken zu beobachten, die Schadenssummen von über 200 Milliarden Euro pro Jahr verursachten, wie eine aktuelle Bitkom-Studie verdeutlicht. So seien beispielsweise derzeit die „IT-Systeme der IHK-Organisation“ deutschlandweit gestört. Die IHK-Verbände seien Anfang August dieses Jahres Opfer einer Cyberattacke geworden. Die Auswirkungen sind seit Wochen weiterhin zu erkennen, wie der Deutsche Industrie- und Handelskammertag (DIHK) auch auf den eigenen Webseiten andeutet.

„Vermutlich werden auch die Angriffsversuche von Cyberkriminellen noch zunehmen“, befürchtet der Geschäftsführer des Dortmunder IT-Unternehmens, Frederik Scheele. Dabei spiele es keine Rolle, wie groß oder klein ein Betrieb sei. „Jedes Unternehmen, jede Organisation oder Institution kann das Ziel eines Hackerangriffs sein.“ Dabei hätten es Cyberkriminelle häufig auf die Daten Dritter wie beispielsweise Kundendaten abgesehen, offenbart die Bitkom-Studie.

Die Bedrohungen der IT sind hierbei vielfältig, sei es durch:

  • die Streuung von Ransomware. Gemeint ist hier eine Schadsoftware, die nachhaltig den Zugriff auf eigene Systemdateien oder persönliche Dateien verhindert. Beispielsweise seien in den letzten Jahren Unternehmen des Gesundheitswesens Ziele schwerwiegender Ransomware-Angriffe gewesen, die zur Unterbrechung lebenswichtiger Versorgungsketten geführt habe (vgl. hierzu Akamais „Ransomware Threat Report 2022“, S. 9).
  • DDoS-Attacken (Distributed Denial-of-Service), um gezielt fremde Netzwerkressourcen durch permanente System-Anfragen zu überlasten und dadurch den Betriebsablauf nachhaltig zu stören, wie das beim Angriff auf die IT-Systeme der IHK-Organisation der Fall gewesen sein soll.
  • Brute-Force-Angriffe nach dem Trial-and-Error-Prinzip, um Passwörter, verborgene Webseiten oder Benutzernamen zu identifizieren bzw. zu dechiffrieren. Hierbei können abwechslungsreiche Kombinationen aus mindestens 14 Zeichen (Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen) enorm helfen, einem Brute-Force-Angriff parieren zu können.


Nach einem wahrscheinlichen Cyberangriff sind die Betriebsabläufe der IHK-Verbände seit

Wochen beeinträchtigt. (Quelle: Homepage des Deutschen Industrie- und

Handelskammertages, abgerufen: 06. September 2022)

Headless CMS: ausbaufähig und flexibel

Ein Headless CMS unterscheidet sich deutlich von klassischen Content Management Systemen wie WordPress, Typo3 oder Magento, indem es im Gegensatz zu solchen Systemarchitekturen auf die Verbindung mit einem Frontend (Head) verzichtet. Es besteht lediglich aus einem Backend, das von einem Frontend abgeschnitten ist und somit als kopflos beschrieben werden könne (Headless).

„Die im Backend hinterlegten Inhalte lassen sich über eine oder mehrere sogenannte API(s) (Application Programming Interface) an verschiedene Benutzeroberflächen (Frontends) ausspielen“, erläutert Scheele. Dabei ist es gleichgültig, um welche möglichen Kommunikationskanäle es sich handele. Die Kompatibilität der Module sei durch die Schnittstellen grundsätzlich gegeben.

Die für die User sichtbaren und nutzbaren Benutzeroberflächen (Frontends) können sein:

  • Webseiten,
  • Newsletter,
  • Applikationen,
  • Online-Shops,
  • POS-Systeme oder
  • soziale Netzwerke.

Die APIs fungieren somit als Vermittlerinnen zwischen den einzelnen Medien. Vielfach werden diese flexiblen Schnittstellen auch als REST-API (Representational State Transfer) oder RESTful-API bezeichnet. Im Prinzip handelt es sich hiermit um Brücken, die es ermöglichen, Informationen mit anderen Anwendungen auszutauschen.

Headless CMS bietet Schutz vor Cyberangriffen

Vielfach fungieren Webseiten, Applikationen, Software oder E-Mails als mögliche Einfallstore für Cyberkriminelle. Wenn es Hackern gelingen sollte, über eine Sicherheitslücke eines Kommunikationskanals in das IT-System eines Betriebs einzudringen, dann bleiben trotzdem die anderen Dienste und ihre Backend-Systeme bei einem Headless CMS davon unberührt und gesichert.

Allein durch die Trennung des Frontends vom Backend ist ein Headless CMS wesentlich sicherer als viele klassische CMS. Eine Verbindung wird lediglich geschaffen durch die APIs, die sich um den Datentransfer zwischen dem Backend und den unterschiedlichen webbasierten Anwendungen kümmern. Dabei definieren wiederum die Endpunkte den Ort des Datenaustausches in der API. Nur die Endpunkte erlauben es, mit einer API zu interagieren.

Somit kommt hier ein weiterer signifikanter Sicherheitsaspekt eines Headless CMS ins Spiel, wie Frederik Scheele ausführt: „Ein Zugriff auf das IT-System eines Betriebs über eine API ist ohne Kennung von Endpunkten und mithilfe standardisierter Sicherheitseinstellungen sehr unwahrscheinlich.“