Business
Wie Softwareprojekte scheitern …… und wie dies vermieden werden kann. Eine persönliche Einschätzung wie Softwareprojekte zum Erfolg gelangen.
Das Google Ranking ist für sehr viele Unternehmen absolut überlebenswichtig. Ob man einen eigenen Online-Shop betreibt, Tisch-Reservierungen entgegennimmt oder die eigenen Dienstleistungen bewirbt – Google ist aus unserem Alltag kaum mehr wegzudenken. Jedoch findet man auch Schattenseiten – so gibt es Beispiele über falsch hinterlegte Öffnungszeiten bei Google, welche dafür sorgten, dass Restaurants dadurch leer blieben oder Läden nicht mehr besucht wurden.
Einer der wichtigen Faktoren für Google ist der geschriebene Textinhalt, welcher auf deiner Webseite zu finden ist. Google crawled regelmässig alle Links einer Domain ab und analysiert diesen Inhalt. Mit diesem Crawl-Vorgang durchsucht Google aber nicht nur für den Textinhalt, sondern auch alle Dateien. Die Informationen, welche Google daraus generiert, landen nicht nur in der Google Suche, sondern fliessen auch in viele weitere Dienste.
Seit 2007 betreibt Google den Dienst Safe Browsing. Dies ist eine Blacklist von Domains, bei welchen der Google Crawler Viren, Malware oder Phishing festgestellt hat.
Diese Daten werden in verschiedenen Google-Produkte wie Chrome, Android, Ads und Gmail verwendet, um die Benutzer vor Schäden zu schützen. Aber auch andere Software kann auf die Google Blacklist zugreifen, so z.B. Apple Safari, Mozilla Firefox und Instagram.
Es gab bereits einige Startups und SaaS-Dienstleister, welche versehentlich auf der Liste gelandet sind. Beispiele dafür findet man zuhauf. Für die Betroffenen ist dies meist ein massives Learning und ist ein gutes Beispiel dafür, weshalb man auf der produktiven Domain auf keinen Fall Tests machen sollte. Nachfolgend haben wir einige Beispiele gesammelt, welche auf der Hauptdomain vermieden werden sollten.
Der Datenaustausch zwischen Unternehmen ist selbst in Zeiten von WeTransfer und anderen Diensten trotzdem ein Problem - vor allem für kritische Unternehmensdaten. Deshalb bieten einige Unternehmen (meist auf einer Subdomain) Dienste an, um Daten sicher von Unternehmen A zu Unternehmen B zu transportieren. Auch diese Daten können indexiert werden. Falls diese Daten jedoch kompromittiert sind, kann dies unternehmensweit Probleme auslösen: die Seite wird von Google sehr schnell geblacklisted. Jeder Nutzer erhält anschliessend eine Warnmeldung beim Besuch der Domain.
Tipp: Bieten Sie Daten grundsätzlich nicht ungeschützt über das Web zum Download an. Es sollte SFTP, ein Passwortschutz o.ä. genutzt werden.
Auch eigene Downloads können zu Probleme führen, egal ob sie von anderen Benutzern oder von Mitarbeitern angeboten werden. So können beispielsweise Dateien als false-poitives von AntiViren Software erkannt werden und die Domain dadurch auf der Blacklist landen.
Tipp: Nutzen Sie eine eigene Domain zum Ausliefern. Auch gibt es seit einigen Jahren sehr viele neue, generische Domain-Endungen (wie z.B. .xyz
oder .download
) wovon viele unregistriert sind.
Viele Firmen betreiben eine Testumgebung der eigenen Webseite auf einer Subdomain. Oft wird nicht darauf geachtet, dass die Software auf diesen Testumgebungen aktuell ist, da sie zu wenig verwendet und überwacht wird. Dadurch können Hacker schneller eindringen und selber Schadcode auf der Webseite einschleusen. Schlimmstenfalls sind Test- und Produktionsumgebung nicht getrennt, so dass sie auch an die produktiven Daten gelangen können.
Tipp: Fügen Sie eine simple HTTP Basic Authentifizierung oder ähnliches hinzu, um die Testumgebung vor unberechtigten Zugriffen und Indexierung von Google zu schützen.
Durch IaaS-Anbieter ist es mittlerweile sehr einfach, schnell neue virtuelle Server zu starten. Meist erstellt man kurzerhand einen DNS Pointer auf diese neue IP. Einige Wochen später löscht man die virtuelle Maschine wieder, der DNS Pointer wird aber oft vergessen. Dadurch ist eine IP-use-after-free Attack möglich. Der neue Besitzer der IP (der ebenfalls eine Cloud VM gestartet hat und die ehemalige IP zugewiesen bekam) kann nun deine Subdomain verwenden, SSL Zertifikate ausstellen und Inhalte oder Downloads publizieren.
Tipp: Prüfen Sie regelmässig (mind. 1x pro Monat) die DNS Einträge auf deren Aktualität und löschen Sie alte Einträge. Am besten nutzen Sie für Tests nicht die produktive Domain.
Natürlich gibt es noch viel mehr, was wichtig ist, damit die Domain sicher ist. Dazu gehören:
Die eigene Domain - vor allem wenn sie für den produktiven Betrieb im Unternehmen genutzt werden - sollte vorsichtig behandelt werden und wirklich nur für produktive Dienste genutzt werden. Achten Sie darauf, dass nur IT-affine Mitarbeiter der eigenen Firma oder der Partner Inhalte auf dieser Domain publizieren können. Es ist sinnvoll, weitere Domains für Testumgebungen usw. einzuführen. Das 4-Augen-Prinzip, wie auch regelmässige Audits, sollten genutzt werden, um die Domain weiter abzusichern.
Foto von Amol Tyagi auf Unsplash
… und wie dies vermieden werden kann. Eine persönliche Einschätzung wie Softwareprojekte zum Erfolg gelangen.
Software Story Time: Wir erkl ären, was Open Source so spannend macht, und wieso es für IT-Rebels sowie für Sicherheitsjunkies genau das Richtige ist.