Sicherheit Archive - goneo Blog

28. April 202528. April 2025

Warum ein zertifiziertes Rechenzentrum für deine Website wichtig ist

Wir freuen uns, dass unsere Schwesterfirma MK Netzdienste GmbH & Co. KG bei der Zertifizierung nach DIN EN 50600 TÜV – Verfügbarkeitsklasse 2 – für das Rechenzentrum erfolgreich war.

In der digitalen Welt von heute, wo jede Sekunde zählt und Ausfallzeiten zu Umsatzeinbußen und frustrierten Nutzern führen können, ist die Wahl des richtigen Rechenzentrums für das Hosting deiner Website entscheidend.

Ein wesentlicher Faktor, den du dabei beachten solltest, ist, ob das Rechenzentrum hohe Industriestandards wie die DIN EN 50600 Verfügbarkeitsklasse 2 (VK2) Zertifizierung erfüllt.

Diese Zertifizierung steht für Zuverlässigkeit, Sicherheit und Effizienz – Qualitäten, die direkt den Kunden zugutekommen, die ihre Websites hosten. Lass uns erkunden, warum diese Zertifizierung ein echter Game-Changer für Unternehmen und Website-Betreiber ist. 🚀

Was ist DIN EN 50600 Verfügbarkeitsklasse 2?

Die DIN EN 50600 ist ein europäischer Standard für Rechenzentren, der strenge Anforderungen an Infrastruktur, Sicherheit und Betrieb stellt. Die Verfügbarkeitsklasse 2 (VK2) signalisiert eine Betriebszeit von 99,9 %. Das bedeutet, dass es pro Jahr nicht mehr als 9 Stunden oder etwa 44 Minuten pro Monat zu Ausfallzeiten kommen dürfte.

So wird diese Zuverlässigkeit erreicht:

Redundanzen in Strom-, Kühl- und Kabelsystemen zur Minimierung des Ausfallrisikos.
Geplante Wartung, die vorhersehbare und überschaubare Serviceunterbrechungen sicherstellt.
Umfassende Sicherheitsmaßnahmen, einschließlich Risikobewertungen, Brandschutz und physische Schutzvorkehrungen.
Robuste Managementprozesse zur Aufrechterhaltung eines konsistenten Betriebs und schnellen Reaktionen auf Probleme.

Nicht jedes Rechenzentrum erreicht diese Zertifizierung. Diejenigen, die es tun, zeigen ein Engagement für Exzellenz und bieten Website-Betreibern ein gutes Gefühl. 🙌

Warum eine Zertifizierung deiner Website zugutekommt

Für Kunden, die ihre Websites hosten, bietet die Wahl eines Rechenzentrums mit DIN EN 50600 VK2-Zertifizierung greifbare Vorteile:

Maximierte Betriebszeit für deine Website
Mit einer Verfügbarkeit von 99,9 % im Rechenzentrum ist deine Website fast immer online. Darauf gibt die Zertifizierungsstelle sozusagen Brief und Siegel. Deine Kunden können deine Dienste nutzen oder deine Produkte ohne Unterbrechung kaufen. Egal, ob du eine E-Commerce-Plattform, einen Blog oder eine Unternehmenswebsite betreibst, dieses Maß an Betriebszeit schafft Vertrauen und hält dein Publikum bei Laune.
Erhöhte Zuverlässigkeit durch Redundanzen
VK2-zertifizierte Rechenzentren verfügen über teilweise redundante Systeme für kritische Komponenten wie Strom und Kühlung. Das bedeutet, dass selbst wenn ein System ausfällt, Backup-Systeme einspringen, um den reibungslosen Betrieb deiner Website zu gewährleisten.
Vorhersehbare Wartung
Im Gegensatz zu nicht zertifizierten Rechenzentren, bei denen eine Wartung unerwartete Ausfälle verursachen kann, planen und kommunizieren VK2-Einrichtungen Wartungspläne im Voraus. So kannst du dich vorbereiten und deine Nutzer informieren, um minimale Auswirkungen auf deren Erlebnis zu gewährleisten.
Erstklassige Sicherheit für deine Daten
Sicherheit ist für jeden Website-Betreiber oberstes Gebot. VK2-Zertifizierung erfordert, dass Rechenzentren umfassende Risikoanalysen, Brandschutzsysteme und physische Sicherheitsmaßnahmen implementieren. Dies stellt sicher, dass die Daten deiner Website – und die Informationen deiner Kunden – vor Bedrohungen geschützt sind, von Cyberangriffen bis hin zu Naturkatastrophen.
Professionelles Management und Verantwortung
Ein VK2-zertifiziertes Rechenzentrum arbeitet nach strengen Managementprotokollen, die oft mit Standards wie ITIL oder ISO 20000 übereinstimmen. Das bedeutet, dass deine Website in einer Umgebung gehostet wird, in der die Leistung kontinuierlich überwacht und Probleme proaktiv angegangen werden. Für dich bedeutet das weniger Kopfschmerzen und mehr Fokus auf das Wachstum deines Unternehmens.
Wettbewerbsvorteil und Kundenvertrauen
Das Hosting deiner Website in einem VK2-zertifizierten Rechenzentrum signalisiert deinen Kunden und Partnern, dass du Qualität und Zuverlässigkeit priorisierst. Es ist ein Zeichen von Professionalität, das dich von Wettbewerbern abheben kann, die auf weniger strenge Einrichtungen setzen.

goneo: Standort Deutschland und sehr gutes Preis-Leistungs-Verhältnis

Ein wichtiger Aspekt, unabhängig von der Zertifizierung nach DIN EN 50600 ist der Standort der Rechenzentren.

goneo hostet in Deutschland. Dies bietet einen rechtlichen Vorteil in Bezug auf Datenschutz und Sicherheit. Das bedeutet auch, dass du von der hohen Qualität deutscher Standards profitierst. 🇩🇪

goneo bietet dir preiswerte Hosting-Produkte bei hoher Qualität – made in Germany. Unsere Lösungen sind nicht nur wirtschaftlich attraktiv, sondern auch mehrfach ausgezeichnet. Ein Beleg dafür ist die Auszeichnung auf Hosttest.de, wo goneo im ersten Quartal 2025 eine 100%ige Verfügbarkeit erreichte. Solche Anerkennungen zeigen, dass unsere Dienste nicht nur Versprechen sind, sondern gelebte Realität. 🙌

Webhosting & vServer Vergleich auf hosttest.de

Der Zertifizierungsprozess: Ein Vertrauenssiegel

Das Erreichen der DIN EN 50600 VK2-Zertifizierung ist keine leichte Aufgabe. Rechenzentren müssen sich einer strengen Überprüfung durch unabhängige Organisationen wie dem TÜV unterziehen. Die Überprüfung umfasst Folgendes:

Dokumentationsprüfung zur Sicherstellung der Einhaltung des Standards.
Vor-Ort-Inspektionen zur Überprüfung, dass Infrastruktur und Prozesse den VK2-Anforderungen entsprechen.
Laufende Audits zur Aufrechterhaltung der Zertifizierung über die Zeit.

Dieser gründliche Prozess stellt sicher, dass zertifizierte Rechenzentren ihre Versprechen konsequent einhalten, was dir Vertrauen in ihre Fähigkeit gibt, deine Website zuverlässig zu hosten.

Die DIN EN 50600 Zertifizierung umfasst eine Reihe von Standards, die sicherstellen, dass Rechenzentren höchsten Ansprüchen an Zuverlässigkeit und Sicherheit genügen. Hier ist ein Überblick über die verschiedenen Teile der Zertifizierung. Diese stellen sicher, dass goneo zusammen mit der Schwesterfirma dir ein erstklassiges Hosting-Erlebnis bieten:

DIN EN 50600-1: Allgemeine Konzepte

Dieser Teil legt die grundlegenden Prinzipien und Konzepte fest, die den gesamten Standard unterstützen. Er bildet die Basis für die Planung, den Bau und den Betrieb von Rechenzentren.

DIN EN 50600-2-1: Gebäudekonstruktion

Dieser Standard behandelt die baulichen Anforderungen an Rechenzentren, um die physische Sicherheit und den Schutz der Infrastruktur zu gewährleisten.

DIN EN 50600-2-2: Stromversorgung und Stromverteilung

Hier werden die Anforderungen an die elektrische Infrastruktur spezifiziert, um eine stabile und kontinuierliche Stromversorgung sicherzustellen.

DIN EN 50600-2-3: Regelung der Umgebungsbedingungen

Dieser Abschnitt beschreibt die notwendigen Maßnahmen zur Kontrolle und Aufrechterhaltung der optimalen Umgebungsbedingungen innerhalb des Rechenzentrums.

DIN EN 50600-2-4: Infrastruktur der Telekommunikationsverkabelung

Er legt die Standards für die Verkabelungsinfrastruktur fest, die eine zuverlässige und effiziente Datenübertragung ermöglicht.

DIN EN 50600-2-5: Sicherungssysteme

Dieser Teil behandelt die Implementierung von Sicherheitsmaßnahmen, um Rechenzentren vor physischen Bedrohungen und unbefugtem Zugriff zu schützen.

DIN EN 50600-3-1: Information für das Management und den Betrieb

Hierbei geht es um die Bereitstellung von Informationen und Verfahren. Sie sollen das effektive Management und den störungsfreien Betrieb des Rechenzentrums unterstützen.

Diese Standards sorgen dafür, dass die Infrastruktur, die goneo nutzt, den aktuellen Anforderungen entspricht. Sie sollen auch zukunftssicher und anpassungsfähig bleibt. Somit kannst du sicher sein, dass deine Website in einem Umfeld gehostet wird, bei dem Zuverlässigkeit und Spitzenleistung an erste Stelle stehen. 🌟🔧

Warum eine Zertifizierung für dein Unternehmen wichtig ist

Wenn deine Website das Herzstück deines Unternehmens ist – sei es für den Verkauf, die Kundenbindung oder die Markenpräsenz – kann jede Sekunde Ausfallzeit oder ein Sicherheitsvorfall schaden. Ein VK2-zertifiziertes Rechenzentrum minimiert diese Risiken und bietet eine stabile und sichere Grundlage für deine Online-Präsenz. Außerdem unterstützt du mit den in den Standard integrierten Energieeffizienzüberlegungen nachhaltige Praktiken. Bei umweltbewussten Verbrauchern von heute findet das Anklang. 🌍

Nächste Schritte

Wenn dein aktuelles Rechenzentrum nicht DIN EN 50600 VK2-zertifiziert ist, könnte es an der Zeit sein, Optionen zu erkunden, die dieses Maß an Zuverlässigkeit und Professionalität bieten. Durch die Wahl einer zertifizierten Einrichtung investierst du in die Leistung deiner Website, das Vertrauen deiner Kunden und den Erfolg deines Unternehmens.

Für weitere Informationen zur DIN EN 50600 besuche Ressourcen wie die Website des TÜV Saarlands, um fundierte Hosting-Entscheidungen zu treffen. Deine Website verdient das Beste – gib ihr das Fundament, das sie zum Gedeihen braucht!

27. März 202527. März 2025

Hey, Website-Träumer und Enthusiasten!

Stell dir vor, du bist bereit, deine eigene Website zu starten – ob ein Blog über dein Lieblingshobby, ein cooler Shop für deine selbstgemachten Meisterwerke oder einfach ein Platz, um deine Gedanken in die digitale Welt hinauszuschreien. Du durchforstest die Welt der Hosting-Anbieter, vergleichst Preis, Design und Features. Doch plötzlich stolperst du über mysteriöse Begriffe wie „NSA“, „Homeland Security“ und „Datenoffenlegung“. Klingt nach dem Stoff eines Hollywood-Thrillers? Willkommen in der Realität!

Vielleicht hörst du im Hintergrund dramatische Musik, aber wenn du einen US-amerikanischen oder mit den USA verbundenen Hosting-Service ins Auge fasst, ist das alles ganz real. Was bedeutet das für dich, der oder die sich in diese faszinierende Web-Welt wagt? Lass uns das in aller Ruhe entwirren – und zwar auf eine Art, die du auch ohne Jura-Studium verstehst. Und falls du noch zweifelst, such mal im Netz nach News von Leuten, die an der US-Grenze zurückgewiesen wurden. Grund: „Unpassendes“ auf ihrem Smartphone. Verrückt, oder?

Die Basics: Wer schaut über deine Schulter?

Während alle über KI, Weltpolitik und Zukunftsgedöns reden, schleicht sich ein Thema fast unbemerkt durch die Hintertür: Die Möchtegern-Detektive der Geheimdienste, die deine Online-Aktivitäten lieben. Bei amerikanischen Hosting-Providern – ja, auch bei Mail-Diensten – spielt das US-Recht die Hauptrolle. Und das ist ziemlich bedeutend. Denn mit Gesetzen wie dem Patriot Act, dem Foreign Intelligence Surveillance Act (FISA) oder dem CLOUD Act bewaffnet, können Behörden wie die NSA oder das Department of Homeland Security (DHS) freizügig Daten in die Finger bekommen – nicht nur von US-Bürgern, sondern auch deine, wenn dein digitales Dasein ihre Server streift.

Warum das Ganze? Offiziell? Nationale Sicherheit – Schutz vor bösen Dingen wie Terrorismus und Cybercrime. Aber lass uns ehrlich sein, es ist ein bisschen wie deine Mom, die heimlich dein Tagebuch durchblättert, „um sicherzugehen, dass alles in Ordnung ist“. Nur dass diese Behörden tonnenweise Daten durchkämmen – und du hast keine Ahnung.

Was genau müssen US-Provider tun?

Falls deine Webseite oder dein Mail-Account auf einem US-Provider läuft, kann dieser gezwungen werden, deine Daten rauszurücken – selbst wenn die Server in Europa sind! Sieh dir diese streng wirkenden CLOUD Act von 2018 an. Bestimmt die Richtung: Wo immer deine Daten auch sind, wenn’s eine Verbindung zum US-Unternehmen gibt, hat die NSA Durchgriffsrecht. Deine Katzenfotos, Kommentare von Besuchern oder Bestellungen in deinem kleinen Shop? Alles potenziell verfolgbar.

Der Clou: Provider müssen das oft geheim tun. Dank der „National Security Letters“ dürfen sie dir nicht mal bescheid geben. Stell dir vor, du lädst schnuckelige Urlaubsfotos hoch, und irgendwer in Fort Meade, Maryland, lehnt sich mit Popcorn zurück. Mega creepy, oder?

Warum das wichtig ist

Vielleicht denkst du jetzt: „Was will die NSA mit meinem Katzenblog?“ Fair point! Aber es ist nicht nur deine digitale Unschuld, die zählt. Wenn du Besucher hast, fallen Daten an – IPs, nette Kommentare oder Bestellungen. Und du musst diese Daten wahren, besonders unter der Datenschutz-Grundverordnung (DSGVO) hier in der EU – die steht auf Datensicherheit! Hier wird’s aber knifflig mit US-Providern.

Was bedeutet das für deinen Website-Traum?

Kopf hoch, es gibt Lösungen! Gerade am Start? Denk an Alternativen! Europäische Anbieter wie goneo in Deutschland unterliegen strengeren Datenschutzregeln und sind der NSA weniger verpflichtet. Je mehr ein Anbieter in den USA involviert ist, desto mehr greifen die US-Regeln. Wenn ein europäischer Anbieter in den USA Server betreibt oder dort die Services anbietet, ergeben sich mehr Ansatzpunkte. Sicher, vielleicht scheinen die Interfaces nicht so Starlight Express-mäßig stylisch, und ja, der Support ist auf Deutsch – aber hey, dafür bist du Uncle Sam einen Schritt voraus.

Der Reality-Check

Die NSA gräbt nicht nach jedem deiner Katzenmemes. Sie suchen Muster in riesigen Datenströmen. Aber das mulmige Gefühl bleibt. Und wenn du letztendlich größer wirst, vielleicht zum Business-Mogul, wird Datenschutz wichtiger. Deine Community zählt auf dich, und Vertrauen ist die Basis.

Übrigens, selbst europäische Anbieter mit US-Verbindung sind nicht sicher – sei’s, weil sie dort Geschäfte haben. Der CLOUD Act lässt auch da grüßen. Lustige Tatsache: goneo, wie ein Fels in der Datensicherheits-Brandung, arbeitet hier in good ol‘ Germany, nicht in Amiland.

Lerne die Hosting-Pläne von goneo kennen

Deine Website, deine Regeln

Als Millennial oder Gen X bist du vielleicht mit Tech-Hintergrund dabei – du weißt, Daten sind mächtig. Eine eigene Website ist dein digitaler Schlossturm, und du hast die Kontrolle über dessen Zugbrücke. US-Provider bieten oft ein prima Preis-Leistungs-Verhältnis, aber der Kompromiss bei Datenschutz ist real. Überleg dir gut, womit du leben kannst: Komfort oder Kontrolle? Wenn du mich fragst: Ein europäischer Anbieter und ein bisschen techy Know-How (zum Beispiel bei SSL-Zertifikaten) macht dich zum Chef deines Online-Universums, ohne die NSA im Schlepptau.

Also, schnapp dir den Laptop, wähle deinen smarten Anbieter – hey, wir sind für dich da – und starte deine digitale Odyssee! Teile deine Erlebnisse in den Kommentaren, ich bin gespannt!

Bleibt sicher und kreativ!

22. Januar 202522. Januar 2025

So sicherst du deine Kontaktformulare – Schütze deine Website vor Missbrauch

DALL·E 2023-08-18 13.47.47 - A criminal hacker is trying to intrude into a computer system to read unencrypted email messages. Landscape format

Spamschutz wird für jeden Webseitenbetreiber immer wichtiger. Vielleicht hast auch du bereits erlebt, wie Spam über Kontaktformulare deiner Seite versendet wurde.

Die Folge: E-Mails, auch legitime, konnten zeitweise an Empfänger bei großen E-Mail-Diensten nur eingeschränkt zugestellt werden.

Das ist ein Problem, das nicht nur deinen Hosting-Provider betrifft, sondern auch dich und deine Nutzer. Lass uns also gemeinsam genauer anschauen, wie Kontaktformulare zur Spamschleuder werden können und wie du dem effektiv entgegenwirken kannst.

Warum sind Kontaktformulare ein Ziel für Spam?

Kontaktformulare sind wichtig für die Kommunikation zwischen dir als Webseitenbetreiber und deinen Kunden. Leider sind sie auch beliebte Angriffsziele für Spammer. Dabei klingt der Begriff Spam eher harmlos. Es handelt sich bei der schädlichen Payload keineswegs immer um plumpe Werbung, sondern auch oft um Phishingversuche. Es wird nach unserer Beobachtung auch gerne versucht, Schadsoftware, getarnt als Bild oder Office-Datei, mitzusenden. Die Absenderadressen der Kontaktformulare erscheinen vielen Spamfiltern zunächst als „saubere Adressen“.

Das sind die häufigsten Schwachstellen bei der Implementierung von Formularen auf Webseiten:

Fehlende Validierung

Wenn deine Formulareingaben nicht ausreichend validiert werden, können Bots und Skripte sehr einfach automatisierte Spam-Nachrichten versenden. Das gefährdet nicht nur deine Server, sondern auch deine Kommunikationswege. Das ist die erste Line of Defense, wie die Fachleute sagen. Damit ist eine einfache Eingabeüberprüfung gemeint: Ohne Validierung kann das Formular z.B. jegliche Daten akzeptieren. Daher sollte man sicherzustellen, dass sie einem erwarteten Format entsprechen.

Keine CAPTCHA-Integration

Ohne CAPTCHA oder reCAPTCHA sind deine Formulare ein gefundenes Fressen für automatisierten Spam. CAPTCHA-Tools helfen dabei, echte Nutzer von Bots zu unterscheiden.

E-Mail-Injection

Ungeschützte Formulare erlauben es Angreifern, zusätzliche E-Mail-Header einzuschleusen. Dadurch können sie das Formular missbrauchen, um Spam-Mails zu versenden.

Fehlende Rate Limiting

Begrenze die Anzahl der Formularübermittlungen, um massenhafte Anfragen zu verhindern. So kann Mehrfacheingaben des immer gleichen oder nahezu gleichen Texts an unterschiedliche Adressen abfangen.

Was bedeutet Outbound-Spam für deinen Hosting-Provider?

Wenn über deine Seite Spam verschickt wird, kann das weitreichende Konsequenzen haben. Das sind die wichtigsten:

IP-Blockierung

Die IP-Adresse des Servers, der die Mail versendet,, könnte auf einer Blacklist landen, was auch die Zustellung legitimer E-Mails beeinträchtigt, auch die von anderen Usern.

Rufschädigung

Wird dein Provider als Spamversender gebrandmarkt, leidet auch dein Ruf. Vertrauen geht verloren und Kunden könnten sich abwenden.

Erhöhte Supportkosten

Die Bearbeitung von Spamproblemen bindet Ressourcen im Support und behindert die Bearbeitung anderer Anliegen.

Rechtliche Konsequenzen

In manchen Ländern können Spamversand rechtliche Folgen haben, besonders wenn nicht angemessen auf Missbrauch reagiert wird. Auch in Deutschland schreiben Gesetze vor, dass man als Webseitenbetreiber Maßnahmen zum Schutz von Daten treffen muss.

Netzwerküberlastung

Massenhaft versendeter Spam belastet die Server und beeinträchtigt die Servicequalität. Auch das muss verhindert werden.

So sicherst du Kontaktformulare auf deiner Website effektiv ab

Hier sind einige Maßnahmen, mit denen du deine Formulare absichern kannst:

Implementiere CAPTCHA, wenn du Kontaktformulare anbietest

CAPTCHAs sichern deine Formulare effektiv ab, indem sie sicherstellen, dass nur Menschen sie nutzen können. Dabei kann es sich um das Eingeben verzerrter Texte oder das Auswählen von Bildern handeln.

Verwende aktuelle CAPTCHA-Technologien

Moderne Lösungen wie von Google oder Cloudflare bieten effektiven Schutz. Alternativen findest du auf European Alternatives oder im Runcloud Blog.

Eingabevalidierung und -bereinigung der User-Eingaben

Sorge dafür, dass nur Daten im erwarteten Format akzeptiert werden, um Risiken wie E-Mail-Injection zu minimieren.

E-Mail-Rate Limiting

Begrenze die Anzahl der E-Mails, die in einer bestimmten Zeit überhaupt übermittelt werden können, um Missbrauch vorzubeugen.

Aktivitäten überwachen: Funktionieren deine Kontaktformulare wie sie sollten?

Protokolliere die Aktivitäten deiner Formulare, um verdächtige Muster schnell zu erkennen und darauf reagieren zu können.

So funktioniert CAPTCHA für Kontaktformulare

Dieses Diagramm zeigt, wie ein Online-Formular mit Captcha-Schutz typischerweise funktioniert. Ein Captcha dient als Schutzschild gegen Spam und automatisierte Angriffe. Erst wenn ein Mensch die kleine Aufgabe löst, können die eingegebenen Daten sicher gespeichert und eine Bestätigung versendet werden. So wird gewährleistet, dass nur echte Nutzer mit Ihrer Website interagieren und Kontaktformulare nicht verwendet werden, um Spam zu generieren. — Einfache Rätsel, großer Effekt: CAPTCHAs sorgen für einen sicheren und reibungslosen Ablauf beim Ausfüllen von Online-Formularen.

CAPTCHA steht für: Completely Automated Public Turing test to tell Computers and Humans Apart. Es handelt sich um einen Sicherheitsmechanismus, der entwickelt wurde, um sicherzustellen, dass die Interaktion mit einem Webdienst von einem Menschen und nicht von einem automatisierten Bot stammt.

Ein Kontaktformular kann so konfiguriert werden, dass es eine Kopie des eingefügten Textes an eine angegebene Adresse schickt. Die ist aber nicht ein einzige Einfallstor. Das Skript für das Kontaktformular kann so manipuliert werden, dass versteckte Felder und deren Inhalt mitgeschickt werden oder die generierten Mailheader ergänzt bzw. verändert werden. Ein ähnliches Prinzip haben wir im Fall von SMTP Smuggeling gesehen.

Hier sind die grundlegenden Prinzipien, wie ein CAPTCHA funktioniert. Einige davon sind heute maschinell vergleichsweise leicht zu umgehen, andere sind auch für KI-Tool schwieriger und erzeugen deutlich mehr Kosten beim Spammer:

Herausforderung und Antwort

Ein CAPTCHA präsentiert dem Benutzer eine Aufgabe oder Herausforderung, die für Menschen leicht zu lösen ist, aber für Computer schwierig oder unmöglich. Dies könnte das Erkennen von verzerrtem Text, das Lösen einer einfachen Rechenaufgabe oder das Auswählen bestimmter Bilder aus einer Gruppe sein.

Verzerrter Text

Eine der frühesten Formen von CAPTCHA besteht darin, den Benutzer zu bitten, verzerrten oder verschwommenen Text einzugeben. Die Verzerrung macht es für Computer schwierig, den Text mit optischer Zeichenerkennung (OCR) zu analysieren.

Bildbasierte Herausforderungen

Moderne CAPTCHAs verwenden oft Bilder. Der Benutzer könnte aufgefordert werden, alle Bilder auszuwählen, die ein bestimmtes Objekt enthalten, wie z.B. Ampeln oder Autos. Diese Aufgaben nutzen die Fähigkeit des menschlichen Gehirns zur Mustererkennung, die für Computer komplex ist.

Rechenaufgaben

Einige CAPTCHAs verwenden einfache mathematische Probleme, die ein Benutzer lösen muss, wie z.B. das Addieren zweier Zahlen. Diese sind für Menschen trivial, aber erfordern zusätzliche Programmierung für Bots.

Verhaltensbasierte CAPTCHAs

Diese analysieren das Benutzerverhalten, z.B. die Art und Weise, wie jemand tippt oder die Maus bewegt. Sie setzen maschinelles Lernen ein, um menschliches Verhalten von automatisierten Skripten zu unterscheiden.

Zeitbasierte Tests

Manche CAPTCHAs berücksichtigen die Zeit, die ein Nutzer benötigt, um die Herausforderung zu lösen. Bots agieren oft viel schneller oder langsamer als ein Mensch.

Das Ziel eines CAPTCHA ist es, die Benutzerfreundlichkeit für Menschen zu erhalten, während es gleichzeitig für Bots eine erhebliche Hürde darstellt. Moderne Entwicklungen, wie Googles reCAPTCHA, versuchen, den Prozess für legitime Benutzer so nahtlos wie möglich zu gestalten und verwenden oft unsichtbare Methoden zur Erkennung von Bots im Hintergrund.

Aktuelle CAPTCHAs zu verwenden ist die aus unserer Sicht einfachste Maßnahme gegen Formularspam. Es gibt recht viele Anbieter, die Captchas anbieten. Gut funktionieren z.B. die von Google und Cloudflare. Es gibt aber auch andere, die hier genauer beschrieben sind:

Folgende Tools zum Schutz für Kontaktformulare und anderen Eingabefeldern sind uns aufgefallen und für jeden Webseitenbetreiber sicherlich einen näheren Blick wert:

Friendly Captcha – Ein CAPTCHA-Dienst aus Deutschland, bei dem nur ein Kästchen angeklickt werden muss.
Captchafox – Ein CAPTCHA-Dienst aus Deutschland, der Integrationen für WordPress, Node, Vue und React bietet.
Trustcaptcha – Ein CAPTCHA-Dienst aus Deutschland, der Webseiten vor Bot- und Spam-Angriffen schützt, ohne dass Benutzer Puzzle lösen oder ähnliche Aufgaben erfüllen müssen.
Captcha – Ein österreichischer CAPTCHA-Dienst, der ein Proof-of-Work-System verwendet und daher keine Benutzereingaben erfordert. Es gibt Plugins für WordPress, Keycloak-Erweiterungen und Joomla-Integrationen.
Swetrix CAPTCHA – Ein CAPTCHA-Dienst von Swetrix, einer ukrainischen Firma für Webanalytik, die die Privatsphäre priorisiert und in ihr Webanalytik-Plattform integriert ist.
ALTCHA – Ein Open-Source-CAPTCHA-Dienst, der keine Cookies, Fingerprints oder Tracker sammelt und auf deinem eigenen Server gehostet wird.
mCaptcha – Ein Open-Source-CAPTCHA-D

Daneben gibt es weitere kommerzielle Tools verschiedener Cloud-Service-Provider, mit denen Kontaktformulare oder andere Usereingaben, die ausgewertet werden sollen, geschützt werden können.

ALTCHA-Captcha gefällt uns gut aus folgenden Gründen:

Es ist Open Source und kostenlos.
Es erfüllt die DSGVO-Vorschriften, indem es keine Cookies oder Fingerprints sammelt.
Es verwendet ein Proof-of-Work-Verfahren, das als erste Verteidigungslinie gegen Spam dient.
Es enthält einen Spamfilter, der auch komplexe Angriffe und menschlich generierten Spam stoppt.
Es ist benutzerfreundlich und eliminiert die Notwendigkeit von Rätsellösungen.
Es verbessert die User Experience (UX) der integrierten Website.
Es ist maschinenzugänglich und bietet Merkmale zur Barrierefreiheit von Maschine-zu-Maschine-Kommunikation.
Es wird unter einer MIT-Lizenz veröffentlicht und ist somit frei für die Verwendung durch Einzelpersonen, kleine Unternehmen und Großunternehmen.
Es ist leicht zu integrieren und bietet Zwei-Faktor-Authentifizierung über Checkbox-Verifizierung.

Auch für WordPress gibt es fertige Plugins. Hier empfiehlt sich die Suche im Pluginverzeichnis. Ein Beispiel ist hier, aber auch Stop Spammers (ein WordPress-Plugin, das Spam-Kommentare und -Registrierungen verhindert) und Spamfighter (ein weiteres WordPress-Plugin, das Spam filtert und blockiert kommen vielleicht in Frage). Dabei ist es wichtig, die Plugins stets aktuell zu halten. WordPress bietet an, die Plugins automatisch upzudaten. Dies sollte man aktivieren.

Wie goneo auf Outbound-Spam aus Kontaktformularen reagiert

Automatische Überwachung und Sperrung

Sobald ein verdächtiges Absenderverhalten erkannt wird, greifen bei goneo automatische Überwachungsmechanismen. Auffällige Absender, bei denen ein erhöhtes Risiko für Spam-Versand festgestellt wird, werden unmittelbar gesperrt. Dies bedeutet, dass von diesen Absendern keine E-Mails mehr über unsere Server verschickt werden können – egal, ob es sich um Spam oder legitime Benachrichtigungen handelt. Die Sperrung stellt sicher, dass der potenzielle Schaden minimiert wird. Dies passiert pro Jahr einige Tausend Mal.

Diese Sperren können teilweise vom Kunden oder durch den Kundendienst entsperrt werden. Wenn der Kunde mehrfach auffällig wird, kann er sich nicht mehr selbst entsperren. Je häufiger der Kunde gesperrt wird, desto länger die Sperrdauer. Die erste Sperrung dauert mindestens 24 Stunden und erhöht sich weiter pro Sperrung.

Benachrichtigung per E-Mail

Transparenz ist uns bei goneo wichtig. Sobald eine Sperrung erfolgt, informieren wir die betroffenen Kunden umgehend per E-Mail. Die Mail wird an die Adresse gesendet, die der Vertragspartner als Kontaktadresse angegeben hat.

Auf diese Weise wissen Sie als Webseitenbetreiber sofort, dass es ein Problem gibt, und können gezielte Maßnahmen zur Behebung und Prävention ergreifen.

Fazit: Kontaktformulare müssen geschützt werden

Indem du diese Sicherheitsmaßnahmen umsetzt, schützst du nicht nur dich selbst, sondern auch das Vertrauen deiner Nutzer in deine Kommunikationskanäle. Bei goneo setzen wir auf fortschrittliche Spam-Erkennung und -Verhinderung, um Missbrauch zu minimieren. Im Falle eines Falles informieren wir dich natürlich umgehend.

Nimm die Absicherung deiner Kontaktformulare ernst – zum Wohle deiner Webseitenbesucher, deiner Kunden und deiner Marke.

Nutze unsere Tipps und Tools, um deine Webseite heute noch sicherer zu machen. Denk daran: Ein sicherer Kontakt zu deinen Kunden ist unbezahlbar. Werde aktiv und rüste dich gegen die Herausforderungen, die die digitale Kommunikation mit sich bringt.

5. Februar 20245. Februar 2024

Gemeinsam stark: Wie dich goneo mit einem Managed Server entlastet

Soeren vom goneo Server Team arbeiten am Server

Wir stehen kurz vor einem Update, das die Vorteile eines Managed Server-Angebots bei goneo einmal mehr unterstreicht: Am 14. Februar 2024 führen wir ein wichtiges Update durch, das die Sicherheit und Leistung des Managed Server Angebots weiter verbessert. Doch das Beste daran? Du musst dich um nichts kümmern – unser goneo-Serverteam übernimmt die gesamte Arbeit für dich. Eine Info an unsere Kunden, die ein „Webserver“-Produkt gebucht haben, geht raus.

Erfahre, warum ein Managed Server auch für dich eine gute Wahl sein kann.

8. Januar 202419. Januar 2024

SMTP-Smuggling: goneo ergriff Maßnahmen

smtp-smuggling bedroht das email Sicherheit

Vergangene Woche erschien eine Warnung eines Sicherheitsunternehmens in Sachen SMTP-Smuggling. Der Bericht beschrieb, wie ein wichtiges E-Mail-Protokoll missbraucht werden kann, um auch schädliche Mails zuzustellen ohne dass Überprüfungsmechanismen warnen.

SMTP steht für Simple Mail Transport Protocol und ist ein sehr gebräuchlicher Standard, der beschreibt, wie der Versand von E-Mail-Nachrichten technisch funktioniert (siehe dazu auch das goneo-Glossar). So funktionieren die Angriffsversuche.

4. Januar 20244. Januar 2024

Sichere deine digitale Welt: Der goneo- Leitfaden zum zuverlässigen Website-Backup

Ein Bild das zeigt, wie wichtig es für Webseitenbetreiber ist, ein eigenes Backup einer Website zu haben,. Dall e 3

Das Internet schläft nicht. Auch die Hacker nicht. Genau deshalb brauchst du immer ein Website-Backup, damit deine Webseiten-Daten geschützt sind. Ein Datenverlust kann auch aus anderen Gründen geschehen: Ein fehlgeschlagenes Update oder eine versehentliche Löschung eines wichtigen Elements.

Um Albträume zu vermeiden, ist das regelmäßige Anlegen von Backups unumgänglich. In diesem Blogbeitrag erklären wir dir, wie du effektive Backups deiner Webseite erstellst. Außerdem gehen wir darauf ein, warum es so wichtig ist, eine eigene Backupstrategie zu entwickeln und geben dir 12 Punkte an die Hand, wie eine funktionierende Website-Backupstrategie aussehen kann.

13. November 202316. November 2023

Nicht jeder will die Mailzugangsdaten in der Cloud abspeichern

produced with dalle e3 "A combination of real clouds in the sky and servers to show cloud computing"

Die E-Mail-Anwendung im Windows-Betriebssystem von Microsoft bekommt einen Nachfolger. Dieser wird wie die allseits bekannte Microsoft-Mailanwendung ebenfalls „Outlook“ heißen.

Wie schon bei Windows Mail lassen sich mit auch im neuen „Outlook“ andere E-Mail-Konten als die hauseigenen Hotmail.com- oder outlook.de-Adressen einbinden. Doch es gibt einen bemerkenswerten Unterschied zur der alten Anwendung im Umgang mit den Zugangsdaten. Dazu gibt es nun auch ein Update mit einer Erklärung von Microsoft.

Ein empfohlenes Update zum Testen

Die Zugangsdaten, also Mail-Username und Passwort werden dann bei Outlook in der Cloud von Microsoft gespeichert, nicht nur wie bisher lokal in Windows oder in der Anwendung selbst. Das hat zuerst der deutsche IT-Verlag Heise in seinen Publikationen nach einem eigenen Test berichtet und auf verschiedene Risiken hingewiesen.

Microsoft krallt sich Zugangsdaten: Achtung vor dem neuen Outlook | heise online 🌎

26. Oktober 202326. Oktober 2023

SPF: Was tut das Sender Policy Framework?

Das Sender Policy Framework (SPF) soll helfen, Spam einzudämmen. Das wirkt wie eine Herkulesaufgabe.

Laut Statistiken verbringt der durchschnittliche Mitarbeiter täglich 13 Minuten damit, Spam-E-Mails zu sichten und zu löschen. Diese vermeintlich kleinen Zeitaufwände summieren sich über die Zeit zu großen Zahlen und verursachen entsprechende Produktivitätsverluste. Darüber hinaus birgt Spam erhebliche Sicherheitsrisiken, da er oft als Vehikel für Malware und Phishing-Angriffe dient. Die Kosten für die Bewältigung von Spam und seine negativen Konsequenzen sind beträchtlich.

Wirksamkeit von SPF

Statistiken zeigen, dass SPF eine wirksame Methode ist, um den Zustrom von Spam zu reduzieren. Laut einer Studie des Anti-Phishing Working Group (APWG) führte die korrekte Implementierung von SPF zu einer durchschnittlichen Reduzierung von Spam um 68,9%. Dieser signifikante Rückgang macht deutlich, welchen Beitrag SPF zur Reduzierung von Spam leisten kann.

6. September 2023

„Sicherheit“, der neue Menüpunkt im goneo-Kundencenter

Webworker freuen sich über neue Sicherheitsfeatures für das goneo Kundencenter

Ab sofort findest du einen neuen Menüpunkt im goneo-Kundencenter. In der linken Spalte gibt es nun einen Link mit der Beschriftung „Sicherheit“.

Screenshot Kundencenter mit neuem Menüpunkt „Sicherheit“

Hier haben wir nun einige Sicherheitsfunktionen gebündelt. Damit hast du nun einen schnelleren und einfacheren Zugriff auf die entsprechenden Features.

Du kannst hier das Passwort für das Kundencenter ändern

Das bezieht sich nur auf den Login für das Kundencenter, nicht für Email, nicht für SFTP und so weiter.

Du kannst hier die Zwei-Faktor-Authentifizierung einrichten

Damit kannst du eine App einrichten, mit der du beim Anmeldeversuch einen weiteren Code bekommst.

Neu: Wir zeigen dir hier die Login-Historie

Damit kannst du nachverfolgen, welche Anmeldungen passiert sind. Wenn du hier Logins siehst, die du nicht kennst, dann ist das ein Warnzeichen und du solltest die Zugangsdaten ändern.

18. August 202323. August 2023

goneo E-Mail nur noch mit Transport Layer Security 1.2 und höher

Am 1.10.2023 möchten wir bei goneo veralte Versionen des Verschlüsselungsprotokoll entfernen, vor allem aus Sicherheitsgründen. Versionen, die eine Releasenummer kleiner als TLS 1.2 haben, werden von den E-Mail-Servern nicht mehr unterstützt.

TLS 1.0 wurde 1999 eingeführt, weist also ein eher biblisches Alter auf. Die Version 1.1 kam 2006. Inzwischen sind also Jahrzehnte vergangen. Zeit für ein Update.

Was das bedeutet, liest du hier (Spoiler: Höchstwahrscheinlich betrifft es dich nicht).