Der Aufbau und der Betrieb einer sicheren Infrastruktur für Marketing Automation mit Mautic kann schwierig sein. Wir wissen das, weil wir Jahre damit verbracht haben, diese Probleme für Technologie-Startups, KMUs und Grossunternehmen zu lösen. Hacker sind ständig auf der Suche nach Unternehmen, die sie ins Visier nehmen können. Mit diesen 7 direkt umsetzbaren Schritten erreichst du sicheres Mautic Hosting.

Was sind die grössten Risiken beim Mautic Hosting?

Das Risiko Nr. 1: Exfiltration!! Daten sind das neue Gold, deine Kontaktliste ist somit eine harte Währung und entsprechend attraktiv. Hacker auf der ganzen Welt versuchen an persönliche Daten zu gelangen, die an Konkurrenten weiterverkauft oder für ruchlosere Zwecke verwendet werden können. Dabei wird nicht nur die Privatsphäre deiner Kunden gefährdet, es drohen dir auch hohe Geldstrafen, wenn persönliche Daten in die falschen Hände gelangen.

Ein weiteres Risiko besteht darin, dass sich Hacker als dein Unternehmen ausgeben, um Phishing-Kampagnen zu verschicken. Oder sie benutzen deinen Server, um z.B. Bitcoin zu minen oder um Hacker Angriffe gegen andere Personen zu starten.

Hacker sind ständig auf der Suche nach Möglichkeiten, Daten zu missbrauchen. Deine Mautic Instanz ist dabei schnell zu finden, da Hacker IPs blind nach offenen Ports scannen oder öffentliche TLS-Offenlegungsdatenbanken prüfen. Sobald deine Mautic Instanz gefunden ist, wird sie (automatisiert) nach Schwachstellen durchsucht. Sorgen wir also dafür, dass Hacker erst gar keinen Zugriff auf deine Mautic Instanz erhalten. Beim Hosting und als Anwender kannst du hier einiges richtig machen. 

Wie erreichst du ein sicheres Mautic Hosting?

Verwende eine starke TLS 1.3-Verschlüsselung 

Als erstes musst du deinen Datenverkehr mit einer starken TLS 1.3-Verschlüsselung schützen. Ein ISP (Internet Service Provider) kann einen TLS-Schlüssel für dich generieren. Dann bist du dafür verantwortlich, die Schlüssel zu installieren, sie vertraulich zu behandeln und regelmässig bei Ablauf auszuwechseln.

Wenn du den Mautic Server nicht selbst hostest, stelle sicher, dass du deinem Hoster vertraust. Denn jeder, der den privaten Schlüssel hat, kann sich für dich ausgeben oder dich belauschen.

Verwende eine Web Application Firewall

Obwohl Mautic im Bereich der Sicherheit eine erfreuliche Erfolgsbilanz vorzuweisen hat, können selbst die kampferprobtesten Technologien Schwachstellen aufweisen. Die Verwendung einer Web Application Firewall (WAF) wie CloudFlare oder mod_security wird eine Vielzahl an Angriffen blockieren, bevor sie dich erreichen. 

Darüber hinaus schützt dich eine WAF vor Distributed Denial of Service (DDoS)-Angriffen. Das ist der Fall, wenn jemand versucht deine Mautic Instanz mit Datenverkehr zu überlasten, um dein Geschäft vom Netz zu nehmen.

Abonnieren Sicherheitsbulletins und mache Updates

Stelle schliesslich sicher, dass du alle Sicherheitsbulletins für alle von dir verwendeten Softwares abonnierst: Dazu gehören mindestens jene von Mautic, die Sicherheitsbulletins der Datenbank und des Betriebssystem. In seltenen Fällen kann es dann vorkommen, dass du an einem Sonntag um 3 Uhr morgens deine Mautic Instanz updaten musst. Aber hey, better safe than snoring! 

Wie kann man Mautic als Admin-Benutzer sicherer machen?

Halte dich an das „Prinzip der geringsten Privilegien“

Weise den Benutzern verschiedene Rollen zu, um das „Prinzip der geringsten Privilegien“ anzuwenden. Zum Beispiel braucht jemand, der Kampagnen erstellt, nicht auch die Möglichkeit, neue Mautic-Benutzer zu erstellen. 

Sogar wenn du der einzige Benutzer deiner Mautic Instanz bist, ist es empfehlenswert eine Admin- und ein weiteres Benutzerprofil mit weniger Rechten zu haben. Hackt jemand dein weiteres Benutzerprofil, kann er oder sie trotzdem nicht auf alle Funktionenen zugreifen. So minimierst du das Risiko.

Verwende sichere Einmal-Passwörter

Verwende einen Passwortmanager wie 1Password, um lange und sichere Passwörter zu erstellen, die nicht für verschiedene Anmeldungen wiederverwendet werden. Gute Passwortmanager ermöglichen es auch, Passwörter verschlüsselt auszutauschen, z.B. bei der Verteilung von Passwörtern für neue Mitarbeitende.

Deaktiviere die nicht verwendeten Funktionen

Verwendest du zum Beispiel die API, sollte Basic Auth deaktiviert und nur OAuth verwendet werden. OAuth-Tokens sind kurzlebig und sind in ihrem Geltungsbereich auf die jeweilige Aufgabe beschränkt. Das ist ein weiteres Beispiel für das “Prinzip der geringsten Privilegien”. 

Im Gegensatz dazu können Basic Auth-Zugangsdaten nur durch eine Passwortänderung ungültig gemacht werden. Zusätzlich können sie aber auch dazu verwendet werden, sich bei der Mautic-Benutzeroberfläche anzumelden. Damit ist es Hackern möglich alles zu tun, wozu der entsprechende Benutzer berechtigt ist.

Sei vorsichtig und kenne die Risiken

Wenn du selbst eine Mautic Instanz hostest oder administrierst, sei sehr vorsichtig mit Ratschlägen, die du von anderen erhältst. Vieles davon ist zwar gut gemeint und wird dir helfen, deine Ziele zu erreichen. Einiges kann aber auch zu Schwachstellen führen. 

Beispielsweise verwenden viele Leute immer noch FTP, um ihre Mautic Instanzen zu aktualisieren. Vermutlich ist ihnen gar nicht bewusst, wie unsicher dieses Protokoll ist. Du solltest zumindest SFTP oder SCP verwenden, um Dateien auf deinen Server zu kopieren. 

Fazit

Daten sind wertvoll, für dich als Unternehmen, für die Personen, von denen sie stammen, aber leider auch für Hacker. Im Falle eines Angriffs auf deine Mautic Instanz wäre wohl das schlimmste der Reputationsverlust. Aber auch finanzielle Folgen sind zu befürchten. Schenke dem Schutz deiner hochsensiblen Kundendaten daher die notwendige Aufmerksamkeit. Mit der richtigen Einstellung und der konsequenten Umsetzung von Best Practises sicherst du dein Mautic Hosting vor Hackerangriffen. Mit der Investition in ein sicheres Hosting kannst bei deinen Kunden auch Pluspunkte sammeln. Es lohnt sich also!

Aller Anfang ist leicht.

Frau sieht wie einfach Marketing Automation mit Aivie geht

Melde dich jetzt zum kostenlosen Webinar an.

Egal ob Marketingmanager:in, Gründer:in oder einfach nur neugierig: Unser 30-minütiges Webinar ist genau das Richtige für alle, die mehr zum Thema Marketing Automation mit Aivie erfahren wollen.

Jetzt teilnehmen

Kennst du jemanden, der von einem sichereren Mautic Hosting profitieren könnte? Wir würden uns freuen, wenn du diesen Artikel teilst oder weiterleitest.

Über die:den Autor:in

Adrian Schimpf ist CEO und Head of Product von Aivie, dem Marketing Automation Tool aus der Schweiz für Europa. Hier gestaltet er digitale Kanäle und Kundeninteraktionen mit Automatisierung, AI und Plugins. Zudem ist er Trainer bei LinkedIn Learning

Er hat 20 Jahre Erfahrung an der Schnittstelle Kunde und IT. Zuletzt als Produktmanager bei der Swisscom, zuvor in verschiedenen Rollen bei KMUs, Startups und Agenturen. U.a. Software Entwickler, User Experience Consultant, Projektleiter.

Schreibe einen Kommentar