1. Wie oft wurdet ihr DDOS-attackiert?
Wir sind bislang noch nicht Opfer von DDOS-Attacken geworden und wurden auch noch nie erpresst.Unabhängig davon gibt es bei uns nicht viel Geld zu holen 😉
2. Wie schützt ihr euch vor anderen Angriffen?
Die Firewalls sind so konfiguriert, dass neben https lediglich das Protokoll ssh zugelassen ist, zu dessen Authentifizierung ein besonders sicherer kryptographischer Schlüssel erforderlich ist (ED25519).Bei mehrfachem fehlerhaften Versuch eines Zugriffs, wird ein Angreifer gesperrt.
3. Welche Daten können Angreifer erbeuten, wenn sie euch hacken?
Wenn unser Backup-Server gehackt würde, sind lediglich verschlüsselte Daten zu erbeuten. WordPress-Installationen und WECHANGE-Portale laufen in einzelnen, getrennten Umgebungen. Sollte sich ein Angreifer Zugriff zu einer WordPress-Installation verschaffen, hat dieser keinen Zugriff auf andere WordPress-Seiten oder WECHANGE-Portale und anders herum.
Wir erheben keine personalisierten Metadaten zu den Nutzer*innen, da Werbung nicht zu unserem Konzept gehört. Entsprechend können potenzielle Hacker*innen nichts zum Nutzungsverhalten der Nutzer*innen herausfinden und auch in unserem internen Analysetool nichts herauslesen/ keine Meta-Analysen durchführen.
4. Habt ihr immer die aktuellsten Sicherheitsupdates?
Alle Dienste, die wir nicht selbst entwickeln, werden von unserem Servicepartner schnellstmöglich geupdated, sobald Sicherheitsupdates zur Verfügung stehen. WECHANGE ist selbst in Django / Python programmiert. Django-Sicherheitsupdates führen wir maximal innerhalb von 10 Tagen durch.
6. Wie schützt ihr euch vor Cross-Site-Scripting und Ähnlichem?
Alle Anfragen vom Browser enthalten ein CSRF-Token (cross-site-request-forgery), das verhindert, dass andere Internetseiten Anfragen auf WECHANGE fälschen können.