05.11.2019 •

Firmen-Webseiten vor Hackern schützen - so geht's

René Bernard

eco - Verband der Internetwirtschaft e. V.

Jede zehnte Webseite hat eklatante Sicherheitsmängel - das hat eine Untersuchung von 1.142 Webseiten kleiner und mittelständischer Unternehmen ergeben. Dabei lassen sich Schwachstellen mit den richtigen Werkzeugen einfach finden und beheben.

Viele Internetauftritte von kleinen und mittelständischen Unternehmen sind ein Einfallstor für Cyberkriminelle. Die nutzen etwa Schwachstellen im Content Management System (CMS) aus. "Wir haben über 1.100 Webseiten untersucht* und festgestellt, dass 52 Prozent der geprüften Seiten nicht optimal konfiguriert sind", sagt Cornelia Schildt, Sicherheitsexpertin im eco - Verband der Internetwirtschaft e. V. Das Content Management System (CMS), also die Software hinter der Unternehmenswebseite, hat noch viel zu häufig Sicherheitslücken. "Die eingesetzten Konfigurationen ermöglichen auf mittlere Sicht Cyberangriffe. Fast jede zehnte Webseite (9 Prozent) wies eklatante Sicherheitsmängel auf, hier besteht akuter Handlungsbedarf", so Schildt weiter.

Cornelia Schildt empfiehlt allen kleinen und mittelständischen Unternehmen, die Sicherheit ihrer Websites regelmäßig zu überprüfen. Werden Sicherheitslücken gefunden, dann können die Administratoren diese schließen. Das ist besonders wichtig für den Online-Datenschutz. Sind Webseiten unsicher, besteht die Gefahr, dass Cyberkriminelle personenbezogene Daten auslesen. 

Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt, können Behörden sogar hohe Bußgelder verhängen. "Wer sich nicht um die Sicherheit der eigenen Unternehmenswebseite kümmert, der handelt fahrlässig", gibt Schildt zu bedenken. Wenn es in deutschen Unternehmen einen gravierenden Sicherheitsvorfall gab, dann ist dieser in 13 Prozent der Fälle die Folge eines Hacks der unsicheren Unternehmenswebsite.**

Foto: Frau an Laptop; Copyright: eco – Verband der Internetwirtschaft e. V.
Die Sicherheit der eigenen Websites sollte regelmäßig überprüft werden.
Quelle: eco – Verband der Internetwirtschaft e. V.

E-Mail-Adressen auf fast jeder zweiten Seite maschinell auslesbar

Das Problem: Viele kleine und mittelständische Unternehmen wissen nicht einmal, dass ihre Website Sicherheitslücken hat.

Dabei lässt sich das mit Webseiten-Scannern unmittelbar überprüfen.

Möglich ist das beispielsweise mit dem kostenlosen Scanner von SIWECOS. Der Name steht für "Sichere Webseiten und Content Management Systeme". Geschaffen hat es der eco – Verband der Internetwirtschaft e. V. zusammen mit der Ruhr-Universität Bochum und weiteren Unterstützern, gefördert vom Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT Sicherheit in der Wirtschaft. 

Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, zeigen die Scanner nach einigen Sekunden in den Farben grün, gelb und rot Ergebnisse zu Sicherheits-Aspekten. Angemeldete Nutzer erhalten zudem ausführliche Informationen über ihre Webseite und werden umgehend bei Vorfällen informiert. Registrierte Nutzer können SIWECOS auch über Plugins für CMS-Software wie WordPress oder Joomla! nutzen.

Foto: Cornelia Schildt, Sicherheitsexpertin im eco – Verband der...
Cornelia Schildt, Sicherheitsexpertin im eco – Verband der Internetwirtschaft e. V.
Quelle: eco – Verband der Internetwirtschaft e. V.

HTTPS und Phishing-Schutz sind Pflicht

Welche Schwachstellen am häufigsten die Sicherheit gefährden haben die Experten konkret untersucht: Beispielsweise nutzen nur 67 Prozent der kleinen und mittelständischen Unternehmen HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als "nicht sicher". Bei 22 Prozent aller geprüften KMU-Webseiten lässt sich zudem die Version des Content Management Systems oder eines darin installierten Plugins auslesen. Die Hälfte dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen.

Nachholbedarf haben klein- und mittelständische Unternehmen zudem beim Schutz vor Phishing-Attacken: 40,5 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Telefonnummern auf der Startseite, 44,1 Prozent maschinell auslesbare Email-Adressen. "Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken", sagt Schildt.

Sicherheitslücken finden und schließen

6,8 Prozent der geprüften KMU Webseiten weisen die Poodle-Schwachstelle auf, eine 2014 bekannt gewordene schwerwiegende Sicherheitslücke im TLS-Protokoll. Sie erhöht die Gefahr, dass über verschlüsselte Verbindungen private Daten von Clients und Servern ausgelesen werden können durch sogenannte Man-in-the-Middle Angriffe. Jede zwölfte geprüfte Webseite, die ein Server-Zertifikat einsetzt, tut dies fehlerhaft. 

Der überwiegende Teil der Zertifikate ist bei der ausstellenden Zertifizierungsstelle abgelaufen oder setzen schwache kryptographische Funktionen wie etwa SHA1 oder MD5 ein. In beiden Fällen führt dies dazu, dass ein Besucher beim Aufruf der Webseite gewarnt wird. Wer solche Sicherheitslücken findet und verschließt, der verhindert, dass Cyberkriminelle darüber eindringen und unbemerkt Kundendaten stehlen oder Viren an die Besucher der Webseite verbreiten. Damit sind Unternehmen auf der sicheren Seite.


* Für den SIWECOS KMU Webseiten-Check wurden 1.142 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im September 2018 mit den Scannern des SIWECOS Projekts auf mögliche Schwachstellen hin überprüft.

** eco Umfrage IT-Sicherheit 2019. Ein Report der eco Kompetenzgruppe Sicherheit unter der Leitung von Oliver Dehning. Für den Report wurden 242 Experten aus der IT-Branche befragt.

Mehr zu den Themen:

Verwandte Artikel

WatchGuard Internet Security Report deckt Instrumentalisierung von Blockchains auf

WatchGuard Internet Security Report deckt Instrumentalisierung von Blockchains auf

Weitere Ergebnisse offenbaren den Anstieg von Infostealer-Malware, Botnets, Evasive Malware und Netzwerkangriffen im asiatisch-pazifischen Raum

Rohde & Schwarz Cybersecurity auf der it-sa 2023: Komplettlösung für ultramobiles Arbeiten mit sensiblen Daten auf iPhones für die veränderte Arbeitswelt

Rohde & Schwarz Cybersecurity auf der it-sa 2023: Komplettlösung für ultramobiles Arbeiten mit sensiblen Daten auf iPhones für die veränderte Arbeitswelt

Mit innovativen Weiterentwicklungen seiner Netzwerk- und Security-Lösungen präsentiert sich der Rohde & Schwarz Geschäftsbereich Networks & Cybersecurity.

Wenn Unternehmensdaten unbemerkt in die Cloud wandern

Wenn Unternehmensdaten unbemerkt in die Cloud wandern

Durch Lockdown und Homeoffice boomt der Cloud-Sektor, doch nicht jeder Cloud-Dienst steht im Einklang mit den Unternehmensrichtlinien. Zahlreiche Probleme sind die Folge.

:

Photo

Künstliche Intelligenz

Generative KI wie ChatGPT und Co. haben den Stand der Technik erstmals einer breiten Öffentlichkeit demonstriert und KI in den Fokus der Öffentlichkeit gerückt.