Die Webseite ist ein wichtiges Aushängeschild für Unternehmen, Selbstständige und Privatpersonen. Doch sie kann auch schnell zum Einfallstor für Cyberkriminelle werden. Eine Untersuchung des eco – Verbandes der Internetwirtschaft e. V. hat 1.406 Webseiten mit dem Sicherheits-Scanner SIWECOS untersucht und dabei erschreckende Sicherheitslücken entdeckt. So sind viele Webseiten nicht nur ungenügend gesichert, sondern verstoßen auch wegen fehlender Sicherheitsmaßnahmen gegen die Datenschutzgrundverordnung (DSGVO). Das kann teure Abmahnungen der Konkurrenz zur Folge haben.
So zeigte die Untersuchung des Branchenverbandes, dass 39 Prozent der untersuchten Webseiten nutzen kein HTTPS verwenden. Das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat ist laut Meinung von Datenschützern grundsätzlich im Sinne des Datenschutzes zu verwenden. Denn fehlende Verschlüsselung gefährdet nicht nur Daten der Unternehmen, sondern auch von Besuchern oder noch schlimmer von Kunden, die vertrauliche Daten unverschlüsselt und damit leicht für Hacker lesbar übertragen. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als „nicht sicher“. Rund 14 Prozent der geprüften Webseiten setzen zwar https ein, nutzen aber Zertifikate, die bei der ausstellenden Zertifizierungsstelle abgelaufen sind oder fehlerhaft implementiert wurden. „Damit ist rund jede zweite KMU-Webseite potenziell angreifbar“, sagt Cornelia Schildt, Projektleiterin SIWECOS und Sicherheitsexpertin im eco – Verband der Internetwirtschaft e. V.
Nicht nur die fehlende Verschlüsselung wird beim SIWECOS-Scan angezeigt. Auch kritische Sicherheitslücken werden aufgedeckt. So war bei rund 8 Prozent der untersuchten Webseiten der Server durch eine POODLE-Schwachstelle verwundbar, die es einem Angreifer erlauben könnte, die Kommunikation zu entschlüsseln. 5,6 Prozent der Webseiten sind potenziell mittels Padding Oracle Angriff angreifbar. Bei rund 25 Prozent und damit jeder vierten untersuchten lässt sich die Version des Content Management Systems (CMS) oder der verwendeten Plugins auslesen. Ein Drittel dieser Seiten arbeitet mit einer Version mit bekannten Schwachstellen. Jedes Unternehmen sollte den Sicherheitsstatus des eigenen CMS regelmäßig überprüfen, beispielsweise mit den kostenfreien Scannern von SIWECOS, empfiehlt Schildt: „Die Verantwortlichen in vielen Unternehmen wissen oftmals nicht, dass ihr CMS Schwachstellen hat und gefährden so Unternehmens-IT und Kundendaten.“
Nachholbedarf haben klein- und mittelständische Unternehmen in NRW zudem beim Schutz vor Phishing-Attacken: 33 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Email-Adressen, 14 Prozent auslesbare Telefonnummern. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken“, sagt Schildt. Wer solche Sicherheitslücken findet und verschließt, der verhindert, dass Cyberkriminelle darüber eindringen, um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Das ist auch im Interesse der Unternehmen. Eine mögliche Cyberattacke kann nicht nur hohe Kosten und Bußgelder nach sich ziehen, auch der Ruf des Unternehmens kann dadurch nachhaltig geschädigt werden, wie einige prominente Angriffe in der Vergangenheit gegen Kreditkartenunternehmen oder andere große Unternehmen zeigen.
* Für den SIWECOS KMU Webseiten-Check wurden 1.406 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im November 2019 mit den Scannern des SIWECOS Projekts auf mögliche Schwachstellen hin überprüft
Schreibe einen Kommentar