Gratis
8. November 2018 - Technisch-organisatorische Maßnahmen

Webseiten von KMU haben gravierende Sicherheitslücken

Drucken

Immer wieder nutzen Cyberkriminelle unzureichend abgesicherte Webserver und Content-Management-Systeme als Ausgangspunkt für Attacken. Trotzdem hat fast jede zehnte Webseite von kleinen und mittleren Unternehmen große Sicherheitsmängel. Ein neues kostenloses Werkzeug prüft Internetseiten binnen Sekunden auf bekannte Sicherheitslücken.

HTTP oder HTTPS? Viele Unternehmen verschlüsseln noch zu wenig. HTTP oder HTTPS? Viele Unternehmen verschlüsseln noch zu wenig. (Bild: iStock.com / Devenorr)

Das Tool SIWECOS steht für „Sichere Webseiten und Content Management Systeme“. Es bietet Unternehmen einen einfachen Weg, um eine schnelle Sicherheitsüberprüfung des eigenen Internetangebots durchzuführen.

Partner des Siwecos-Projekts sind eco – Verband der Internetwirtschaft e.V. und der Lehrstuhl für Netz- und Datensicherheit der Ruhr-Universität Bochum.

Über 1.100 Webseiten von KMU untersucht

Im Rahmen einer Studie haben die Betreiber von Siwecos bereits über 1.100 Webseiten kleiner und mittelständischer Unternehmen (KMU) untersucht.

Dabei wiesen fast 10 Prozent gravierende Sicherheitsmängel auf. Mehr als die Hälfte der Webseiten waren zumindest nicht optimal konfiguriert.

Verschlüsselung zu selten genutzt

Lediglich 67 Prozent der KMUs verschlüsseln die Datenübertragung zum Webserver mittels HTTPS.

Gerade bei der Übermittlung von Formularen sollte – nicht zuletzt, um Datenschutz-Verstöße zu vermeiden – der Datenverkehr abgesichert sein. Aktuelle Browserversionen kennzeichnen unverschlüsselte Webseiten inzwischen als „nicht sicher“.

Indem sie auf die Verschlüsselung verzichten, schaden die Unternehmen nicht nur dem eigenen Ruf, sondern sorgen bei den Besuchern auch für Verunsicherung.

Bei 22 Prozent aller geprüften KMU-Webseiten lässt sich zudem die Version des Content-Management-Systems oder eines darin installierten Plug-ins auslesen.

Diese Informationen haben für Angreifer große Bedeutung. Denn mit diesen Informationen können sie gezielt bekannte Sicherheitslücken der entsprechenden Versionen ausnutzen.

Spam wird erleichtert

Vier von zehn der geprüften Webseiten haben auf der Startseite maschinell auslesbare Telefonnummern und / oder auslesbare E-Mail-Adressen.

Das ist per se kein Sicherheitsrisiko. Aber es bietet Kriminellen Datenmaterial, um die gefundenen Informationen als Absenderadressen für Phishing– oder Spam-Mails zu verwenden.

Ratsam wäre es, diese Informationen auf den Internetseiten zu maskieren oder zu verschlüsseln.

Teilweise gefährliche Schwachstellen

Bei einer ganzen Reihe von Internetseiten hat SIWECOS Schwachstellen im TLS-Protokoll gefunden.

Zwar setzen die Webseiten somit auf Verschlüsselung. Aber sie haben die Sicherheitslücken nicht geschlossen, die sogenannte Man-in-the-Middle-Angriffe ermöglichen.

So lassen sich dann doch vertrauliche Daten auslesen.

Für die Verschlüsselung werden Server-Zertifikate eingesetzt. Jede zwölfte geprüfte Webseite, die ein solches Zertifikat einsetzt, tut dies falsch.

Im einfachsten Fall erhalten die Nutzer dann nur eine Warnung darüber, dass etwas nicht stimmt. Es kann aber auch dazu führen, dass der Datenverkehr nicht ausreichend geschützt ist.

Da sich in der Vergangenheit Webserver immer wieder als Schwachpunkt in Unternehmensnetzen erwiesen haben, bieten die Ergebnisse der Studie und auch die kostenlose Überprüfung der Webseite durch das Siwecos-Tool eine gute Gelegenheit, sich aktiv um mehr Datensicherheit zu bemühen.

Sie können sich die Details der Studie kostenlos als PDF herunterladen.

Stephan Lamprecht