IT-Rebellen Das Blog für IT- und Businessentscheider, die neue Wege gehen wollen.
Bild von Darwin Laganzon auf Pixabay
Wenn es in deutschen Unternehmen einen gravierenden Sicherheitsvorfall gab, dann ist dieser in 13 Prozent der Fälle die Folge eines Hacks der unsicheren Unternehmenswebseite. Das zeige die IT-Security Studie 2019 des eco – Verbands der Internetwirtschaft e. V. Die Einschätzung der befragten IT-Verantwortlichen decke sich mit den Ergebnissen einer Umfrage des Marktforschungsinstituts YouGov, in der 39 Prozent der befragten 255 IT-Verantwortlichen ihre Website nur für teilweise sicher, 11 Prozent sogar für unsicher halten.
„Das Content-Management-System (CMS), also die Software hinter der Unternehmenswebseite, hat noch viel zu häufig Sicherheitslücken“, sagt Cornelia Schildt, Security-Expertin im eco Verband und Leiterin des Projektes SIWECOS. Der Name steht für „Sichere Webseiten und Content-Management-Systeme“, gefördert hat es das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft. Geschaffen hat es der eco Verband zusammen mit der Ruhr-Universität Bochum und weiteren Unterstützern.
Gratis-Scanner für einen Check
Ein kostenfreier Scanner unter www.siwecos.de ermöglicht Website-Checks in wenigen Sekunden. Schildt empfiehlt allen kleinen und mittelständischen Unternehmen, ihre Webseiten damit regelmäßig auf ihre Sicherheit zu checken. Nachdem dort eine Webseiten-Adresse eingegeben wurde, zeigen Scanner nach einigen Sekunden in den Farben grün, gelb und rot Ergebnisse zu Sicherheits-Aspekten und erläutern diese.
Viele Webseiten nicht optimal konfiguriert
Eine Untersuchung von über 3.400 Webseiten kleiner und mittlerer Unternehmen mit Siwecos zeige aktuell bei 7 Prozent der Seiten eklatante Sicherheitsmängel. „Es besteht hier akuter Handlungsbedarf seitens der Webseitenbetreiber“, sagt Schildt. Außerdem konnten die Experten mit dem Siwecos-Scanner feststellen, dass 72 Prozent der geprüften KMU-Webseiten nicht optimal konfiguriert sind. Die eingesetzte Konfiguration ermöglicht auf mittlere Sicht Cyberangriffe, durch die unbemerkt Kundendaten gestohlen oder Viren an die Besucher der Webseite verbreitet werden können.
Die Siwecos-Experten weisen auf weitere Schwachstellen hin: Mit 92 Prozent nutzen bei weitem noch nicht alle KMUs HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als „nicht sicher“. Bei 24 Prozent aller geprüften KMU-Webseiten lasse sich zudem die Version des Content-Management-Systems oder eines darin installierten Plugins auslesen. Jede vierte dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen.
Phishing-Attacken sehr einfach möglich
Nachholbedarf haben kleine und mittelständische Unternehmen zudem beim Schutz vor Phishing-Attacken: 36 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Telefonnummern auf der Startseite, 34 Prozent maschinell auslesbare E-Mail-Adressen. „Unternehmen sollten solche Kontaktdaten nicht maschinell lesbar hinterlegen. Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab und nutzen diese für gezielte Phishing Attacken“, sagt Schildt.
