Aktuelles, Experten, Studien - geschrieben von dp am Freitag, Dezember 20, 2019 20:39 - noch keine Kommentare
eco-Warnung: Jede zweite Firmenwebseite gefährdet
1.406 Webseiten kleiner und mittelständischer Unternehmen mit dem „SIWECOS“-Scanner untersucht
[datensicherheit.de, 20.12.2019] Der eco – Verband der Internetwirtschaft e.V. meldet, dass rund jede zweite Firmenwebseite in Deutschland „schlecht konfiguriert“ ist und ein potenzielles Sicherheitsrisiko birgt. Das zeigt demnach eine Untersuchung von 1.406 Webseiten kleiner und mittelständischer Unternehmen (KMU) mit dem „SIWECOS“-Scanner. Es seien etwa 53 Prozent der KMU-Webseiten als „potenziell angreifbar“ bewertet worden – jede zwölfte (acht Prozent) sei mit „gravierenden Sicherheitsmängeln“ behaftet.
KMU-Webseiten ungewollt Einfallstor für Cyber-Kriminelle
Viele Webseiten mittelständischer Unternehmen werden ungewollt zum Einfallstor für Cyber-Kriminelle. Der eco hat nach eigenen Angaben 1.406 Webseiten mit dem Sicherheits-Scanner „SIWECOS“ untersucht und festgestellt: „39 Prozent der untersuchten Webseiten nutzen kein HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der ,Google Chrome‘ kennzeichnen inzwischen Internetseiten ohne HTTPS als ,nicht sicher‘.“
Rund 14 Prozent der geprüften Webseiten setzten Zertifikate ein, die bei der ausstellenden Zertifizierungsstelle abgelaufen oder fehlerhaft implementiert worden seien. „Damit ist rund jede zweite KMU-Webseite potenziell angreifbar“, warnt Cornelia Schildt, Projektleiterin „SIWECOS“ und eco-Sicherheitsexpertin.
Zu viele veraltete Webseiten haben gravierende Sicherheitslücken
Auch kritische Sicherheitslücken seien noch weit verbreitet, so der „SIWECOS“-Scan: Bei rund acht Prozent der untersuchten Webseiten sei der Server durch eine „POODLE“-Schwachstelle verwundbar, die es einem Angreifer erlauben könnte, die Kommunikation zu entschlüsseln. 5,6 Prozent der Webseiten seien potenziell mittels „Padding Oracle“-Angriff angreifbar.
Bei rund 25 Prozent der überprüften Webseiten lasse sich die Version des „Content Management Systems“ (CMS) oder der verwendeten Plugins auslesen. Ein Drittel dieser Seiten arbeite mit einer Version mit bekannten Schwachstellen. Jedes Unternehmen sollte den Sicherheitsstatus des eigenen CMS regelmäßig überprüfen, beispielsweise mit den kostenfreien Scannern von „SIWECOS“, empfiehlt Schildt: „Die Verantwortlichen in vielen Unternehmen wissen oftmals nicht, dass ihr CMS Schwachstellen hat und gefährden so Unternehmens-IT und Kundendaten.“
„SIWECOS“ checkt Websites kostenfrei auf Schwachstellen
Nachholbedarf hätten KMU in NRW zudem beim Schutz vor Phishing-Attacken: 33 Prozent aller geprüften KMU-Webseiten hätten maschinell auslesbare E-Mail-Adressen, 14 Prozent auslesbare Telefonnummern. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyber-Kriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken“, erläutert Schildt.
Wer solche Sicherheitslücken findet und verschließt, der verhindere, dass Cyber-Kriminelle darüber eindringen, um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Das könne teuer werden: „Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyber-Kriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von ,SIWECOS‘ binnen Sekunden überprüfen.“
„SIWECOS“ bietet Webseitenscanner, Filterregeln sowie Aufklärungs- und Hilfsangebote
Der Name des Scanners stehe für „Sichere Webseiten und Content Management Systeme“: „Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.“
„SIWECOS“ ist laut eco ein im Herbst 2016 gestartetes Gemeinschaftsprojekt des eco-Verbandes und der Ruhr-Universität Bochum mit Unterstützung des CMS Garden e.V. sowie des Bochumer IT-Security Startups Hackmanit. Das Projekt werde gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWI) und habe zum Ziel, die KMU-Webseitensicherheit langfristig zu erhöhen. „SIWECOS“ bietet demnach einen Webseitenscanner, der Sicherheitslücken zuverlässig aufdeckt, Filterregeln für Hosting-Anbieter, das Webangriffe frühzeitig identifiziert, sowie Aufklärungs- und Hilfsangebote für KMU beim Betrieb von Webseiten mit Content-Management-Systemen.
Weitere Informationen zum Thema:
SIWECOS
Schnell-Check
Bundesministerium für Wirtschaft und Energie
Initiative „IT-Sicherheit IN DER WIRTSCHAFT“
datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert
datensicherheit.de, 16.10.2018
eco: SIWECOS weist Sicherheitslücken auf Webseiten im Mittelstand nach
datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet
Aktuelles, Experten - Nov 27, 2024 20:06 - noch keine Kommentare
Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
weitere Beiträge in Experten
- Bildungsprojekt MedienTrixx hat Datenschutz und Künstliche Intelligenz im Fokus
- Offener Brief an Bundestag: TeleTrusT mahnt NIS-2-Umsetzung noch in laufender Legislaturperiode an
- Mal wieder IP-Datenspeicherung angestrebt: DAV fordert nachdrücklich, Überwachungsphantasien abzustellen
- ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
Aktuelles, Branche, Veranstaltungen - Nov 27, 2024 20:00 - noch keine Kommentare
IT-Defense: Nächste Auflage vom 12. bis 14. Februar 2025 in Leipzig
weitere Beiträge in Branche
- Angriffe mittels USB gefährden Kritische IT- und OT-Infrastrukturen
- Marco Eggerling gibt CISO-Tipps für effektive E-Mail-Sicherheit
- Black Friday: 89 Prozent mehr ominöse Shopping-Websites als 2023
- PyPI-Lieferkette im Visier: Kaspersky deckte Cyber-Angriff auf
- Im Kontext der CRA-Umsetzung droht Herstellern Open-Source-Falle
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren