[datensicherheit.de, 09.07.2020] Nach eigenen Angaben haben kaspersky-Experten über tausend inaktive Domains identifiziert, welche Anwender auf unerwünschte URLs weiterleiten, womit Cyber-Kriminelle Profit erzielen könnten. Viele dieser „Second-Stage-Seiten“ enthielten zudem schädliche Inhalte. Die entdeckten kompromittierten Domains werden demnach auf einem der größten Marktplätze für den Domain-Handel zum Verkauf angeboten.

Kaspersky-Experten erforschen neue cyber-kriminelle Vorgehensweise

Wenn Unternehmen nicht mehr für einzelne ihrer Domains zahlen, werden diese laut kaspersky manchmal von einem Dienstleister aufgekauft und auf dedizierten Marktplätzen zum Verkauf angeboten. Nutzer, die auf eine solche inaktive Webseite zugreifen möchten, würden dann auf Auktions-Webseiten weitergeleitet, „auf denen ihnen mitgeteilt wird, dass die Seite zum Verkauf steht“. Cyber-Kriminelle könnten dieses Vorgehen jedoch für sich missbrauchen und Profit daraus schlagen, indem sie die Webseite beispielsweise mit einem schädlichen Link austauschten.
Bei der Untersuchung eines Assistant-Tools, das zu einem populären Online-Spiel gehöre, habe die Anwendung versucht, die kaspersky-Experten auf eine unerwünschte URL zu leiten, welche auf dem weltweit ältesten und größten Marktplatz für Domains zum Verkauf angeboten worden sei. Die Experten seien allerdings nicht auf die reguläre Auktions-Seite weitergeleitet worden, sondern über einen zweistufigen Redirect auf eine auf der Sperrliste stehende Webseite.

Shlayer – laut kaspersky weitverbreiteter macOS-Trojaner

Bei der weiteren Analyse hätten rund 1.000 Webseiten identifiziert werden können, welche auf dem Marktplatz zum Verkauf gestanden hätten und bei denen die Besucher über einen zweistufigen Redirect auf über 2.500 unerwünschte URLs geführt worden seien. Bei vielen sei daraufhin der Trojaner „Shlayer“ heruntergeladen worden. Dabei handelt es sich laut kaspersky um eine weitverbreitete macOS-Malware, welche auf den infizierten Geräten Adware installiere und üblicherweise über Webseiten mit schädlichem Inhalt verbreitet werde.
Zwischen März 2019 und Februar 2020 habe der Großteil (89 Prozent) dieser „Second-Stage-Redirects“ auf Werbe-Seiten geführt. Bei den restlichen elf Prozent der Weiterleitungen hätten die Seiten selbst schädlichen Code enthalten oder die Nutzer aufgefordert, infizierte „MS-Office“- und PDF-Dateien herunterzuladen.

kaspersky identifiziert neue, lukrative Malvertising-Methode

Hinter dieser neuen Methode stecke ein „profitables Geschäftsmodell“. Denn die Cyber-Kriminellen erhielten eine Provision für die Weiterleitung auf unerwünschte Seiten – unabhängig davon, ob diese nun legitime Werbeseiten oder schädliche Websites sind. Man spreche hierbeo von „Malvertising“. Bei einer dieser schädlichen Seiten seien beispielsweise 600 solcher Redirects in zehn Tagen registriert worden.
kaspersky geht davon aus, „dass die Cyber-Kriminellen eine Provision auf Basis der Anzahl der Visits erhalten haben“. Im Fall des Trojaners „Shlayer“ dürften die Verbreiter der Malware für jede Installation auf einem der Geräte bezahlt worden sein. Es sei „wahrscheinlich, dass die Masche auf Fehler bei der Anzeigenfilterung für das Modul zurückzuführen ist, das den Inhalt des Werbenetzwerks eines Drittanbieters anzeigt“.

Kaspersky warnt: Nutzer kann fast nichts tun, um Redirect auf schädliche Seiten zu entgehen

„Leider können Nutzer fast nichts tun, um einem Redirect auf schädliche Seiten zu entgehen“, so Dmitry Kondratyev, „Junior Malware Analyst“ bei kaspersky. Domains, die solche Redirects auslösen, seien früher legitime Ressourcen gewesen, welchen von den Anwendern unter Umständen recht häufig aufgesucht worden seien. Kondratyev betont: „Es gibt keine Möglichkeit festzustellen, ob diese Domains die Anwender jetzt auf Seiten zum Download von Malware weiterleiten oder nicht.“
Hinzu kommt laut Kondratyev, dass die Weiterleitung auf schädliche Webseiten nicht zwangsweise erfolgt: So könnte ein Zugriff auf diese Seiten von Russland aus keine Folgen haben, während der Zugriff über ein VPN den Download von „Shlayer“ nach sich ziehen könnte. Diese Art von Malvertising sei im Allgemeinen recht komplex und damit nur sehr schwer vollständig aufzudecken. Die beste Strategie sei daher die Installation einer umfassenden Sicherheitslösung auf den Geräten.

kaspersky-Tipps zum Schutz vor einer Infektion mit Trojanern beim Aufruf schädlicher Websites:

• Programme und Updates nur aus vertrauenswürdigen Quellen installieren.
• Webseiten hinsichtlich deren Seriosität durch vorherige Recherche überprüfen.
• Eine zuverlässige Sicherheitslösung (wie z.B. „Kaspersky Security Cloud“) verwenden, die sowohl Mac als auch PC sowie mobile Geräte schützt.

Weitere informationen zum Thema:

kaspersky SECURELIST, Dmitry Kondratyev, 08.07.2020
Research / Redirect auction

kaspersky, 23.01.2020
Tausende von Websites verbreiten macOS-Malware / Deutschland mit 14 Prozent international am zweithäufigsten von der Trojaner-Familie Shlayer betroffen

datensicherheit.de, 28.05.2020
Kaspersky ICS CERT: Angriffe auf Zulieferer für Industrieunternehmen identifiziert

[datensicherheit.de, 20.12.2019] Der eco – Verband der Internetwirtschaft e.V. meldet, dass rund jede zweite Firmenwebseite in Deutschland „schlecht konfiguriert“ ist und ein potenzielles Sicherheitsrisiko birgt. Das zeigt demnach eine Untersuchung von 1.406 Webseiten kleiner und mittelständischer Unternehmen (KMU) mit dem „SIWECOS“-Scanner. Es seien etwa 53 Prozent der KMU-Webseiten als „potenziell angreifbar“ bewertet worden – jede zwölfte (acht Prozent) sei mit „gravierenden Sicherheitsmängeln“ behaftet.

KMU-Webseiten ungewollt Einfallstor für Cyber-Kriminelle

Viele Webseiten mittelständischer Unternehmen werden ungewollt zum Einfallstor für Cyber-Kriminelle. Der eco hat nach eigenen Angaben 1.406 Webseiten mit dem Sicherheits-Scanner „SIWECOS“ untersucht und festgestellt: „39 Prozent der untersuchten Webseiten nutzen kein HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der ,Google Chrome‘ kennzeichnen inzwischen Internetseiten ohne HTTPS als ,nicht sicher‘.“
Rund 14 Prozent der geprüften Webseiten setzten Zertifikate ein, die bei der ausstellenden Zertifizierungsstelle abgelaufen oder fehlerhaft implementiert worden seien. „Damit ist rund jede zweite KMU-Webseite potenziell angreifbar“, warnt Cornelia Schildt, Projektleiterin „SIWECOS“ und eco-Sicherheitsexpertin.

Zu viele veraltete Webseiten haben gravierende Sicherheitslücken

Auch kritische Sicherheitslücken seien noch weit verbreitet, so der „SIWECOS“-Scan: Bei rund acht Prozent der untersuchten Webseiten sei der Server durch eine „POODLE“-Schwachstelle verwundbar, die es einem Angreifer erlauben könnte, die Kommunikation zu entschlüsseln. 5,6 Prozent der Webseiten seien potenziell mittels „Padding Oracle“-Angriff angreifbar.
Bei rund 25 Prozent der überprüften Webseiten lasse sich die Version des „Content Management Systems“ (CMS) oder der verwendeten Plugins auslesen. Ein Drittel dieser Seiten arbeite mit einer Version mit bekannten Schwachstellen. Jedes Unternehmen sollte den Sicherheitsstatus des eigenen CMS regelmäßig überprüfen, beispielsweise mit den kostenfreien Scannern von „SIWECOS“, empfiehlt Schildt: „Die Verantwortlichen in vielen Unternehmen wissen oftmals nicht, dass ihr CMS Schwachstellen hat und gefährden so Unternehmens-IT und Kundendaten.“

„SIWECOS“ checkt Websites kostenfrei auf Schwachstellen

Nachholbedarf hätten KMU in NRW zudem beim Schutz vor Phishing-Attacken: 33 Prozent aller geprüften KMU-Webseiten hätten maschinell auslesbare E-Mail-Adressen, 14 Prozent auslesbare Telefonnummern. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyber-Kriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken“, erläutert Schildt.
Wer solche Sicherheitslücken findet und verschließt, der verhindere, dass Cyber-Kriminelle darüber eindringen, um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Das könne teuer werden: „Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyber-Kriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von ,SIWECOS‘ binnen Sekunden überprüfen.“

„SIWECOS“ bietet Webseitenscanner, Filterregeln sowie Aufklärungs- und Hilfsangebote

Der Name des Scanners stehe für „Sichere Webseiten und Content Management Systeme“: „Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.“
„SIWECOS“ ist laut eco ein im Herbst 2016 gestartetes Gemeinschaftsprojekt des eco-Verbandes und der Ruhr-Universität Bochum mit Unterstützung des CMS Garden e.V. sowie des Bochumer IT-Security Startups Hackmanit. Das Projekt werde gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWI) und habe zum Ziel, die KMU-Webseitensicherheit langfristig zu erhöhen. „SIWECOS“ bietet demnach einen Webseitenscanner, der Sicherheitslücken zuverlässig aufdeckt, Filterregeln für Hosting-Anbieter, das Webangriffe frühzeitig identifiziert, sowie Aufklärungs- und Hilfsangebote für KMU beim Betrieb von Webseiten mit Content-Management-Systemen.

Weitere Informationen zum Thema:

SIWECOS
Schnell-Check

Bundesministerium für Wirtschaft und Energie
Initiative „IT-Sicherheit IN DER WIRTSCHAFT“

datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert

datensicherheit.de, 16.10.2018
eco: SIWECOS weist Sicherheitslücken auf Webseiten im Mittelstand nach

datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet

[datensicherheit.de, 14.11.2019] Mehrere Datenschutzbeauftragte der Länder haben sich am 14. November 2019 zu Wort gemeldet und Stellung zu Analyse-Diensten für Webseiten genommen. Wer solche für seine eigenen Webseiten einbindet, sollte dringend überprüfen, ob damit nicht gegen geltendes Datenschutzrecht verstoßen wird.

Detaillierte Daten über Nutzungsverhalten, Interessen und Standorte

Vielen Internet-Nutzern sei offensichtlich nicht bewusst, dass mit dem Aufruf einer Webseite häufig nicht nur eine Verbindung zu dem Anbieter aufgebaut werde, sondern auch eingebundene Dienstleister die Klicks sehen und auswerten könnten. Besonders bekannt seien Analyse-Dienste, welche das Nutzungsverhalten analysieren oder die Nutzenden beim Surfen über verschiedene Webangebote beobachten („Tracking“). Nicht jeder Webanbieter habe bei der Einbindung solcher Dienste das Datenschutzrecht im Blick.
„Uns erreichen zahlreiche Beschwerden zu Analyse-Diensten auf Webseiten – das sind nicht mehr nur Einzelfälle. Die Menschen machen sich Sorgen, dass detaillierte Daten über ihr Nutzungsverhalten, ihre Interessen oder ihre Standorte gesammelt werden. Sie wollen keine auf sie zugeschnittene Werbung oder haben Angst vor Manipulation. Dies betrifft besonders solche Dienstleister, die die Daten von verschiedenen Webseiten zusammenführen, mit weiteren Informationen anreichern und zu eigenen Zwecken verwerten. Dabei lassen sich nicht nur Klicks auswerten, sondern auch Mausbewegungen oder Tastatureingaben“, erläutert Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein.
Unter welchen Bedingungen nach der aktuellen Rechtslage Analyse-Dienste auf Webseiten eingebunden werden dürfen, habe die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder im Frühjahr 2019 veröffentlicht. „Ein Großteil der Webanbieter muss dringend nachbessern, um nicht gegen das Datenschutzrecht zu verstoßen!“ Hansens Appell: Wer Analyse-Dienste auf den Webseiten einbindet, soll dies bitte dringend überprüfen!

Die meisten Cookie-Banner erfüllen gesetzlichen Anforderungen nicht

Auch die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, betont: „Webseiten-Betreiber benötigen eine Einwilligung der Besucherinnen und Besucher ihrer Webseiten, wenn darin Dritt-Dienste eingebunden werden sollen, bei denen der Anbieter dadurch erlangte personenbezogene Daten auch für eigene Zwecke nutzt. Dazu gehört auch das Produkt ,Google Analytics‘.“
Analyse-Tools, die Daten über das Nutzungsverhalten an Dritte weitergeben, dürften danach jedenfalls in den Fällen, in denen diese Dritten die Daten auch zu eigenen Zwecken verwenden, nur mit Einwilligung genutzt werden. Gleiches gilt laut Smoltczyk, wenn das Verhalten der Webseiten-Besucherinnen und -Besucher im Detail nachvollzogen und aufgezeichnet werden kann, etwa wenn Tastatureingaben, Maus- oder Wischbewegungen erfasst werden. Als zulässig angesehen werden könne es demgegenüber, wenn ein Webseiten-Betreiber eine Reichweitenerfassung durchführt und dafür die Zahl der Besucher pro Seite, die Geräte und die Spracheinstellungen erhebt, auch wenn ein Auftragsverarbeiter dies erledigt. Ein Auftragsverarbeiter dürfe allerdings die Daten nicht zu eigenen Zwecken verwenden, „wie es sich mittlerweile der Anbieter von ,Google Analytics‘ vorbehält“.
Viele Webseiten-Betreiber beriefen sich bei der Einbindung von „Google Analytics“ auf alte, durch fortlaufende Produktveränderungen längst überholte und zurückgezogene Veröffentlichungen wie die Hinweise für Berliner Webseitenbetreiber, die „Google Analytics“ einsetzen. Das Produkt „Google Analytics“ sei in den vergangenen Jahren so fortentwickelt worden, dass es in der aktuellen Gestaltung keine Auftragsverarbeitung mehr darstelle. Smoltczyk: „Vielmehr räumt sich der Anbieter das Recht ein, die Daten der die Webseiten Besuchenden zu eigenen Zwecken zu verwenden. Die Einbindung von ,Google Analytics‘ erfordert daher eine Einwilligung, die den Anforderungen der Datenschutz-Grundverordnung genügt. Die meisten der sogenannten Cookie-Banner, die wir in der Praxis sehen, erfüllen die gesetzlichen Anforderungen nicht.“
Webseiten-Betreiber sollten ihre Website umgehend auf Dritt-Inhalte und Tracking-Mechanismen überprüfen. Wer Funktionen nutzt, die eine Einwilligung erfordern, müsse entweder die Einwilligung einholen oder die Funktion entfernen. Eine Einwilligung sei nur dann wirksam, wenn der Nutzer „der konkreten Datenverarbeitung eindeutig und informiert zustimmt“. Ein sogenannter Cookie-Banner, der davon ausgeht, dass reines Weitersurfen auf der Webseite oder Ähnliches eine Einwilligung bedeuten sollen, sei unzureichend. Dasselbe gelte für voraktivierte Kästchen bei Einwilligungserklärungen. Diese Wertung der Datenschutz-Grundverordnung sei eindeutig, und der Europäische Gerichtshof habe sie in seinem Urteil vom 1. Oktober 2019 ausdrücklich bestätigt.
Was eine wirksame Einwilligung ist, werde in Artikel 4 Nummer 11 der Datenschutz-Grundverordnung (DSGVO) definiert. Danach ist eine „,Einwilligung‘ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist“. Nach Erwägungsgrund 32 DSGVO seien Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person daher „nicht als Einwilligung anzusehen“.
Smoltczyk: „Uns liegen bereits zahlreiche Beschwerden und Hinweise über die unzulässige Einbindung von Dritt-Inhalten vor. Wir prüfen diese und haben bereits viele Verfahren gegen Unternehmen eingeleitet. Diese Zahl wird sich künftig noch erheblich erhöhen. Webseiten-Betreiberinnen und -Betreiber, die unzulässig Dritt-Inhalte einbinden, müssen nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androht.“

15.000 Websites von Betreibern in Rheinland-Pfalz setzen „Google Analytics“ rechtswidrig ein

Auch Prof. Dr. Dieter Kugelmann, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland Pfalz (LfDI) berichtet, dass er eine Vielzahl von Beschwerden über Websites erhalte, welche die Orientierungshilfe der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder vom März 2019 missachteten.
Insbesondere liege ein Hinweis vor, „der nahelegt, dass auf rund 15.000 Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz ,Google Analytics‘ rechtswidrig eingesetzt wird“. Der LfDI prüfe diese und habe bereits Verfahren gegen Unternehmen eingeleitet. Diese Zahl werde sich künftig noch erheblich erhöhen, da der LfDI zukünftig gezielt Websites von Verantwortlichen mit Sitz in Rheinland-Pfalz überprüfen werde. Website-Betreiber, die unzulässig Dritt-Inhalte einbinden, müssten nicht nur mit datenschutzrechtlichen Anordnungen rechnen, sondern sollten auch berücksichtigen, dass die DSGVO für derartige Verstöße hohe Geldbußen androhe.

Weitere Informationen zum Thema:

DSK Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, März 2019
Orientierungshilfe der Aufsichtsbehörden für Anbieter von Telemedien

ULD Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, 14.11.2019
Vorsicht bei Einbindung von Analyse-Diensten auf Websites – Website-Betreiber sollten ihr Angebot überprüfen

datensicherheit.de, 26.10.2016
Kritik zu Googles 18. Jahrestag: Von der Suchmaschine zum Überwachungsimperium

[datensicherheit.de, 08.08.2019] Laut einer Meldung von proofpoint versuchen Cyber-Kriminelle erneut „DocuSign“-Nachrichten zu imitieren, um Anwendern ihre Anmeldedaten, beispielsweise für ihr „Office-365“-Account, zu stehlen: „Zu diesem Zweck haben die Betrüger dementsprechend präparierte Landingpages auf kommerziellen Cloud-Diensten wie ,Amazon S3‘ (Simple Storage Service) gehostet, die ihren originalen Pendants zum Verwechseln ähnlichsehen.“

Nutzung professioneller Cloud-Angebote laut proofpoint ungewöhnlich

proofpoint hat jetzt diese Bedrohung nach eigenen Angaben im Rahmen seiner Analysen der aktuellen Bedrohungslage herausgefunden. „Auch wenn in der Vergangenheit bereits andere Plattformen, wie der ,GitHub‘-Dienst oder der ,Azure-Blob‘-Speicher von Microsoft, missbraucht wurden, so ist die Nutzung dieser professionellen Cloud-Angebote dennoch ungewöhnlich.“

proofpoint warnt: Entdeckung und Nachverfolgbarkeit sollen verhindert werden

Die Cyber-Kriminellen setzten dabei sehr effiziente Verschlüsselungsmechanismen wie „XOR“ ein, um einer möglichen Entdeckung durch den Cloud-Provider zu umgehen und die Nachverfolgbarkeit ihrer Aktivitäten möglichst schwierig zu gestalten. proofpoint und amazon hätten bei dieser aktuellen Bedrohung jedoch sehr eng zusammengearbeitet, so dass alle im Rahmen der Attacke bekanntgewordenen, auf „AWS-S3“-Instanzen gehosteten Webseiten vom Netz genommen worden seien.

Weitere Informationen zum Thema:

proofpoint, 08.08.2019
Phishing Actor Using XOR Obfuscation Graduates to Enterprise Cloud Storage on AWS

datensicherheit.de, 19.07.2019
FaceApp: Hype lockt Betrüger an

datensicherheit.de, 29.05.2019
Proofpoint: Emotet fast zwei Drittel aller bösartigen Payloads

datensicherheit.de, 13.05.2019
Proofpoint-Studie: Finanzdienstleister beliebtes Ziel für Cyberkriminelle

[datensicherheit.de, 16.10.2018] Internet-Webseiten von kleinen und mittelständischen Unternehmen sind häufig ein Einfallstor für Cyberkriminelle. Die nutzen etwa Schwachstellen im Content Management System (CMS), um Seiten zu hacken. „9 Prozent der über 1.100 untersuchten Webseiten weisen eklatante Sicherheitsmängel auf. Es besteht hier akuter Handlungsbedarf seitens der Webseitenbetreiber“, sagt Peter Meyer, Projektleiter SIWECOS und Sicherheitsexperte im eco – Verband der Internetwirtschaft e. V. Außerdem konnten die Experten mit dem SIWECOS Scanner feststellen, dass 52 Prozent der geprüften KMU Webseiten nicht optimal konfiguriert sind. Die eingesetzte Konfiguration ermöglicht auf mittlere Sicht eventuell Cyberangriffe.

E-Mail Adressen auf fast jeder zweiten Seite maschinell auslesbar

Weiteres Ergebnis der Untersuchung: Nur 67 Prozent der KMUs nutzen HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als „nicht sicher“. Bei 22 Prozent aller geprüften KMU-Webseiten lässt sich zudem die Version des Content Management Systems oder eines darin installierten Plugins auslesen. Die Hälfte dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen.

Nachholbedarf haben klein- und mittelständische Unternehmen zudem beim Schutz vor Phishing-Attacken: 40,5 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Telefonnummern auf der Startseite, 44,1 Prozent maschinell auslesbare Email-Adressen. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken“, sagt Meyer.

Bekannte Schwachstellen vorhanden

6,8 Prozent der geprüften KMU Webseiten weisen die Poodle-Schwachstelle auf, eine 2014 bekannt gewordene schwerwiegende Sicherheitslücke im TLS-Protokoll. Sie erhöht die Gefahr, dass über verschlüsselte Verbindungen private Daten von Clients und Servern ausgelesen werden können durch sogenannte Man-in-the-Middle Angriffe. Weitere 4,7 Prozent der geprüften KMU Webseiten weisen eine Padding-Oracle Schwachstelle auf.

Jede zwölfte geprüfte Webseite, die ein Server-Zertifikat einsetzt, tut dies fehlerhaft. Der überwiegende Teil der Zertifikate ist bei der ausstellenden Zertifizierungsstelle abgelaufen oder setzen schwache kryptographische Funktionen wie etwa SHA1 oder MD5 ein. In beiden Fällen führt dies dazu, dass ein Besucher beim Aufruf der Webseite gewarnt wird.

„Viele kleine und mittelständische Unternehmen wissen nicht, dass die Software hinter ihrer Webseite, das Content Management System (CMS), Sicherheitslücken hat“, sagt Meyer. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von SIWECOS binnen Sekunden überprüfen. Der Name steht für „Sichere Webseiten und Content Management Systeme“: Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.

Website-Check SIWECOS findet Schwachstellen kostenfrei

Wer solche Sicherheitslücken findet und verschließt, der verhindert, dass Cyberkriminelle darüber eindringen um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Das kann teuer werden: Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyberkriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen.

„Mit SIWECOS erhalten die angemeldeten Nutzer ausführliche Informationen über ihre Webseite und werden umgehend bei Vorfällen informiert“, sagt Peter Meyer. „Damit sind Unternehmen auf der sicheren Seite.“ Gefördert hat SIWECOS das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft. Geschaffen hat es der eco – Verband der Internetwirtschaft e. V. zusammen mit der Ruhr-Universität Bochum und weiteren Unterstützern.

* Für den SIWECOS KMU Webseiten-Check wurden 1.142 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im September 2018 mit den Scannern des SIWECOS Projekts auf mögliche Schwachstellen hin überprüft.

Weitere Informationen zum Thema:

datensicherheit.de, 15.10.2018
eco: Schutz vor Crypto-Mining

datensicherheit.de, 01.10.2018
eco: Neuer Medienstaatsvertrag darf nicht zum Störfaktor innovativer Geschäftsmodelle werden

datensicherheit.de, 26.09.2017
eco: Künstliche Intelligenz „Made in Germany“ braucht Leitlinien

datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet

Google will HTTPS-verschlüsselte Seiten stärker gewichten

[datensicherheit.de, 15.08.2014] Webmaster und SEO-Agenturen müssen wohl künftig umdenken. Denn der Suchmaschinenriese Google gab bekannt, dass HTTPS-verschlüsselte Webseiten in den Suchergebnissen stärker gewichtet werden. Zunächst soll HTTPS nur ein Faktor unter vielen in Googles Suchalgorithmus darstellen. Längerfristig will die Suchmaschine sicherheitsbewusste Seitenbetreiber, die ihr Onlineangebot mit HTTPS absichern, belohnen und dem SSL-Zertifikat mehr Bedeutung beimessen. „Webseitenbetreiber, die ein SSL-Zertifikat implementieren, tragen künftig zwei relevanten Punkten Rechnung: Sie gestalten die Kommunikation sicherer und optimieren ihr Ranking. Dies gilt nicht nur für Shops, die mit sensiblen Kundendaten umgehen, sondern bereits für kleinere Webseiten oder Blogs“, so Christian Heutger, Geschäftsführer der PSW GROUP.

© PSW Group

Christian Heutger, Geschäftsführer der PSW GROUP

Heutger weiß, dass Vertrauenswürdigkeit eines der wichtigsten Kriterien im elektronischen Handel ist. Dabei ist nicht nur wichtig, Kundendaten vor unerlaubtem Abhören zu schützen, sondern auch, dass der Anbieter durch eine dritte Instanz geprüft und seine Identität sichergestellt wurde. Sichtbares Zeichen der Vertrauenswürdigkeit ist ein SSL-Zertifikat. Eine SSL-geschützte Verbindung ist an einem Schloss-Symbol in der Adressleiste des Browsers sowie der grünen-Adressleiste erkennbar. Dem Besucher einer Webseite werden nach Klick auf das Schloss-Symbol die wichtigsten Daten über den Inhaber sowie Aussteller des Zertifikats angezeigt.

„SSL Zertifikate einzurichten ist einfach. Es gibt drei Zertifikatsarten, jeweils für verschiedene Anforderungen. Wir bieten alle drei Typen verschiedener Zertifizierungsstellen an und beraten, welches das individuell passende Zertifikat ist“, so Heutger. Wer beispielsweise nur eine Domain schützen möchte, für den sind Einzelzertifikate geeignet. Wildcardzertifikate schützen sämtliche einstufige Subdomains einer Domain. Wer mehrere Domains verwaltet, für den sind Multidomainzertifikate die richtige Wahl.

Diese drei Zertifikatsarten gibt es für verschiedene Validierungstypen: Domainvalidierte Zertifikate stellen eine Art Einsteiger-SSL-Zertifikat dar und sind geeignet für kleine und mittlere Webseiten und Shops. Bei der Ausstellung, die binnen 10 Minuten erfolgt, wird lediglich überprüft, ob der Antragsteller eine E-Mail an eine bestimmte Adresse innerhalb der geprüften Domain erhalten kann. Organisationsvalidierte Zertifikate gehen weiter und sind deshalb geeignet für mittlere bis große Seiten und Shops. Bei der Ausstellung wird geprüft, ob der Antragssteller auch die genannte Organisation ist. Dokumente und ein Telefonanruf werden zur Identitätsprüfung verwendet. Daneben existieren noch Extended Validation-Zertifikate, die eine ausführliche Organisationsprüfung voraussetzen und für Webseiten von Banken oder ähnliche Internetauftritte geeignet sind.

Weitere Informationen zum Thema:

datensicherheit.de, 09.06.2014
Security Advisory: Neue Sicherheitslücken in OpenSSL identifiziert

datensicherheit.de, 11.04.2014
OpenSSL: BSI stuft „Heartbleed Bug“ als kritisch ein

PSW GROUP
Startseite

[datensicherheit.de, 18.03.2014] Barracuda Networks, Anbieter von Security- und Storage-Lösungen, bietet mit Threatglass ein Online-Tool, mit dem sich web-basierte Malware teilen, analysieren und bekannte Infektionen nachverfolgen lässt. Mit Threatglass können Anwender Webseiten-Infektionen graphisch nachvollziehen, indem Screenshots der verschiedenen Stadien einer Infektion dargestellt werden und darüber hinaus Netzwerk-Charakteristika wie gehostete Elemente und Anläufe analysiert werden können.

Dr. Paul Judge, Chief Research Officer und Vice President bei Barracuda kommentiert: „Mit dem Phänomen, dass gute Seiten ‚böse‘ werden, sind populäre Webseiten tagtäglich konfrontiert. Seiten werden angegriffen, infiziert und sorgen dafür, dass nichtsahnende Besucher sich die Malware ebenfalls einfangen. Threatglass richtet sich sowohl an den gewöhnlichen Nutzer als auch an die Forschungs-Community um ihnen ein Mittel an die Hand zu geben, dieses fortlaufend bestehende Problem besser zu verstehen.“

Threatglass ist das Front-End für ein leistungsstarkes automatisiertes System, dass durch Virtualisierung und unabhängig von spezifischen Schwachstellen und Exploits Web-basierte Maleware aufspürt. Diese Plattform analysiert Millionen von Webseiten pro Woche. Die untersuchten Webseiten kommen aus den unterschiedlichsten Quellen. Dazu gehören die Alexa Top25000-Webseiten, Social-Feeds sowie verdächtige Webseiten im Barracuda Kunden-Netzwerk. Dieses besteht aus weltweit mehr als 150.000 Organisationen. Über die Screenshots der Infektionen hinaus zeigt Threatglass auf vielfältige Art und Weise den Netzwerkverkehr an. Dazu gehören die grafische oder tabellarische Aufarbeitung von DNS, HTTP sowie des Netzflows. Das System hat bisher ungefähr 10.000 Web-basierte Angriffe live katalogisiert – neue kommen täglich hinzu.

Die Malware Detection Engines der Barracuda Labs haben zahlreiche Infektionen auch in sehr etablierten Webseiten entdeckt. In den vergangenen Monaten publizierten die Barracuda Labs hierzu ihre Ergebnisse für Cracked.com, Php.net und Hashbro.com. Diese Beispiele sowie tausende andere Webseiten sind jetzt über Threatglass sichtbar.

Zu den Kern-Funktionalitäten die Anwender ausprobieren können gehören:

Visualisierung:

• Ansicht von infizierten Websites in einer grafischen Oberfläche à la Pinterest
• Grafisch aufgearbeitete Trend-Daten historischer Malware-Volumen
• Untersuchung der Beziehungen zwischen den verschiedenen Komponenten eines Angreifer-Rings

Community:

• Teilen von Daten zwischen verschiedenen Forschern
• Untersuchung von geparsten Breakout-Daten und Quell-Dateien
• Einreichen von Webseiten zur weiteren Untersuchung

Weitere Informationen zum Thema:

Barracuda Labs
Threatglass

[datensicherheit.de, 31.08.2012]Mitarbeiter der G Data SecurityLabs haben mehrere Webseiten entdeckt, die mit dem gefährlichen Java Exploit Besucher angreifen – darunter die Internetseite eines albanischen TV-Senders. Dabei reicht der reine Besuch dieser Seiten aus, um den Computer zu infizieren und ihn in ein Botnetz einzubinden – vorausgesetzt auf dem PC ist eine Version von Java 7, Update 0 bis 6 installiert.
Die Angreifer verschaffen sich Zugang zum Webserver und dem Quellcode der Webseite, um den Exploit direkt als Java Applet, d.h. als Programm, welches im Browser ausgeführt wird, einzubinden. Vermutlich nutzen die Täter die gekaperten Rechner für den Versand von Spam-Mails und DoS oder DDoS-Attacken. G Data-Kunden sind hiervor geschützt.

Hinweise auf plattformübergreifende Attacken

Bei der Analyse des Schadprogramm-Quellcodes stießen die G Data SecurityLabs auf Hinweise, dass der Exploit nicht nur bei Windows, sondern auch auf weiteren Plattformen funktionieren kann. Dazu prüft der Schadcode nach dem erfolgreichen Angriff zunächst, welches Betriebssystem auf dem Rechner installiert ist und lädt anschließend dann die passenden Schaddateien für die Plattform nach, um den Computer in das Botnetz einzubinden. Aktuell wird der Schadcode nur bei Windows-PCs nachgeladen, allerdings kann die plattformübergreifende Funktion von den Kriminellen leicht aktiviert werden, sodass auch Anwender angegriffen werden können, die ein anderes Betriebssystem und eine der betroffenen Java-Versionen nutzen.

Weitere Informationen zum Thema:

G DATA SecurityBlog, 31.08.2012
The New Java 0-Day Exploit Actively Endangers Web Surfers