eco-Warnung: Jede zweite Firmenwebseite gefährdet

1.406 Webseiten kleiner und mittelständischer Unternehmen mit dem „SIWECOS“-Scanner untersucht

[datensicherheit.de, 20.12.2019] Der eco – Verband der Internetwirtschaft e.V. meldet, dass rund jede zweite Firmenwebseite in Deutschland „schlecht konfiguriert“ ist und ein potenzielles Sicherheitsrisiko birgt. Das zeigt demnach eine Untersuchung von 1.406 Webseiten kleiner und mittelständischer Unternehmen (KMU) mit dem „SIWECOS“-Scanner. Es seien etwa 53 Prozent der KMU-Webseiten als „potenziell angreifbar“ bewertet worden – jede zwölfte (acht Prozent) sei mit „gravierenden Sicherheitsmängeln“ behaftet.

KMU-Webseiten ungewollt Einfallstor für Cyber-Kriminelle

Viele Webseiten mittelständischer Unternehmen werden ungewollt zum Einfallstor für Cyber-Kriminelle. Der eco hat nach eigenen Angaben 1.406 Webseiten mit dem Sicherheits-Scanner „SIWECOS“ untersucht und festgestellt: „39 Prozent der untersuchten Webseiten nutzen kein HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der ,Google Chrome‘ kennzeichnen inzwischen Internetseiten ohne HTTPS als ,nicht sicher‘.“
Rund 14 Prozent der geprüften Webseiten setzten Zertifikate ein, die bei der ausstellenden Zertifizierungsstelle abgelaufen oder fehlerhaft implementiert worden seien. „Damit ist rund jede zweite KMU-Webseite potenziell angreifbar“, warnt Cornelia Schildt, Projektleiterin „SIWECOS“ und eco-Sicherheitsexpertin.

Zu viele veraltete Webseiten haben gravierende Sicherheitslücken

Auch kritische Sicherheitslücken seien noch weit verbreitet, so der „SIWECOS“-Scan: Bei rund acht Prozent der untersuchten Webseiten sei der Server durch eine „POODLE“-Schwachstelle verwundbar, die es einem Angreifer erlauben könnte, die Kommunikation zu entschlüsseln. 5,6 Prozent der Webseiten seien potenziell mittels „Padding Oracle“-Angriff angreifbar.
Bei rund 25 Prozent der überprüften Webseiten lasse sich die Version des „Content Management Systems“ (CMS) oder der verwendeten Plugins auslesen. Ein Drittel dieser Seiten arbeite mit einer Version mit bekannten Schwachstellen. Jedes Unternehmen sollte den Sicherheitsstatus des eigenen CMS regelmäßig überprüfen, beispielsweise mit den kostenfreien Scannern von „SIWECOS“, empfiehlt Schildt: „Die Verantwortlichen in vielen Unternehmen wissen oftmals nicht, dass ihr CMS Schwachstellen hat und gefährden so Unternehmens-IT und Kundendaten.“

„SIWECOS“ checkt Websites kostenfrei auf Schwachstellen

Nachholbedarf hätten KMU in NRW zudem beim Schutz vor Phishing-Attacken: 33 Prozent aller geprüften KMU-Webseiten hätten maschinell auslesbare E-Mail-Adressen, 14 Prozent auslesbare Telefonnummern. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyber-Kriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken“, erläutert Schildt.
Wer solche Sicherheitslücken findet und verschließt, der verhindere, dass Cyber-Kriminelle darüber eindringen, um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Das könne teuer werden: „Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyber-Kriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von ,SIWECOS‘ binnen Sekunden überprüfen.“

„SIWECOS“ bietet Webseitenscanner, Filterregeln sowie Aufklärungs- und Hilfsangebote

Der Name des Scanners stehe für „Sichere Webseiten und Content Management Systeme“: „Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.“
„SIWECOS“ ist laut eco ein im Herbst 2016 gestartetes Gemeinschaftsprojekt des eco-Verbandes und der Ruhr-Universität Bochum mit Unterstützung des CMS Garden e.V. sowie des Bochumer IT-Security Startups Hackmanit. Das Projekt werde gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWI) und habe zum Ziel, die KMU-Webseitensicherheit langfristig zu erhöhen. „SIWECOS“ bietet demnach einen Webseitenscanner, der Sicherheitslücken zuverlässig aufdeckt, Filterregeln für Hosting-Anbieter, das Webangriffe frühzeitig identifiziert, sowie Aufklärungs- und Hilfsangebote für KMU beim Betrieb von Webseiten mit Content-Management-Systemen.

Weitere Informationen zum Thema:

SIWECOS
Schnell-Check

Bundesministerium für Wirtschaft und Energie
Initiative „IT-Sicherheit IN DER WIRTSCHAFT“

datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert

datensicherheit.de, 16.10.2018
eco: SIWECOS weist Sicherheitslücken auf Webseiten im Mittelstand nach

datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet