[datensicherheit.de, 20.12.2019] Der eco – Verband der Internetwirtschaft e.V. meldet, dass rund jede zweite Firmenwebseite in Deutschland „schlecht konfiguriert“ ist und ein potenzielles Sicherheitsrisiko birgt. Das zeigt demnach eine Untersuchung von 1.406 Webseiten kleiner und mittelständischer Unternehmen (KMU) mit dem „SIWECOS“-Scanner. Es seien etwa 53 Prozent der KMU-Webseiten als „potenziell angreifbar“ bewertet worden – jede zwölfte (acht Prozent) sei mit „gravierenden Sicherheitsmängeln“ behaftet.

KMU-Webseiten ungewollt Einfallstor für Cyber-Kriminelle

Viele Webseiten mittelständischer Unternehmen werden ungewollt zum Einfallstor für Cyber-Kriminelle. Der eco hat nach eigenen Angaben 1.406 Webseiten mit dem Sicherheits-Scanner „SIWECOS“ untersucht und festgestellt: „39 Prozent der untersuchten Webseiten nutzen kein HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der ,Google Chrome‘ kennzeichnen inzwischen Internetseiten ohne HTTPS als ,nicht sicher‘.“
Rund 14 Prozent der geprüften Webseiten setzten Zertifikate ein, die bei der ausstellenden Zertifizierungsstelle abgelaufen oder fehlerhaft implementiert worden seien. „Damit ist rund jede zweite KMU-Webseite potenziell angreifbar“, warnt Cornelia Schildt, Projektleiterin „SIWECOS“ und eco-Sicherheitsexpertin.

Zu viele veraltete Webseiten haben gravierende Sicherheitslücken

Auch kritische Sicherheitslücken seien noch weit verbreitet, so der „SIWECOS“-Scan: Bei rund acht Prozent der untersuchten Webseiten sei der Server durch eine „POODLE“-Schwachstelle verwundbar, die es einem Angreifer erlauben könnte, die Kommunikation zu entschlüsseln. 5,6 Prozent der Webseiten seien potenziell mittels „Padding Oracle“-Angriff angreifbar.
Bei rund 25 Prozent der überprüften Webseiten lasse sich die Version des „Content Management Systems“ (CMS) oder der verwendeten Plugins auslesen. Ein Drittel dieser Seiten arbeite mit einer Version mit bekannten Schwachstellen. Jedes Unternehmen sollte den Sicherheitsstatus des eigenen CMS regelmäßig überprüfen, beispielsweise mit den kostenfreien Scannern von „SIWECOS“, empfiehlt Schildt: „Die Verantwortlichen in vielen Unternehmen wissen oftmals nicht, dass ihr CMS Schwachstellen hat und gefährden so Unternehmens-IT und Kundendaten.“

„SIWECOS“ checkt Websites kostenfrei auf Schwachstellen

Nachholbedarf hätten KMU in NRW zudem beim Schutz vor Phishing-Attacken: 33 Prozent aller geprüften KMU-Webseiten hätten maschinell auslesbare E-Mail-Adressen, 14 Prozent auslesbare Telefonnummern. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyber-Kriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken“, erläutert Schildt.
Wer solche Sicherheitslücken findet und verschließt, der verhindere, dass Cyber-Kriminelle darüber eindringen, um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Das könne teuer werden: „Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyber-Kriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von ,SIWECOS‘ binnen Sekunden überprüfen.“

„SIWECOS“ bietet Webseitenscanner, Filterregeln sowie Aufklärungs- und Hilfsangebote

Der Name des Scanners stehe für „Sichere Webseiten und Content Management Systeme“: „Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.“
„SIWECOS“ ist laut eco ein im Herbst 2016 gestartetes Gemeinschaftsprojekt des eco-Verbandes und der Ruhr-Universität Bochum mit Unterstützung des CMS Garden e.V. sowie des Bochumer IT-Security Startups Hackmanit. Das Projekt werde gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWI) und habe zum Ziel, die KMU-Webseitensicherheit langfristig zu erhöhen. „SIWECOS“ bietet demnach einen Webseitenscanner, der Sicherheitslücken zuverlässig aufdeckt, Filterregeln für Hosting-Anbieter, das Webangriffe frühzeitig identifiziert, sowie Aufklärungs- und Hilfsangebote für KMU beim Betrieb von Webseiten mit Content-Management-Systemen.

Weitere Informationen zum Thema:

SIWECOS
Schnell-Check

Bundesministerium für Wirtschaft und Energie
Initiative „IT-Sicherheit IN DER WIRTSCHAFT“

datensicherheit.de, 08.11.2018
SIWECOS Projekt wird verlängert

datensicherheit.de, 16.10.2018
eco: SIWECOS weist Sicherheitslücken auf Webseiten im Mittelstand nach

datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet

[datensicherheit.de, 08.11.2018] SIWECOS, das erfolgreiche Projekt für Sichere Webseiten und Content Management Systeme (CMS), geht in die nächste Runde: Das Bundesministerium für Wirtschaft und Energie (BMWi) hat für das im Rahmen der Initiative IT-Sicherheit in der Wirtschaft geförderte Projekt eine Förderungsaufstockung für die nächsten zwölf Monate zugesagt. Die Projektpartner, der eco – Verband der Internetwirtschaft e. V. und die Ruhr-Universität Bochum, unterstützt vom IT-Security Start-up Hackmanit und dem CMS Garden e. V., haben damit die Chance, SIWECOS weiter zu entwickeln. Gemeinsam wollen sie viele neue Funktionen für sichere Unternehmens-Webseiten ergänzen.

Internetauftritte nachhaltig schützen

„Die zugesagte Verlängerung gibt uns die Chance, die kostenlosen Website-Checks mit SIWECOS noch besser zu machen“, sagt Projektleiter Peter Meyer vom eco Verband. „SIWECOS hat bereits mit über 100.000 Scans mittelständischen Unternehmen dabei geholfen, ihren Internetauftritt sicherer zu machen und vor dem Zugriff von Cyberkriminellen zu schützen.“ In den nächsten Monaten soll das Gemeinschaftsprojekt stärker mit anderen Sicherheitsprojekten und Initiativen in Deutschland vernetzt werden.

„Wir freuen uns sehr über die Projektverlängerung und die damit verbundene Anerkennung unserer Arbeit der letzten zwei Jahre“, sagt Marcus Niemietz von der Ruhr-Universität Bochum. „Jetzt haben wir die Zeit und die Mittel, SIWECOS nachhaltig zu optimieren und vielen weiteren Unternehmen zur Verfügung zu stellen.“ Beispielsweise wollen die Projektpartner ein Dashboard schaffen mit Statistiken zum allgemeinen Lagebild der Webseiten-Sicherheit, damit KMUs ihren eigenen Sicherheits-Status besser beurteilen können.

Mehr Unterstützung für Web-Agenturen

Eine stärkere Unterstützung sollen Organisationen erhalten wie Hochschulen, Netzwerkbetreiber und Hoster, die SIWECOS als Open Source integrieren. Web-Agenturen, die Webseiten von KMU betreuen, möchten die Partner mittels Workshops und Webinare stärker unterstützen. Zudem sind vier konkrete technische Weiterentwicklungen für die nächsten Monate geplant:

Port-Scanner

Der neue Port-Scanner untersucht Fehlkonfigurationen hinsichtlich offener Ports. KMUs erkennen damit künftig, ob beispielsweise Datenbankschnittstellen offen im Internet erreichbar sind und zu möglichen Datenschutzverstößen führen könnten.

E-Mail-Scanner

Der E-Mail-Scanner prüft die Sicherheit des E-Mail Servers. Viele KMU betreiben eigenständig Mail-Server, die in vielen Fällen leider unsachgemäß konfiguriert sind, was die Ende-zu-Ende Vertraulichkeit der E-Mail-Kommunikation gefährdet. Dies ist insbesondere dann gefährlich, wenn ein Betreiber Zugangsdaten oder vertrauliche Kundendaten in E-Mails über seinen Mailserver versendet. Der SIWECOS E-Mail-Scanner untersucht die Protokolle SMTP, IMAP und POP3 auf Fehlkonfigurationen im Transportprotokoll hin, insbesondere auch hinsichtlich STARTTLS. Der E-Mail-Scanner entwickelt damit den bereits praxiserprobten TLS-Scanners weiter.

SIWECOS Crawler

Der SIWECOS Crawler ermöglicht es künftig, sämtliche Seiten einer KMU-Webseite auf Schwachstellen hin zu prüfen. Dies stellt sicher, dass nicht nur ein Teil der Webseite sicher konfiguriert ist und folglich möglichst kein schwaches Glied in der Kette von Unterseiten existiert.

CMS Fingerprinting

Das neue CMS Fingerprinting erkennt noch besser veraltete CMS Versionen und entsprechende Sicherheitslücken. Es wird zunächst für WordPress, Joomla, Drupal, Typo3 und Contao zur Verfügung stehen und damit für die fünf Content Management Systeme mit dem höchsten Marktanteil in Deutschland.

Bereits heute nutzen tausende mittelständische Unternehmen den kostenlosen Website-Check von SIWECOS, der den Security-Status einer Website binnen Sekunden ermittelt. Nachdem eine Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese. Oft besteht akuter Handlungsbedarf seitens der Webseitenbetreiber. Eine aktuelle Untersuchung von über 1.100 Webseiten mittelständischer Unternehmen zeigte, dass rund 9 Prozent der Unternehmens-Webseiten eklatante Sicherheitsmängel aufweisen.

Weitere Informationen zum Thema:

datensicherheit.de, 16.10.2018
eco: SIWECOS weist Sicherheitslücken auf Webseiten im Mittelstand nach

datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet

[datensicherheit.de, 16.10.2018] Internet-Webseiten von kleinen und mittelständischen Unternehmen sind häufig ein Einfallstor für Cyberkriminelle. Die nutzen etwa Schwachstellen im Content Management System (CMS), um Seiten zu hacken. „9 Prozent der über 1.100 untersuchten Webseiten weisen eklatante Sicherheitsmängel auf. Es besteht hier akuter Handlungsbedarf seitens der Webseitenbetreiber“, sagt Peter Meyer, Projektleiter SIWECOS und Sicherheitsexperte im eco – Verband der Internetwirtschaft e. V. Außerdem konnten die Experten mit dem SIWECOS Scanner feststellen, dass 52 Prozent der geprüften KMU Webseiten nicht optimal konfiguriert sind. Die eingesetzte Konfiguration ermöglicht auf mittlere Sicht eventuell Cyberangriffe.

E-Mail Adressen auf fast jeder zweiten Seite maschinell auslesbar

Weiteres Ergebnis der Untersuchung: Nur 67 Prozent der KMUs nutzen HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als „nicht sicher“. Bei 22 Prozent aller geprüften KMU-Webseiten lässt sich zudem die Version des Content Management Systems oder eines darin installierten Plugins auslesen. Die Hälfte dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen.

Nachholbedarf haben klein- und mittelständische Unternehmen zudem beim Schutz vor Phishing-Attacken: 40,5 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Telefonnummern auf der Startseite, 44,1 Prozent maschinell auslesbare Email-Adressen. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken“, sagt Meyer.

Bekannte Schwachstellen vorhanden

6,8 Prozent der geprüften KMU Webseiten weisen die Poodle-Schwachstelle auf, eine 2014 bekannt gewordene schwerwiegende Sicherheitslücke im TLS-Protokoll. Sie erhöht die Gefahr, dass über verschlüsselte Verbindungen private Daten von Clients und Servern ausgelesen werden können durch sogenannte Man-in-the-Middle Angriffe. Weitere 4,7 Prozent der geprüften KMU Webseiten weisen eine Padding-Oracle Schwachstelle auf.

Jede zwölfte geprüfte Webseite, die ein Server-Zertifikat einsetzt, tut dies fehlerhaft. Der überwiegende Teil der Zertifikate ist bei der ausstellenden Zertifizierungsstelle abgelaufen oder setzen schwache kryptographische Funktionen wie etwa SHA1 oder MD5 ein. In beiden Fällen führt dies dazu, dass ein Besucher beim Aufruf der Webseite gewarnt wird.

„Viele kleine und mittelständische Unternehmen wissen nicht, dass die Software hinter ihrer Webseite, das Content Management System (CMS), Sicherheitslücken hat“, sagt Meyer. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von SIWECOS binnen Sekunden überprüfen. Der Name steht für „Sichere Webseiten und Content Management Systeme“: Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.

Website-Check SIWECOS findet Schwachstellen kostenfrei

Wer solche Sicherheitslücken findet und verschließt, der verhindert, dass Cyberkriminelle darüber eindringen um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Das kann teuer werden: Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyberkriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen.

„Mit SIWECOS erhalten die angemeldeten Nutzer ausführliche Informationen über ihre Webseite und werden umgehend bei Vorfällen informiert“, sagt Peter Meyer. „Damit sind Unternehmen auf der sicheren Seite.“ Gefördert hat SIWECOS das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft. Geschaffen hat es der eco – Verband der Internetwirtschaft e. V. zusammen mit der Ruhr-Universität Bochum und weiteren Unterstützern.

* Für den SIWECOS KMU Webseiten-Check wurden 1.142 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im September 2018 mit den Scannern des SIWECOS Projekts auf mögliche Schwachstellen hin überprüft.

Weitere Informationen zum Thema:

datensicherheit.de, 15.10.2018
eco: Schutz vor Crypto-Mining

datensicherheit.de, 01.10.2018
eco: Neuer Medienstaatsvertrag darf nicht zum Störfaktor innovativer Geschäftsmodelle werden

datensicherheit.de, 26.09.2017
eco: Künstliche Intelligenz „Made in Germany“ braucht Leitlinien

datensicherheit.de, 21.03.2017
Kooperationsprojekt für sichere KMU-Websites gestartet

[datensicherheit.de, 21.03.2017] Mit dem gemeinsamen Ziel, kleinen und mittelständischen Unternehmen (KMU) sichere Websites anzubieten, haben nach eigenen Angaben der eco – Verband der Internetwirtschaft e.V. und die Ruhr-Universität Bochum mit Unterstützung des Bochumer IT-Security-Start-ups Hackmanit und dem CMS Garden e.V. das Projekt „Sichere Webseiten und Content Management Systeme“ (Siwecos) gestartet. Das Webangebot mit angeschlossenem Support soll demnach KMU gezielt für das Thema angreifbare Webapplikationen sensibilisieren. Konkrete Hilfs- und Informationsangebote zur Verbesserung der Sicherheit von Web-Anwendungen und Serverinfrastruktur würden das Angebot ab September 2017 ergänzen.

Aufdeckung von Online-Sicherheitslücken

Siwecos, gefördert durch das Bundesministerium für Wirtschaft und Energie, lasse Webseitenbetreiber Online-Sicherheitslücken sofort erkennen. Mehrere Scanner würden regelmäßig Serversysteme der eingetragenen Webseiten hinsichtlich bekanntgewordener Schwachstellen überprüfen und den Nutzer nach einem Fund benachrichtigen.
Über ein kostenloses Plugin für „Wordpress“ und andere Content-Management-Systeme (CMS) zeige der Scanner den Sicherheitsstatus der Webseiten an. So könnten Unternehmen Online-Sicherheitslücken sofort erkennen und Kontakt mit ihrem Dienstleister für Webentwicklung aufnehmen.

Schon bei der Webentwicklung eingeplante Sicherheit

Auch Webentwickler könnten die Plugins kostenlos für ihre Kunden nutzen – das Thema Sicherheit werde so von Anfang an bei der Entwicklung von Webseiten berücksichtigt.
Siwecos möge langfristig die Webseiten-Sicherheit in Deutschland und das Bewusstsein für die Relevanz von IT-Sicherheit erhöhen. Dieses Ziel werde durch Sensibilisierung und Tools erreicht, die auch mit wenig Fachwissen implementiert und genutzt werden könnten

Webangriffe stoppen, bevor sie Kundenwebseiten erreichen!

Die zweite Säule des Projekts bilde ein Service für Webhoster. Siwecos kommuniziere aktiv akute Sicherheitslücken und biete den Hostern kostenlose Filterregeln an, um Webangriffe bereits zu stoppen, bevor sie die Kundenwebseite erreichen.
So werde die Zahl der schädlichen Angriffe langfristig gesenkt und die Sicherheit im Internet erhöht. So bewahre man Endanwender und Hosting-Anbieter vor hohen finanziellen Schäden und möglichem Daten- und Reputationsverlust.

Weitere Informationen zum Thema:

SIWECOS
Auf der sicheren Seite

Bundesministerium für Wirtschaft und Energie
IT-Sicherheit IN DER WIRTSCHAFT

datensicherheit.de, 09.05.2016
Grundsatzentscheidung gefordert: eco unterstützt Klage gegen Vorratsdatenspeicherung

datensicherheit.de, 29.03.2016
eco startet Veranstaltungsreihe LocalTalk 2016 – Datacenter Life Savers –