Drei von vier KMU-Webseiten haben Sicherheitslücken
Wenn es in deutschen Unternehmen einen gravierenden Sicherheitsvorfall gab, dann ist dieser in 13 Prozent der Fälle die Folge eines Hacks der unsicheren Unternehmenswebseite. Das zeigt die aktuelle IT-Security Studie 2019 des eco – Verbands der Internetwirtschaft e. V. Die Einschätzung der befragten IT-Verantwortlichen deckt sich mit den Ergebnissen einer aktuellen Umfrage des Markt- und Meinungsforschungsinstituts YouGov unter 255 IT-Verantwortlichen*. Rund die Hälfte (39 Prozent) halten ihre Website nur für teilweise sicher, 11 Prozent sogar für unsicher.
„Das Content-Management-System (CMS), also die Software hinter der Unternehmenswebseite, hat noch viel zu häufig Sicherheitslücken“, sagt Cornelia Schildt, Security-Expertin im eco Verband und Leiterin des Projektes SIWECOS. Der Name steht für „Sichere Webseiten und Content-Management-Systeme“, gefördert hat es das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft. Geschaffen hat es der eco Verband zusammen mit der Ruhr-Universität Bochum und weiteren Unterstützern. Ein kostenfreier Scanner unter www.siwecos.de ermöglicht Website-Checks in wenigen Sekunden. Cornelia Schildt empfiehlt allen kleinen und mittelständischen Unternehmen, ihre Webseiten damit regelmäßig auf ihre Sicherheit zu checken. Nachdem dort eine Webseiten-Adresse eingegeben wurde, zeigen Scanner nach einigen Sekunden in den Farben grün, gelb und rot Ergebnisse zu Sicherheits-Aspekten und erläutern diese.
Eine Untersuchung von über 3.400 Webseiten kleiner und mittlerer Unternehmen mit SIWECOS zeigt aktuell bei 7 Prozent der Seiten eklatante Sicherheitsmängel.** „Es besteht hier akuter Handlungsbedarf seitens der Webseitenbetreiber“, sagt Schildt. Außerdem konnten die Experten mit dem SIWECOS-Scanner feststellen, dass 72 Prozent der geprüften KMU-Webseiten nicht optimal konfiguriert sind. Die eingesetzte Konfiguration ermöglicht auf mittlere Sicht Cyberangriffe, durch die unbemerkt Kundendaten gestohlen oder Viren an die Besucher der Webseite verbreitet werden können.
Die SIWECOS-Experten weisen auf weitere Schwachstellen hin: Mit 92 Prozent nutzen bei weitem noch nicht alle KMUs HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als „nicht sicher“. Bei 24 Prozent aller geprüften KMU-Webseiten lässt sich zudem die Version des Content-Management-Systems oder eines darin installierten Plugins auslesen. Jede vierte dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen.
Nachholbedarf haben kleine und mittelständische Unternehmen zudem beim Schutz vor Phishing-Attacken: 36 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Telefonnummern auf der Startseite, 34 Prozent maschinell auslesbare E-Mail-Adressen. „Unternehmen sollten solche Kontaktdaten nicht maschinell lesbar hinterlegen. Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab und nutzen diese für gezielte Phishing Attacken“, sagt Schildt.
--------------------
*Die verwendeten Daten beruhen auf einer Online-Umfrage der YouGov Deutschland GmbH, an der 255 IT-Verantwortliche in kleinen und mittelständischen Unternehmen zwischen dem 30.08.2018 und 03.09.2018 teilnahmen. Alle oben genannten Werte beziehen sich auf diese Stichprobe.
**Für den SIWECOS KMU Webseiten-Check wurden 3.419 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im März 2019 mit den Scannern des SIWECOS-Projekts auf mögliche Schwachstellen hin überprüft.
„Das Content-Management-System (CMS), also die Software hinter der Unternehmenswebseite, hat noch viel zu häufig Sicherheitslücken“, sagt Cornelia Schildt, Security-Expertin im eco Verband und Leiterin des Projektes SIWECOS. Der Name steht für „Sichere Webseiten und Content-Management-Systeme“, gefördert hat es das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft. Geschaffen hat es der eco Verband zusammen mit der Ruhr-Universität Bochum und weiteren Unterstützern. Ein kostenfreier Scanner unter www.siwecos.de ermöglicht Website-Checks in wenigen Sekunden. Cornelia Schildt empfiehlt allen kleinen und mittelständischen Unternehmen, ihre Webseiten damit regelmäßig auf ihre Sicherheit zu checken. Nachdem dort eine Webseiten-Adresse eingegeben wurde, zeigen Scanner nach einigen Sekunden in den Farben grün, gelb und rot Ergebnisse zu Sicherheits-Aspekten und erläutern diese.
Viele Webseiten zu unsicher
Eine Untersuchung von über 3.400 Webseiten kleiner und mittlerer Unternehmen mit SIWECOS zeigt aktuell bei 7 Prozent der Seiten eklatante Sicherheitsmängel.** „Es besteht hier akuter Handlungsbedarf seitens der Webseitenbetreiber“, sagt Schildt. Außerdem konnten die Experten mit dem SIWECOS-Scanner feststellen, dass 72 Prozent der geprüften KMU-Webseiten nicht optimal konfiguriert sind. Die eingesetzte Konfiguration ermöglicht auf mittlere Sicht Cyberangriffe, durch die unbemerkt Kundendaten gestohlen oder Viren an die Besucher der Webseite verbreitet werden können.
Die SIWECOS-Experten weisen auf weitere Schwachstellen hin: Mit 92 Prozent nutzen bei weitem noch nicht alle KMUs HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als „nicht sicher“. Bei 24 Prozent aller geprüften KMU-Webseiten lässt sich zudem die Version des Content-Management-Systems oder eines darin installierten Plugins auslesen. Jede vierte dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen.
Phishing-Attacken sehr einfach möglich
Nachholbedarf haben kleine und mittelständische Unternehmen zudem beim Schutz vor Phishing-Attacken: 36 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Telefonnummern auf der Startseite, 34 Prozent maschinell auslesbare E-Mail-Adressen. „Unternehmen sollten solche Kontaktdaten nicht maschinell lesbar hinterlegen. Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab und nutzen diese für gezielte Phishing Attacken“, sagt Schildt.
--------------------
*Die verwendeten Daten beruhen auf einer Online-Umfrage der YouGov Deutschland GmbH, an der 255 IT-Verantwortliche in kleinen und mittelständischen Unternehmen zwischen dem 30.08.2018 und 03.09.2018 teilnahmen. Alle oben genannten Werte beziehen sich auf diese Stichprobe.
**Für den SIWECOS KMU Webseiten-Check wurden 3.419 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im März 2019 mit den Scannern des SIWECOS-Projekts auf mögliche Schwachstellen hin überprüft.