Web-Seiten von kleinen und mittelständischen Unternehmen sind häufig ein Einfallstor für Cyber-Kriminelle. Diese nutzen unter anderem Schwachstellen im Content-Management-System (CMS), um Seiten zu hacken. „Neun Prozent der über 1.100 untersuchten Web-Seiten weisen eklatante Sicherheitsmängel auf. Es besteht hier akuter Handlungsbedarf seitens der Web-Seitenbetreiber“, sagt Peter Meyer, Projektleiter Siwecos und Sicherheitsexperte im Eco-Verband der Internetwirtschaft. Außerdem konnten die Experten mit dem Siwecos-Scanner feststellen, dass 52 Prozent der geprüften KMU-Web-Seiten nicht optimal konfiguriert sind. Die eingesetzte Konfiguration ermögliche Cyber-Angriffe.

Ein weiteres Ergebnis der Untersuchung: Nur 67 Prozent der KMUs nutzen HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Web-Seiten etabliert hat. Aktuelle Internet-Browser wie Google Chrome kennzeichnen inzwischen Seiten ohne HTTPS als „nicht sicher“. Bei 22 Prozent aller geprüften KMU-Web-Seiten lässt sich zudem die Version des Content-Management-Systems oder eines darin installierten Plugins auslesen. Die Hälfte dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen.

Nachholbedarf haben klein- und mittelständische Unternehmen zudem beim Schutz vor Phishing-Attacken: 40,5 Prozent aller geprüften KMU-Web-Seiten haben maschinell auslesbare Telefonnummern auf der Startseite; 44,1 Prozent maschinell auslesbare E-Mail-Adressen. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyber-Kriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmens-Web-Seiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing-Attacken“, so Meyer.

6,8 Prozent der geprüften KMU-Web-Seiten weisen die Poodle-Schwachstelle auf, eine 2014 bekannt gewordene schwerwiegende Sicherheitslücke im TLS-Protokoll. Sie erhöht die Gefahr, dass über verschlüsselte Verbindungen private Daten von Clients und Servern durch Man-in-the-Middle Angriffe ausgelesen werden können. Weitere 4,7 Prozent der geprüften KMU-Web-Seiten weisen eine Padding-Oracle Schwachstelle auf.

Jede zwölfte geprüfte Web-Seite, die ein Server-Zertifikat einsetzt, tut dies fehlerhaft. Der überwiegende Teil der Zertifikate ist bei der ausstellenden Zertifizierungsstelle abgelaufen oder setzen schwache kryptographische Funktionen wie etwa SHA1 oder MD5 ein. In beiden Fällen führt dies dazu, dass ein Besucher beim Aufruf der Web-Seite gewarnt wird.

„Viele kleine und mittelständische Unternehmen wissen nicht, dass die Software hinter ihrer Web-Seite Sicherheitslücken hat“, sagt Meyer. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von Siwecos binnen Sekunden überprüfen. Der Name steht für „Sichere Web-Seiten und Content-Management-Systeme“: Nachdem eine Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.

Wer solche Sicherheitslücken finde und verschließe, der verhindere, dass Cyber-Kriminelle darüber eindringen, um unbemerkt Kundendaten zu stehlen, oder sogar Viren an die Besucher der Web-Seite verbreiten. Denn dies könne teuer werden: Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyber-Kriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen.

Weitere Informationen stehen unter www.eco.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.