Webseiten kleiner und mittelständischer Unternehmen weisen Schwachstellen auf

Siwecos: Jede zweite Firmen-Webseite ist gefährdet

3. Januar 2020, 8:10 Uhr | Von Dr. Jörg Schröper.

Viele Webseiten mittelständischer Unternehmen werden ungewollt zum Einfallstor für Cyberkriminelle. Der Eco-Verband der Internetwirtschaft hat 1.406 Webseiten mit dem Sicherheits-Scanner Siwecos untersucht. Dies ergab: 39 Prozent der untersuchten Webseiten nutzen kein HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internet-Browser wie Google Chrome kennzeichnen inzwischen Internet-Seiten ohne HTTPS als "nicht sicher".

Rund 14 Prozent der geprüften Webseiten setzen Zertifikate ein, die bei der ausstellenden Zertifizierungsstelle abgelaufen sind oder fehlerhaft implementiert wurden. "Damit ist rund jede zweite KMU-Webseite potenziell angreifbar", sagt Cornelia Schildt, Projektleiterin Siwecos und Sicherheitsexpertin beim Eco-Verband

.Auch kritische Sicherheitslücken sind noch weit verbreitet, wie der Scan zeigte. Bei rund acht Prozent der untersuchten Webseiten ist der Server durch eine Poodle-Schwachstelle verwundbar, die es einem Angreifer erlauben könnte, die Kommunikation zu entschlüsseln. 5,6 Prozent der Webseiten sind potenziell mittels Padding-Oracle-Angriff angreifbar.

Bei rund 25 Prozent der überprüften Webseiten lässt sich die Version des Content-Management-Systems (CMS) oder der verwendeten Plugins auslesen. Ein Drittel dieser Seiten arbeitet mit einer Version mit bekannten Schwachstellen. Jedes Unternehmen sollte den Sicherheitsstatus des eigenen CMS regelmäßig überprüfen, beispielsweise mit den kostenfreien Scannern von SIWECOS, empfiehlt Schildt. Die Expertin weiter: "Die Verantwortlichen in vielen Unternehmen wissen oft nicht, dass ihr CMS Schwachstellen hat und gefährden so Unternehmens-IT und Kundendaten."

Website-Check Siwecos findet Schwachstellen kostenfrei

Nachholbedarf haben klein- und mittelständische Unternehmen in NRW zudem beim Schutz vor Phishing-Attacken: 33 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare E-Mail-Adressen, 14 Prozent auslesbare Telefonnummern. "Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Dies führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken", sagt Schildt.

Wer solche Sicherheitslücken findet und verschließt, der verhindert, dass Cyberkriminelle darüber eindringen um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Dies kann teuer werden: Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyberkriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von Siwecos binnen Sekunden überprüfen. Der Name steht für "Sichere Webseiten und Content Management Systeme". Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.

Für den Siwecos-KMU-Webseiten-Check wurden 1.406 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im November 2019 mit den Scannern des Projekts auf mögliche Schwachstellen hin überprüft. Weitere Informationen stehen auf www.siwecos.de zur Verfügung.

Dr. Jörg Schröper ist Chefredakteur der LANline.

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu RSI Industrieelektronik GmbH

Weitere Artikel zu DNS

Weitere Artikel zu XLayer

Matchmaker+