Creditreform Magazin

Sicherheitsrisiko Website

Über die Hälfte der Websites von kleinen und mittelständischen Unternehmen sind nicht sicher. Cyberkriminelle haben damit leichtes Spiel. Wie erkennen Unternehmen Sicherheitslücken auf ihren Websites und wie lassen sie sich schließen?

Als Unternehmensberatung mit Schwerpunkt Technologie setzt die KPS AG verstärkt auf die IT-Sicherheit. Das fängt schon bei der Website an, der digitalen Visitenkarte des Technologieunternehmens mit Sitz in Unterföhring bei München. Auf sie sollen nicht nur Kunden sicher zugreifen, sondern sich hier auch Kandidaten mit ihren persönlichen Daten sorglos bewerben können. Das schreibt nämlich die seit Mai 2018 europaweit geltende Datenschutz-Grundverordnung(DSGVO) vor. „Ein Team von drei Kollegen und ein externer Dienstleister überprüfen den Traffic auf der Website und können bei Auffälligkeiten, etwa wenn von außen versucht wird, schadhafte Anhänge hochzuladen, sofort reagieren“, erklärt Philipp Krueger, Partner bei KPS. Die Kollegen sorgen dafür, dass automatisierte Abfragen eingeschränkt werden, verstecken Skripte so, dass sie von außen nicht lesbar – und damit angreifbar – sind.

Auch die Versionsnummern der eingesetzten Software sind nicht erkennbar. „So verhindern wir, dass bekannte Sicherheitslücken der Software-Versionen ausgenutzt werden“, erläutert Krueger. Regelmäßige Updates der eingesetzten Software und eine Überwachung der Aktivitäten auf der Website rund um die Uhr gehören zum Tagesgeschäft. Die Sicherheit ihrer Website prüft die Unternehmensberatung regelmäßig selbst durch sogenannte Penetrationstests.

So sorgfältig wie die Unternehmensberatung aus Unterföhring gehen längst nicht alle vor. Vielen kleinen und mittelständischen Unternehmen fehlen dafür auch das Know-how und die Ressourcen. Nach einer aktuellen Studie des Kölner eco-Verbands der Internetwirtschaft ist mehr als die Hälfte ihrer Websites potenziell angreifbar. Jede zwölfte Internetpräsenz weist sogar gravierende Mängel auf. Der Internetverband hat dazu rund 1.400 Websites mit dem Sicherheits-Scanner Siwecos geprüft. Häufigste Sicherheitslücke: Mehr als jede Dritte nutzt kein HTTPS. Das ist das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Website etabliert hat und dafür sorgt, dass die zwischen Browser und Server ausgetauschten Daten verschlüsselt werden. Fehlt dieses „s“, das für „secure“ steht, bedeutet das, dass das Sicherheitszertifikat dieser Website nicht gültig oder die Verschlüsselung nicht stark genug ist. Ungewollt öffnen die betroffenen Unternehmen Hackern damit Einfallstore, Daten abzugreifen und Viren einzuschleusen.


Schneller Check

Ist meine Website sicher?

Wer auf Nummer sicher gehen will, kann selbst einen Check auf siwecos.de durchführen. Nachdem dort eine Website-Adresse eingegeben wurde, checken mehrere Scanner mit unterschiedlichen Tests alle möglichen Sicherheitslecks und liefern in zwei Minuten in den Farben Grün (die Website ist in Ordnung) sowie je nach Gefahrengrad Gelb und Rot die Ergebnisse zu Sicherheitsaspekten und erläutern diese. Wer seine Website dort registriert, erhält einen ausführlichen Sicherheitsbericht und automatische Benachrichtigungen beim Fund einer kritischen Schwachstelle.


Jedem Sechsten wurden Daten gestohlen

Kunden, die auf solchen Websites Kontaktformulare ausfüllen, können davon ausgehen, dass ihre Daten unverschlüsselt übertragen werden und Unbefugte sie auslesen können. Und sie können sich darauf mit Viren infizieren. Für Unternehmen ist eine solche Meldung image- und geschäftsschädigend. Nach einer Studie des Digitalverbands Bitkom wurden bereits in jedem sechsten Unternehmen sensible digitale Daten wie E-Mails oder Kontaktdaten gestohlen, häufig über die Firmenwebsite. „Jeder kann Opfer von Datendiebstahl werden“, warnt Bitkom-Präsident Achim Berg. Für eine sichere Website sorgen Zertifikate. Diese können bei mehreren Anbietern erworben werden, wie etwa bei Geotrust, Symantec oder Thawte. Bei vielen Hosting-Anbietern, zum Beispiel bei 1&1, Strato oder der Telekom, ist das Zertifikat im Webhosting-Paket inbegriffen oder wird gegen eine Zusatzgebühr angeboten. Dennoch müssen die Firmen darauf achten, dass diese Zertifikate immer aktuell sind. So fand der eco-Verband heraus, dass jede sechste geprüfte Website tatsächlich abgelaufene oder fehlerhaft implementierte Zertifikate nutzt.

Doch es gibt noch weitere Schwachstellen: Bei jeder vierten überprüften Website lässt sich die Version des Content Management Systems (CMS), also der verwendeten Software zur Erstellung der Website-Inhalte, oder der verwendeten Plugins (Zusatzsoftware) von Unbefugten auslesen. Ein Drittel dieser Seiten arbeitet sogar mit einer Version mit bekannten Schwachstellen. „Die Verantwortlichen wissen oftmals nicht, dass ihr CMS Schwachstellen hat und gefährden so ihre Informationstechnologie und ihre Kundendaten“, erklärt Cornelia Schildt, Projektleiterin Siwecos und Sicherheitsexpertin im eco-Verband. „Jedes Unternehmen sollte den Sicherheitsstatus des eigenen CMS regelmäßig überprüfen“, rät sie. Dazu stellt der Internetverband allen den kostenfreien Website-Sicherheitsscanner unter www.siwecos.de zur Verfügung.


„Jeder kann Opfer von Datendiebstahl werden.“

Achim Berg, Bitkom-Präsident


Maximale Sicherheit bringen nur Profis

„Aus eigener Kraft können KMU bereits sehr viel leisten“, sagt Schildt. Beispielsweise regelmäßig für Updates sorgen, damit die Software hinter der Website jederzeit aktuell ist und bekannte Sicherheitslücken geschlossen sind. „Für maximale Sicherheit empfehle ich jedoch, einen Profi zu beauftragen. Ein IT-Experte kann mit dem Siwecos-Scanner Schwachstellen sehr dezidiert finden und beheben.“

Auch wenn die Website vorbildlich mit https:// startet und soweit alles in Ordnung scheint: Nachholbedarf haben kleine und mittelständische Unternehmen der eco-Studie zufolge zudem beim Schutz vor sogenannten Phishing-Attacken: Jede Dritte der geprüften Website hat nämlich noch immer maschinell auslesbare E-Mail-Adressen, 14 Prozent haben auslesbare Telefonnummern. Die Folge: „Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebsites ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing-Attacken“, erklärt Schildt die Problematik. Der Fachbegriff steht für das Vorgehen von Cyberkriminellen, die E-Mails versenden, die von einer vertrauenswürdigen Quelle zu stammen scheinen. In Wahrheit leiten sie den Benutzer jedoch auf eine gefälschte Website um, die voller Malware steckt. Beheben lässt sich diese Schwachstelle leicht: Etwa, wenn man im Impressum und bei den Kontaktdaten das @ durch {at} ersetzt und die Telefonnummer als Bild (GIF oder JPG) einsetzt. Unternehmen mit entsprechendem IT-Know-how wie die KPS lassen dagegen ihr Impressum bewusst maschinell lesbar: „Wir haben es sogar mit Micro-Tags versehen, sodass wir über Google besser gefunden werden“, erklärt Krueger den Hintergrund.

Wer beim Siwecos-Sicherheitscheck gut abgeschnitten hat, sollte jedoch immer am Ball bleiben: „Der Sicherheitsstatus kann sich jederzeit ändern, beispielsweise wenn ein Update vergessen wird“, erklärt Schildt. Unternehmen schützen damit nicht nur ihre Kundendaten und ihr Image. Auch Suchmaschinen ranken verschlüsselte Websites weiter oben. Außerdem können Datenschutzbehörden hohe Bußgelder verhängen, wenn Unternehmen ihre Online-Sicherheit nachweislich vernachlässigen und Cyberkriminelle personenbezogene Daten auslesen. Auch Sicherheitsexpertin Cornelia Schildt bleibt am Ball: „Zurzeit untersuchen wir, ob die Websites einzelner Branchen mehr Schwachstellen aufweisen.“


Die 5 größten Schwachstellen …

… und wie man sie beheben kann:

 

1.Veraltete HTTP-Verbindung
Jeder URL-Link, der mit HTTP beginnt, verwendet eine einfache Art des „Hypertext Transfer Protocol“, das heißt, dass HTTP abgefangen und verändert werden kann, wodurch sowohl die Informationen als auch der Informationsempfänger angreifbar werden. Lösung: Sicher ist das HTTPS-Protokoll. Es wird zur Herstellung von Vertraulichkeit und Integrität in der Kommunikation zwischen Webserver und Webbrowser (Client) verwendet. Eine HTTPS-Verbindung wird über den Erwerb eines SSL-Zertifikats sichergestellt, das man über seinen Webhoster beziehen kann.

2. Abgelaufene Zertifikate
Zertifikate bescheinigen die Sicherheit der Website. Abgelaufene oder fehlerhaft implementierte Zertifikate bergen Risiken. Aktuelle Browser warnen den Besucher solcher Websites. Lösung: Zertifikate immer aktualisieren.

3. Unsichere CMS und Plugins
Viele Websites enthalten im Quelltext Informationen über das verwendete Content Management System. Dies ermöglicht es Cyberkriminellen, sie leicht zu hacken. Lösung: Plugins sollten auf jene beschränkt werden, die tatsächlich benötigt werden. Damit kann die Angriffsfläche erheblich reduziert werden. Zudem sollten installierte Plugins immer auf dem aktuellsten Stand gehalten werden.

4. Poodle-Schwachstelle
Der Begriff „Poodle“ (Padding Oracle On Downgraded Legacy Encryption) bezeichnet eine Lücke im Verschlüsselungsprotokoll SSL 3.0. Diese erlaubt das Stehlen vertraulicher Informationen durch Cyberkriminelle. Lösung: SSL 3.0 deaktivieren und sichere Protokolle ab TLS 1.0 verwenden.

5. Maschinell lesbares Impressum
Maschinell lesbare Kontaktdaten im Impressum bergen die Gefahr, dass Cyberkriminelle und Spammer diese automatisiert abgreifen und für sogenannte Spear-Phishing-Attacken auf Unternehmen nutzen. Lösung: das @-Zeichen in der Mail-Adresse durch {at} ersetzen und die Telefonnummer als Fotodatei (GIF, JPG) einfügen.


Quelle: Magazin „Creditreform“

Text: Iris Quirin



Creditreform Kempten/Allgäu Winterstein KG