Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Jede zweite Firmenwebsite ist gefährdet!

M.Sc. Chris Wojzechowski

Digitalisierung mit Sicherheit Fehlanzeige – jede zweite Firmenwebsite ist gefährdet! Der eco – Verband der Internetwirtschaft meldet, dass rund die Hälfte der in deutschen Firmenwebsites schlecht konfiguriert sind. Ein daraus resultierendes, potenzielles Sicherheitsrisiko wird von den Unternehmen hingenommen. Datendiebstahl, Defacement und ausbleibende Kunden sind Gefahren, die einem Unternehmen drohen, falls schwerwiegende Sicherheitslücken die eigene Infrastruktur bedrohen.

SIWECO scannt Websites und gibt Handlungsempfehlungen

Nach eigenen Angaben wurden rund 1.406 Websites gescannt. Erschreckende 39% der Stichprobe nutzen auch 1 1/2 Jahre nach Einführung des DSGVO keine Verschlüsselung. Vor der fehlenden Vertraulichkeit werden Nutzerinnen in zahlreichen Browsern bereits hingewiesen. Dezente Hinweise wie „nicht sicher“ machen die surfende Person auf einen Missstand aufmerksam.

Es gibt aber auch bei zahlreichen Websites Möglichkeiten die vorhandene Verschlüsselung auszuhebeln. So sind ca. 8% der Websites für die „POODLE“-Schwachstelle anfällig. Bei weiteren 5,6% kann mit einem „Padding Oracle“ angegriffen werden. Sicherheitslücken, die in der breiten Masse nicht mehr auftauchen sollten.

Mangelnde Update Bereitschaft – jede zweite Firmenwebsite ist gefährdet!

Ein viertel der überprüften Websites verrät die Version des eingesetzten Content Management Systems. Ein drittel dieser Stichprobe sollte schnellstmöglich updaten – um die bekannten und vor allem kritischen Sicherheitslücken zu schließen. Wer in welchem Umfang betroffen ist kann kostenfrei durch den SIWECOS Scanner überprüft werden. SIWECOS ist ein Akronym für „Sichere Webseiten und Content Management Systeme“.

Das im Herbst 2016 gestartete Projekt ist ein hilfreiches Werkzeug für Unternehmen, die keine eigene IT-Security Kompetenz besitzen, aber wissen wollen was zu tun ist. Dabei ersetzt SIWECOS keinen Penetrationstest. Bei letzterem werden auch Schnittstellen und Web-Applikationen in größerem und tieferem Umfang untersucht. Wer jedoch als GALABAU Unternehmen eine Website betreibt, für den genügt im ersten Schritt der vom eco bereitgestellte Scanner.

SIWECOS wird gefördert, von Experten entwickelt und kostenfrei angeboten!

Das Gemeinschaftsprojekt wird, neben dem eco – Verband der Internetwirtschaft, auch von der Ruhr-Universität Bochum unterstützt. Des Weiteren ist aber auch CMS Garden e.V. mit dabei. Das IT-Security Startup Hackmanit leistet auch einen Beitrag. Gefördert wird das Projekt vom Bundesministerium für Wirtschaft und Energie (BMWi). Das Ziel die KMU-Webseitensicherheit langfristig zu steigern beinhaltet die Tatsache zu wissen, wo die Schwachstellen lauern. Das Projekt, der Verband und die beteiligten Unternehmen sind also auf dem richtigen Weg – den betroffenen Unternehmen steht nun aber auch einiges an Arbeit bevor.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Exkurs: Unsichere Websites mit WordPress und Plugins!

WordPress hat sich zum beliebtesten Content Management System entwickelt. Aus diesem Grund wird es auch oft angegriffen. Die Möglichkeit das System um zahlreiche Features, mithilfe von Plugins zu erweitern, macht den Einsatz der Software so beliebt. Im Gegensatz zum CMS selbst sind zahlreiche Plugins nicht in der gleichen Softwarequalität programmiert worden. Das zeigte sich durch ca. 8.800 Plugins, die im offizielle WordPress Plugin-Verzeichnis erhältlich sind und und von mindestens einer Sicherheitslücke betroffen waren. Für die Analyse wurden alle 47.959 (!) Plugins heruntergeladen.

Was für Angriffe sind durch das „NextGen Gallery“ Plugin möglich?

Wer das Plugin installiert lässt, der lief Gefahr einer SQL-Injection zum Opfer zu fallen. Die Injection Attacken sind laut OWASP die beliebteste Art von Angriff. Angreifer können die URL so manipulieren, dass SQL Abfragen direkt zur Datenbank weitergereicht werden. Wenn keine Backups vorhanden sind, dann kann die WordPress Datenbank – und damit alle Beiträge, Kommentare, Bilder etc. – schnell ins digitale Nirvana befördert werden.

Ist ein Plugin wirklich nötig? Bringt es dem Leser einen Mehrwert oder lässt es sich vielleicht auch ohne Plugin umsetzen? Einen Google Analytics Code muss nicht mehr Plugin eingebunden werden. Auch die Möglichkeit nofollow Links zu setzen, bedarf keines Plugins. Installieren sollte man nur so viele Plugins wie nötig – aber immer so wenige wie möglich. Nicht mehr benötigte Plugins sollten deinstalliert und gelöscht werden.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen