Jede zweite Firmenwebsite ist gefährdet!

Digitalisierung mit Sicherheit Fehlanzeige – jede zweite Firmenwebsite ist gefährdet! Der eco – Verband der Internetwirtschaft meldet, dass rund die Hälfte der in deutschen Firmenwebsites schlecht konfiguriert sind. Ein daraus resultierendes, potenzielles Sicherheitsrisiko wird von den Unternehmen hingenommen. Datendiebstahl, Defacement und ausbleibende Kunden sind Gefahren, die einem Unternehmen drohen, falls schwerwiegende Sicherheitslücken die eigene Infrastruktur bedrohen.

SIWECO scannt Websites und gibt Handlungsempfehlungen

Nach eigenen Angaben wurden rund 1.406 Websites gescannt. Erschreckende 39% der Stichprobe nutzen auch 1 1/2 Jahre nach Einführung des DSGVO keine Verschlüsselung. Vor der fehlenden Vertraulichkeit werden Nutzerinnen in zahlreichen Browsern bereits hingewiesen. Dezente Hinweise wie „nicht sicher“ machen die surfende Person auf einen Missstand aufmerksam.

Es gibt aber auch bei zahlreichen Websites Möglichkeiten die vorhandene Verschlüsselung auszuhebeln. So sind ca. 8% der Websites für die „POODLE“-Schwachstelle anfällig. Bei weiteren 5,6% kann mit einem „Padding Oracle“ angegriffen werden. Sicherheitslücken, die in der breiten Masse nicht mehr auftauchen sollten.

Mangelnde Update Bereitschaft – jede zweite Firmenwebsite ist gefährdet!

Ein viertel der überprüften Websites verrät die Version des eingesetzten Content Management Systems. Ein drittel dieser Stichprobe sollte schnellstmöglich updaten – um die bekannten und vor allem kritischen Sicherheitslücken zu schließen. Wer in welchem Umfang betroffen ist kann kostenfrei durch den SIWECOS Scanner überprüft werden. SIWECOS ist ein Akronym für „Sichere Webseiten und Content Management Systeme“.

Das im Herbst 2016 gestartete Projekt ist ein hilfreiches Werkzeug für Unternehmen, die keine eigene IT-Security Kompetenz besitzen, aber wissen wollen was zu tun ist. Dabei ersetzt SIWECOS keinen Penetrationstest. Bei letzterem werden auch Schnittstellen und Web-Applikationen in größerem und tieferem Umfang untersucht. Wer jedoch als GALABAU Unternehmen eine Website betreibt, für den genügt im ersten Schritt der vom eco bereitgestellte Scanner.

SIWECOS wird gefördert, von Experten entwickelt und kostenfrei angeboten!

Das Gemeinschaftsprojekt wird, neben dem eco – Verband der Internetwirtschaft, auch von der Ruhr-Universität Bochum unterstützt. Des Weiteren ist aber auch CMS Garden e.V. mit dabei. Das IT-Security Startup Hackmanit leistet auch einen Beitrag. Gefördert wird das Projekt vom Bundesministerium für Wirtschaft und Energie (BMWi). Das Ziel die KMU-Webseitensicherheit langfristig zu steigern beinhaltet die Tatsache zu wissen, wo die Schwachstellen lauern. Das Projekt, der Verband und die beteiligten Unternehmen sind also auf dem richtigen Weg – den betroffenen Unternehmen steht nun aber auch einiges an Arbeit bevor.



Exkurs: Unsichere Websites mit WordPress und Plugins!

WordPress hat sich zum beliebtesten Content Management System entwickelt. Aus diesem Grund wird es auch oft angegriffen. Die Möglichkeit das System um zahlreiche Features, mithilfe von Plugins zu erweitern, macht den Einsatz der Software so beliebt. Im Gegensatz zum CMS selbst sind zahlreiche Plugins nicht in der gleichen Softwarequalität programmiert worden. Das zeigte sich durch ca. 8.800 Plugins, die im offizielle WordPress Plugin-Verzeichnis erhältlich sind und und von mindestens einer Sicherheitslücke betroffen waren. Für die Analyse wurden alle 47.959 (!) Plugins heruntergeladen.

Was für Angriffe sind durch das „NextGen Gallery“ Plugin möglich?

Wer das Plugin installiert lässt, der lief Gefahr einer SQL-Injection zum Opfer zu fallen. Die Injection Attacken sind laut OWASP die beliebteste Art von Angriff. Angreifer können die URL so manipulieren, dass SQL Abfragen direkt zur Datenbank weitergereicht werden. Wenn keine Backups vorhanden sind, dann kann die WordPress Datenbank – und damit alle Beiträge, Kommentare, Bilder etc. – schnell ins digitale Nirvana befördert werden.

Ist ein Plugin wirklich nötig? Bringt es dem Leser einen Mehrwert oder lässt es sich vielleicht auch ohne Plugin umsetzen? Einen Google Analytics Code muss nicht mehr Plugin eingebunden werden. Auch die Möglichkeit nofollow Links zu setzen, bedarf keines Plugins. Installieren sollte man nur so viele Plugins wie nötig – aber immer so wenige wie möglich. Nicht mehr benötigte Plugins sollten deinstalliert und gelöscht werden.


Schreibe einen Kommentar