FirmenWissen Suche - Firmenprofile, Bilanzen, GuV, Bonitätsauskunft, Jahresabschluss, Handelsregister, Adressen
Firmendaten Über uns Preise & Zugänge Premium

Sicherheitsrisiko Website

Über die Hälfte der Websites von kleinen und mittelständischen Unternehmen sind nicht sicher. Cyberkriminelle haben damit leichtes Spiel. Wie erkennen Unternehmen Sicherheitslücken auf ihren Websites und wie lassen sie sich schließen?

© Song_about_summer - Fotolia

Als Unternehmensberatung mit Schwerpunkt Technologie setzt die KPS AG verstärkt auf die IT-Sicherheit. Das fängt schon bei der Website an, der digitalen Visitenkarte des Technologieunternehmens mit Sitz in Unterföhring bei München. Auf sie sollen nicht nur Kunden sicher zugreifen, sondern sich hier auch Kandidaten mit ihren persönlichen Daten sorglos bewerben können. Das schreibt nämlich die seit Mai 2018 europaweit geltende Datenschutz-Grundverordnung(DSGVO) vor. „Ein Team von drei Kollegen und ein externer Dienstleister überprüfen den Traffic auf der Website und können bei Auffälligkeiten, etwa wenn von außen versucht wird, schadhafte Anhänge hochzuladen, sofort reagieren“, erklärt Philipp Krueger, Partner bei KPS. Die Kollegen sorgen dafür, dass automatisierte Abfragen eingeschränkt werden, verstecken Skripte so, dass sie von außen nicht lesbar – und damit angreifbar – sind.

Auch die Versionsnummern der eingesetzten Software sind nicht erkennbar. „So verhindern wir, dass bekannte Sicherheitslücken der Software-Versionen ausgenutzt werden“, erläutert Krueger. Regelmäßige Updates der eingesetzten Software und eine Überwachung der Aktivitäten auf der Website rund um die Uhr gehören zum Tagesgeschäft. Die Sicherheit ihrer Website prüft die Unternehmensberatung regelmäßig selbst durch sogenannte Penetrationstests.

So sorgfältig wie die Unternehmensberatung aus Unterföhring gehen längst nicht alle vor. Vielen kleinen und mittelständischen Unternehmen fehlen dafür auch das Know-how und die Ressourcen. Nach einer aktuellen Studie des Kölner eco-Verbands der Internetwirtschaft ist mehr als die Hälfte ihrer Websites potenziell angreifbar. Jede zwölfte Internetpräsenz weist sogar gravierende Mängel auf. Der Internetverband hat dazu rund 1.400 Websites mit dem Sicherheits-Scanner Siwecos geprüft. Häufigste Sicherheitslücke: Mehr als jede Dritte nutzt kein HTTPS. Das ist das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Website etabliert hat und dafür sorgt, dass die zwischen Browser und Server ausgetauschten Daten verschlüsselt werden. Fehlt dieses „s“, das für „secure“ steht, bedeutet das, dass das Sicherheitszertifikat dieser Website nicht gültig oder die Verschlüsselung nicht stark genug ist. Ungewollt öffnen die betroffenen Unternehmen Hackern damit Einfallstore, Daten abzugreifen und Viren einzuschleusen.

Jedem Sechsten wurden Daten gestohlen

Kunden, die auf solchen Websites Kontaktformulare ausfüllen, können davon ausgehen, dass ihre Daten unverschlüsselt übertragen werden und Unbefugte sie auslesen können. Und sie können sich darauf mit Viren infizieren. Für Unternehmen ist eine solche Meldung image- und geschäftsschädigend. Nach einer Studie des Digitalverbands Bitkom wurden bereits in jedem sechsten Unternehmen sensible digitale Daten wie E-Mails oder Kontaktdaten gestohlen, häufig über die Firmenwebsite. „Jeder kann Opfer von Datendiebstahl werden“, warnt Bitkom-Präsident Achim Berg. Für eine sichere Website sorgen Zertifikate. Diese können bei mehreren Anbietern erworben werden, wie etwa bei Geotrust, Symantec oder Thawte. Bei vielen Hosting-Anbietern, zum Beispiel bei 1&1, Strato oder der Telekom, ist das Zertifikat im Webhosting-Paket inbegriffen oder wird gegen eine Zusatzgebühr angeboten. Dennoch müssen die Firmen darauf achten, dass diese Zertifikate immer aktuell sind. So fand der eco-Verband heraus, dass jede sechste geprüfte Website tatsächlich abgelaufene oder fehlerhaft implementierte Zertifikate nutzt.

Doch es gibt noch weitere Schwachstellen: Bei jeder vierten überprüften Website lässt sich die Version des Content Management Systems (CMS), also der verwendeten Software zur Erstellung der Website-Inhalte, oder der verwendeten Plugins (Zusatzsoftware) von Unbefugten auslesen. Ein Drittel dieser Seiten arbeitet sogar mit einer Version mit bekannten Schwachstellen. „Die Verantwortlichen wissen oftmals nicht, dass ihr CMS Schwachstellen hat und gefährden so ihre Informationstechnologie und ihre Kundendaten“, erklärt Cornelia Schildt, Projektleiterin Siwecos und Sicherheitsexpertin im eco-Verband. „Jedes Unternehmen sollte den Sicherheitsstatus des eigenen CMS regelmäßig überprüfen“, rät sie. Dazu stellt der Internetverband allen den kostenfreien Website-Sicherheitsscanner unter www.siwecos.de zur Verfügung.

Maximale Sicherheit bringen nur Profis

„Aus eigener Kraft können KMU bereits sehr viel leisten“, sagt Schildt. Beispielsweise regelmäßig für Updates sorgen, damit die Software hinter der Website jederzeit aktuell ist und bekannte Sicherheitslücken geschlossen sind. „Für maximale Sicherheit empfehle ich jedoch, einen Profi zu beauftragen. Ein IT-Experte kann mit dem Siwecos-Scanner Schwachstellen sehr dezidiert finden und beheben.“

Auch wenn die Website vorbildlich mit https:// startet und soweit alles in Ordnung scheint: Nachholbedarf haben kleine und mittelständische Unternehmen der eco-Studie zufolge zudem beim Schutz vor sogenannten Phishing-Attacken: Jede Dritte der geprüften Website hat nämlich noch immer maschinell auslesbare E-Mail-Adressen, 14 Prozent haben auslesbare Telefonnummern. Die Folge: „Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebsites ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing-Attacken“, erklärt Schildt die Problematik. Der Fachbegriff steht für das Vorgehen von Cyberkriminellen, die E-Mails versenden, die von einer vertrauenswürdigen Quelle zu stammen scheinen. In Wahrheit leiten sie den Benutzer jedoch auf eine gefälschte Website um, die voller Malware steckt. Beheben lässt sich diese Schwachstelle leicht: Etwa, wenn man im Impressum und bei den Kontaktdaten das @ durch {at} ersetzt und die Telefonnummer als Bild (GIF oder JPG) einsetzt. Unternehmen mit entsprechendem IT-Know-how wie die KPS lassen dagegen ihr Impressum bewusst maschinell lesbar: „Wir haben es sogar mit Micro-Tags versehen, sodass wir über Google besser gefunden werden“, erklärt Krueger den Hintergrund.

Wer beim Siwecos-Sicherheitscheck gut abgeschnitten hat, sollte jedoch immer am Ball bleiben: „Der Sicherheitsstatus kann sich jederzeit ändern, beispielsweise wenn ein Update vergessen wird“, erklärt Schildt. Unternehmen schützen damit nicht nur ihre Kundendaten und ihr Image. Auch Suchmaschinen ranken verschlüsselte Websites weiter oben. Außerdem können Datenschutzbehörden hohe Bußgelder verhängen, wenn Unternehmen ihre Online-Sicherheit nachweislich vernachlässigen und Cyberkriminelle personenbezogene Daten auslesen. Auch Sicherheitsexpertin Cornelia Schildt bleibt am Ball: „Zurzeit untersuchen wir, ob die Websites einzelner Branchen mehr Schwachstellen aufweisen.“

Quelle: Creditreform.de


GARANTIERT SICHER EINKAUFEN

Hilfe zu Firmendaten FirmenWissen, Ihr Spezialist für Firmendaten, trägt das Trusted Shops Zertifikat mit Käuferschutz. Damit erfüllt FirmenWissen die Trusted Shops Kriterien wie Bonität, Kostentransparenz, Kundenservice und Datenschutz. Bei FirmenWissen kaufen Sie garantiert sicher ein. mehr...

FIRMENWISSEN PREMIUM

Jetzt anmelden und sofort von FirmenWissen PREMIUM profitieren

  • Alle PREMIUM-Features nutzen
  • Mit der Watchlist auf dem Laufenden bleiben
  • Bis zu 50% Preisvorteil auf Firmendaten
  • Bequeme Zahlung per Rechnung

mehr Informationen

Hilfe zur Suche

Tragen Sie einen oder mehrere Suchbegriffe in das Eingabefeld ein, z.B. gesuchte Firma, Ort, PLZ, Branche, Inhaber, Geschäftsführer.

mehr Informationen

Hilfe zur Suche

Tragen Sie den Namen der gesuchten Firma in das Eingabefeld ein.

mehr Informationen

Firmeneintrag-Daten

Alle Daten mit diesem Symbol wurden von der angezeigten Firma aktiv bei FirmenWissen eingetragen. Möchten Sie Ihr Unternehmen ebenfalls professionell präsentieren? Informieren Sie sich hier über Firmeneintrag PLUS und PRO!

mehr Informationen

Ihr abgelaufenes Dokument

Das Zeitlimit zur Ansicht dieses bereits zuvor von Ihnen gekauften Dokuments ist abgelaufen.