Studie findet viele Sicherheitslücken bei Internetseiten von NRW-Firmen

Siwecos-Projekt : Sicherheitslücken bei Internetseiten von NRW-Firmen

Viele kleine und mittelständische Unternehmen erleichtern Cyberkriminellen durch Leichtfertigkeit ihre Arbeit. Dabei lassen sich einige Schwachstellen leicht beheben.

(frin) Viele Internetseiten von kleinen und mittelständischen Unternehmen aus NRW haben Sicherheitslücken und sind so ein potenzielles Einfallstor für Cyberkriminelle. Das geht aus einer Untersuchung des Internetverbands Eco und der Ruhr-Universität Bochum hervor, die unserer Redaktion vorliegt.

Demnach haben 6,6 der 754 untersuchten Internetseiten von NRW-Unternehmen eklatante Schwachstellen, 71,8 Prozent sind immerhin nicht optimal konfiguriert und damit auf mittlere Sicht eine Gefahr durch Cyberangriffe. Nur jede fünfte Internetseite ist aus Sicht von Eco und Ruhr-Universität optimal konfiguriert. Speziell bei den Unternehmen mit eklatanten Schwachstellen bestehe akuter Handlungsbedarf seitens der Internetseitenbetreiber, sagt Cornelia Schildt, Sicherheitsexpertin beim Verband der Internetwirtschaft Eco und Leiterin des Siwecos-Projekts.

Ziel des vom Bundeswirtschaftsministerium geförderten Projekts sind sichere Internetseiten und Content Management Systeme. Bundesweit wurden dazu 3419 Internetseiten ausgewertet. Das Gesamtergebnis ähnelt dem aus NRW.

Aus Sicht von Cornelia Schildt gibt es gleich mehrere Probleme bei den Internetseiten. So lassen sich bei knapp jedem dritten Unternehmen die Telefonnummern bzw. E-Mail-Adressen auf der Startseite auslesen, wodurch potentiell die Gefahr steigt, Opfer einer sogenannten Phishing-Attacke zu werden. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab“, sagt Schildt. Dies führe zu einem erhöhten Spam-Aufkommen und bilde damit eine Grundlage für Spear-Phishing-Attacken. Bei solchen Attacken versuchen Kriminelle ganz gezielt, unbefugten Zugriff auf vertrauliche Daten zu erlangen, indem sie E-Mails mit manipulierten Links verschicken.

91 Prozent der untersuchten Internetseiten der kleinen und mittelständischen Unternehmen aus NRW setzen zudem noch auf Http-Protokolle. Internetbrowser wie Googles Chrome kennzeichnen Seiten ohne „Https“ aber inzwischen als „nicht sicher“. Bei 19 Prozent aller geprüften Internetseiten lässt sich zudem die Version des Content Management Systems oder eines darin installierten Plugins auslesen. Auch das erleichtert Cyberangriffe, da bei einigen dieser Systeme Schwachstellen bekannt sind. Kriminelle können Unternehmen mit diesem Wissen daher gezielter angreifen.

Bei jeder zweiten untersuchten NRW-Internetseite wurde zudem die sogenannte Sweet32-Schwachstelle gefunden. Im Bundesschnitt fanden die Forscher diese nur bei zwölf Prozent der Unternehmen. Diese Schwachstelle ist zwar von Hackern nur mit viel Aufwand auszunutzen und gilt daher als nicht besonders kritisch, optimal ist ihr Vorhandensein aus Sicht der Experten jedoch dennoch nicht.

Ein Vielzahl von Unternehmen in Deutschland steht regelmäßig im Fokus von Cyberangriffen. In einer im Februar veröffentlichten Umfrage des Eco-Verbands hatten 90 Prozent der befragten Unternehmen angegeben, dass die Bedrohung durch Cyberangriffe wachse. Unternehmen können die Sicherheit ihrer Internetseite kostenlos unter www.siwecos.de testen.

Mehr von RP ONLINE