Webseiten kleiner und mittlerer Unternehmen (KMU) sind oft Einfallstor für Hacker

Wenn es in deutschen Unternehmen einen gravierenden Sicherheitsvorfall gab, dann ist dieser in 13 Prozent der Fälle die Folge eines Hacks der unsicheren Unternehmenswebseite. Das zeigt die aktuelle IT-Security Studie 2019 des eco – Verbands der Internetwirtschaft e. V. Die Einschätzung der befragten IT-Verantwortlichen deckt sich mit den Ergebnissen einer aktuellen Umfrage des Markt- und Meinungsforschungsinstituts YouGov unter 255 IT-Verantwortlichen*. Rund die Hälfte (39 Prozent) halten ihre Website nur für teilweise sicher, 11 Prozent sogar für unsicher.

Webseiten kleiner und mittlerer Unternehmen (KMU) sind oft Einfallstor für Hacker – pixabay.com ©TheDigitalArtist (Creative Commons CC0)
Webseiten kleiner und mittlerer Unternehmen (KMU) sind oft Einfallstor für Hacker 1

„Das Content-Management-System (CMS), also die Software hinter der Unternehmenswebseite, hat noch viel zu häufig Sicherheitslücken“, sagt Cornelia Schildt, Security-Expertin im eco Verband und Leiterin des Projektes SIWECOS. Der Name steht für „Sichere Webseiten und Content-Management-Systeme“, gefördert hat es das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT-Sicherheit in der Wirtschaft. Geschaffen hat es der eco Verband zusammen mit der Ruhr-Universität Bochum und weiteren Unterstützern. Ein kostenfreier Scanner unter www.siwecos.de ermöglicht Website-Checks in wenigen Sekunden. Cornelia Schildt empfiehlt allen kleinen und mittelständischen Unternehmen, ihre Webseiten damit regelmäßig auf ihre Sicherheit zu checken. Nachdem dort eine Webseiten-Adresse eingegeben wurde, zeigen Scanner nach einigen Sekunden in den Farben grün, gelb und rot Ergebnisse zu Sicherheits-Aspekten und erläutern diese.

Viele Webseiten zu unsicher

Eine Untersuchung von über 3.400 Webseiten kleiner und mittlerer Unternehmen mit SIWECOS zeigt aktuell bei 7 Prozent der Seiten eklatante Sicherheitsmängel.** „Es besteht hier akuter Handlungsbedarf seitens der Webseitenbetreiber“, sagt Schildt. Außerdem konnten die Experten mit dem SIWECOS-Scanner feststellen, dass 72 Prozent der geprüften KMU-Webseiten nicht optimal konfiguriert sind. Die eingesetzte Konfiguration ermöglicht auf mittlere Sicht Cyberangriffe, durch die unbemerkt Kundendaten gestohlen oder Viren an die Besucher der Webseite verbreitet werden können.

Die SIWECOS-Experten weisen auf weitere Schwachstellen hin: Mit 92 Prozent nutzen bei weitem noch nicht alle KMUs HTTPS, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als „nicht sicher“. Bei 24 Prozent aller geprüften KMU-Webseiten lässt sich zudem die Version des Content-Management-Systems oder eines darin installierten Plugins auslesen. Jede vierte dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen.

Phishing-Attacken sehr einfach möglich

Nachholbedarf haben kleine und mittelständische Unternehmen zudem beim Schutz vor Phishing-Attacken: 36 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Telefonnummern auf der Startseite, 34 Prozent maschinell auslesbare E-Mail-Adressen. „Unternehmen sollten solche Kontaktdaten nicht maschinell lesbar hinterlegen. Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab und nutzen diese für gezielte Phishing Attacken“, sagt Schildt.

*Die verwendeten Daten beruhen auf einer Online-Umfrage der YouGov Deutschland GmbH, an der 255 IT-Verantwortliche in kleinen und mittelständischen Unternehmen zwischen dem 30.08.2018 und 03.09.2018 teilnahmen. Alle oben genannten Werte beziehen sich auf diese Stichprobe.

**Für den SIWECOS KMU Webseiten-Check wurden 3.419 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im März 2019 mit den Scannern des SIWECOS-Projekts auf mögliche Schwachstellen hin überprüft.

Über Siwecos (www.siwecos.de)
SIWECOS ist ein Gemeinschaftsprojekt von eco – Verband der Internetwirtschaft e. V. und der Ruhr-Universität Bochum mit Unterstützung des CMS Garden e.V. und des Bochumer IT-Security Startups Hackmanit und steht für „Sichere Webseiten und Content-Management-Systeme“. Das Projekt wird gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi) und hat zum Ziel, die Webseitensicherheit für kleine und mittelständische Unternehmen langfristig zu erhöhen. SIWECOS bietet einen Webseitenscanner, der Sicherheitslücken zuverlässig aufdeckt, Webangriffe frühzeitig identifiziert, sowie Aufklärungs- und Hilfsangebote für kleine und mittelständische Unternehmen bietet beim Betrieb von Webseiten mit Content-Management-Systemen.

Initiative „IT-Sicherheit in der Wirtschaft“
Die Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie will vor allem kleine und mittelständische Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um die Bewusstseinsbildung in der digitalen Wirtschaft beim Thema IT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre IT-Sicherheit zu verbessern. Weitere Informationen zur Initiative und ihren Angeboten sind unter: www.it-sicherheit-in-der-wirtschaft.de abrufbar.

eco - Verband der Internetwirtschaft e.V.