• SIWECOS untersuchte 754 Webseiten kleiner und mittelständischer Unternehmen aus NRW hinsichtlich Sicherheitslücken
  • 71,8 Prozent der KMU-Webseiten in NRW nicht optimal konfiguriert
  • 6,6 Prozent der Seiten haben eklatante Sicherheitsmängel

Internet-Webseiten von kleinen und mittelständischen Unternehmen in NRW sind häufig ein Einfallstor für Cyberkriminelle. Die nutzen etwa Schwachstellen im Content Management System (CMS), um Seiten zu hacken. „6,6 Prozent der 754 untersuchten Webseiten von Unternehmen aus NRW weisen eklatante Sicherheitsmängel auf. Es besteht hier akuter Handlungsbedarf seitens der Webseitenbetreiber“, sagt Cornelia Schildt, Projektleiterin SIWECOS und Sicherheitsexpertin im eco – Verband der Internetwirtschaft e. V. Außerdem konnten die Experten mit dem SIWECOS Scanner feststellen, dass 71,8 Prozent der geprüften KMU Webseiten nicht optimal konfiguriert sind. Die eingesetzte Konfiguration ermöglicht auf mittlere Sicht möglicherweise Cyberangriffe.

E-Mail-Adressen auf jeder dritten Seite maschinell auslesbar

Weiteres Ergebnis der Untersuchung: 91 Prozent der KMUs nutzen HTTPs, das Protokoll, das sich zur Herstellung von Vertraulichkeit als Standard für Webseiten etabliert hat. Aktuelle Internetbrowser wie der Google Chrome kennzeichnen inzwischen Internetseiten ohne HTTPS als „nicht sicher“. Bei 19 Prozent aller geprüften KMU-Webseiten lässt sich zudem die Version des Content Management Systems oder eines darin installierten Plugins auslesen. Ein Viertel dieser Seiten arbeitet gar mit einer Version mit bekannten Schwachstellen. „Bei 81 Prozent der Webseiten aus NRW lässt sich die Version nicht auslesen, damit liegt das Bundesland signifikant vorne. Bei allen anderen untersuchten Webseiten verhindern nur 74 Prozent das Auslesen der CMS Version“, stellt Schildt fest. Schlechter als alle anderen schneidet NRW bei der Sweet32 Schwachstelle ab. Während bei allen anderen nur 12 Prozent diese von Hackern nur schwer ausnutzbare Schwachstelle aufweisen, sind es in NRW rund 50 Prozent der Seiten.

Nachholbedarf haben klein- und mittelständische Unternehmen in NRW zudem beim Schutz vor Phishing-Attacken: 36 Prozent aller geprüften KMU-Webseiten haben maschinell auslesbare Telefonnummern auf der Startseite, 34 Prozent maschinell auslesbare Email-Adressen. „Wir empfehlen, diese Kontaktdaten nicht maschinell auslesbar zu hinterlegen, denn Cyberkriminelle oder Spammer greifen diese Information gerne automatisiert von Unternehmenswebseiten ab. Das führt zu einem erhöhten Spam-Aufkommen und bildet eine Grundlage für mögliche Spear-Phishing Attacken“, sagt Schildt.

Website-Check SIWECOS findet Schwachstellen kostenfrei

„Viele kleine und mittelständische Unternehmen wissen nicht, dass die Software hinter ihrer Webseite, das Content Management System (CMS), Sicherheitslücken hat“, sagt Schildt. Der Sicherheitsstatus einer Website lässt sich mit dem kostenlosen Website-Check von SIWECOS binnen Sekunden überprüfen. Der Name steht für „Sichere Webseiten und Content Management Systeme“: Nachdem eine Webseiten-Adresse auf www.siwecos.de eingegeben wurde, geben die Scanner nach einigen Sekunden in den Farben grün, gelb und rot sofort Ergebnisse zu Sicherheits-Aspekten und erläutern diese.

Wer solche Sicherheitslücken findet und verschließt, der verhindert, dass Cyberkriminelle darüber eindringen um unbemerkt Kundendaten zu stehlen oder sogar Viren an die Besucher der Webseite verbreiten. Das kann teuer werden: Haben Firmen ihre Online-Sicherheit nachweislich vernachlässigt und Cyberkriminelle personenbezogene Daten ausgelesen, dann können Datenschutz-Behörden hohe Bußgelder verhängen.

„Mit SIWECOS erhalten die angemeldeten Nutzer ausführliche Informationen über ihre Webseite und werden umgehend bei Vorfällen informiert“, sagt Cornelia Schildt. „Damit sind Unternehmen auf der sicheren Seite.“ Gefördert hat SIWECOS das Bundesministerium für Wirtschaft und Energie im Rahmen der Initiative IT Sicherheit in der Wirtschaft. Geschaffen hat es der eco – Verband der Internetwirtschaft e. V. zusammen mit der Ruhr-Universität Bochum und weiteren Unterstützern.

Für den SIWECOS KMU Webseiten-Check wurden 3.419 Webseiten kleiner und mittelständischer Unternehmen in Deutschland im März 2019 mit den Scannern des SIWECOS Projekts auf mögliche Schwachstellen hin überprüft. 754 Webseiten davon sind auf Servern in NRW gespeichert, wobei der Speicherort anhand der regional zuordbaren IP-Adresse bestimmt wurde.

Über Siwecos (www.siwecos.de)
Siwecos ist ein Gemeinschaftsprojekt von eco – Verband der Internetwirtschaft e. V. und der Ruhr-Universität Bochum mit Unterstützung des CMS Garden e.V. und des Bochumer IT-Security Startups Hackmanit und steht für „Sichere Webseiten und Content Management Systeme“. Das Projekt wird gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWI) und hat zum Ziel die Webseitensicherheit für kleine und mittelständische Unternehmen langfristig zu erhöhen. Siwecos bietet einen Webseitenscanner, der Sicherheitslücken zuverlässig aufdeckt, Filterregeln für Hosting Anbieter, das Webangriffe frühzeitig identifiziert, sowie Aufklärungs- und Hilfsangebote für kleine und mittelständische Unternehmen beim Betrieb von Webseiten mit Content Management Systemen.

Initiative „IT-Sicherheit in der Wirtschaft“
Die Initiative „IT-Sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Energie will vor allem kleine und mittelständische Unternehmen beim sicheren Einsatz von IKT-Systemen unterstützen. Gemeinsam mit IT-Sicherheitsexperten aus Wissenschaft, Wirtschaft und Verwaltung soll eine Grundlage dafür geschaffen werden, um die Bewusstseinsbildung in der digitalen Wirtschaft beim Thema IT-Sicherheit im Mittelstand zu stärken. Unternehmen sollen durch konkrete Unterstützungsmaßnahmen dazu befähigt werden, ihre IT-Sicherheit zu verbessern. Weitere Informationen zur Initiative und ihren Angeboten sind unter: www.it-sicherheit-in-der-wirtschaft.de abrufbar.

Weitere Informationen
eco – Verband der Internetwirtschaft e. V., Lichtstr. 43h, 50825 Köln
Tel. 0221 / 70 00 48 – 0, E-Mail: info@eco.de, Web: www.eco.de

Pressekontakt
René Bernard, Tel. 0221 / 7000 48-131, E-Mail: Rene.Bernard@eco.de