Suchen

Security-Report Wie sicher ist eigentlich Ihre B2B-Webseite?

| Autor / Redakteur: Martin Schiftan* / Georgina Bott

Jeden Tag fallen weltweit über 90.000 Webseiten einem Hackerangriff zum Opfer. Das bedeutet im Klartext: In jeder Sekunde verschaffen sich Cyberkriminelle unerlaubt Zugriff auf mehr als eine Webpräsenz. Auch immer mehr kleine und mittlere Unternehmen sind betroffen.

Firma zum Thema

Online-Auftritt in Gefahr: der Security-Report offenbart besorgniserregendes Sicherheitslevel bei vielen B2B-Webseiten und Onlineshops.
Online-Auftritt in Gefahr: der Security-Report offenbart besorgniserregendes Sicherheitslevel bei vielen B2B-Webseiten und Onlineshops.
(Bild: gemeinfrei / Unsplash)

Abgesehen haben es die oftmals hervorragend organisierten Online-Gangster dabei schon lange nicht mehr nur auf besonders „lohnende“ Ziele wie Onlineshops oder große Plattformen mit riesigen Mengen an personenbezogenen Daten. Nachdem ein Gros der Angriffe mittlerweile vollautomatisiert verläuft, trifft es auch reihenweise kleine und mittlere Webangebote – darunter auch besonders viele Corporate-Homepages und Webpräsenzen aus dem B2B-Bereich.

Cyberangreifer machen auch vor kleineren B2B-Webeiten nicht halt

Dennoch glauben viele Agenturen und Webmaster, dass ihnen ein derartiges Schreckensszenario erspart bliebe, da es ohnehin nichts zu holen gäbe auf der eigenen Corporate Website. Wie der kürzlich von DomainFactory veröffentlichte 2019 Website Threat Report nun zeigt, ist das aber leider allzu oft ein verhängnisvoller – und meist sehr teurer – Trugschluss:

Unter den knapp 170 Millionen ausgewerteten Cyber-Attacken und über 98 Millionen SiteCheck Scans der Website Security Plattform Sucuri fanden sich nämlich erneut mehr kleine und mittlere Webseiten als im Vorjahr. Ein Trend, der damit nicht nur seit einiger Zeit spürbar zunimmt, sondern auch immer mehr „Opfer“ unter den B2B-Unternehmen in Deutschland nach sich zieht.

Eine Erkenntnis, die bei vielen Webseitbetreibern, Agenturen und Webmastern aber leider zu spät kommt. Denn dass sich bewährte Sicherheitsbarrieren wie eine leistungsfähige Firewall und ein permanent aktuelles Anti-Virenprogramm nicht nur auf dem eigenen Rechner, sondern gerade auch auf der eigenen Webpräsenz lohnen, wird vielen erst klar, wenn der Schaden bereits entstanden ist.

Content Management Systeme (CMS): Praktisch, aber unsicher?

Aktuelle Zahlen bestätigen: Das sind die größten Gefahren für Webseiten
Aktuelle Zahlen bestätigen: Das sind die größten Gefahren für Webseiten
(Bild: www.df.eu)

Einer der Gründe für dieses Phänomen: Der Einsatz moderner Open Source-Angebote wie WordPress, Joomla oder Magento. Denn mit den praktischen Helferlein lassen sich auch anspruchsvolle(re) Webseiten und Onlineshops heute so gut wie ohne Programmier- oder Designkenntnisse realisieren. Mehr noch: Häufig werden die Open Source Systeme nach dem Website(re)launch lediglich mit neuen Inhalten befüllt – technisch aber nicht mit dem gleichen Enthusiasmus auf dem aktuellsten Stand gehalten. Doch genau dann haben die Angreifer besonders leichtes Spiel.

Die aktuellen Zahlen aus dem nun vorgelegten Sucuri-Report belegen: Mehr als jedes zweite befallene Content Management Systeme (CMS) ist zum Zeitpunkt der Infektion nicht mehr up-to-date. Das Problem: Gerade die größeren – und damit etwas aufwändiger durchzuführenden – Versionsupdates der großen und beliebten CMS schließen (fast immer) auch wichtige Sicherheitslücken. Wer diese Aktualisierungsschritte zu lange aufschiebt oder ausfallen lässt, öffnet den Angreifern damit jedoch Tür und Tor.

Ein Beispiel gefällig? Kein Problem: Viele Betreiber von veralteten WordPress-Installationen mussten diese Lektion erst im vergangenen Jahr lernen – leider auf die „harte“ Tour. Denn über die angreifbare update_option() Funktion kam es bei über 50 viel genutzten Wordpress-Erweiterungen (Plugins) in den betroffenen Systemen zu einer erheblichen Sicherheitslücke. Obwohl sich diese mithilfe eines Updates relativ zeitnah auch wieder hätte schließen lassen, kam für Millionen nicht regelmäßig aktualisierter Webpräsenzen jede Hilfe zu spät.

Besonders verbreitet – und oft unterschätzt: SEO-Spam

Wie bereits erwähnt, zielen viele der Angriffsversuche heute gar nicht mehr (direkt) darauf ab, möglichst viele Nutzer- oder Bezahldaten zu erbeuten. Denn oftmals geht es den Hackern zunächst vor allem darum, möglichst unbemerkt so genannten SEO-Spam auf dem infiltrierten System zu platzieren. Damit werden Besucher dann entweder auf Spamseiten weitergeleitet – oder die Spam-Programme nutzen selbst direkt bestehende Sicherheitslücken in veralteten Browserversionen der Websitebesucher aus, um auf deren Rechnern Trojaner oder andere Spähprogramme zu installieren.

Besonders problematisch ist dabei die Tatsache, dass gut gemachter SEO-Spam oft wochen- oder monatelang unentdeckt bleibt. Schließlich sind Spam-Techniken wie das Platzieren von unsichtbaren Spam-Links oder das Ersetzen ganzer Webpages für bestimmte Besuchergruppen (Cloaking) für nichtsahnende Webmaster oft nahezu unsichtbar.

Vorsicht vor versteckten Hintertüren!

Ein weiteres, ernstzunehmendes Sicherheitsproblem stellt zudem die hohe Zahl an so genannten „Backdoors“ im Quellcode der untersuchten Webseiten dar. Denn durch diese haben die Angreifer häufig auch noch nach einer ersten Desinfektion Zugang zum eigentlich als „bereinigt“ geltenden System. So konnten die Website Security-Experten allein bei jeder fünften, eigentlich bereits als „bereinigt“ geltenden Magento-Installation eine erneute Infektion feststellen. Häufig dann sogar mit so genannten Skimming-Programmen, die gezielt Kreditkarten- und Bankdaten ausspähen. Ein Sicherheitsproblem, das auch auf vielen B2B-Seiten schnell Haftungs- und Regressansprüche im fünf- oder gar sechsstelligen Bereich nach sich ziehen kann.

Neben einer ausreichenden Absicherung gegen den finanziellen Schaden empfiehlt sich deshalb eine umfassende Prävention. Denn nur so kommt es schließlich erst gar nicht zum Fall der Fälle.

* Martin Schiftan ist Security & Abuse Platform Engineer bei der DomainFactory.

(ID:46627442)