27.11.2017

Siwecos: Datenpannen bei Webseiten vermeiden

Unsichere Webseiten gehören zu den Hauptursachen für Datenpannen im Internet. Das neue Projekt Siwecos bietet einen kostenlosen Scanner, um Sicherheitslücken bei Websites aufzuspüren. Was bringt der Scanner speziell für kleine und mittlere Unternehmen?

Siwecos
© scyther5 /​ iStock /​ Thinkstock

Internetauftritt: Online-Präsenz oder Datenrisiko?

Eine eigene Website ist für Unternehmen inzwischen Pflicht. Der Online-Auftritt ist ein Teil der notwendigen Digitalisierung. Leider sind viele Websites zwar inhaltlich aktuell, aber hinsichtlich ihrer Sicherheit veraltet.

Für den Online-Datenschutz spielt die Suche nach Sicherheitslücken in Webseiten eine wichtige Rolle. Denn unsichere Webseiten ermöglichen Online-Attacken und gefährden die Daten, die die Webseiten erheben, verarbeiten, speichern und ausgeben.

Im Rahmen der Internet Security Days (ISDs) 2017 wurde das Projekt Siwecos (Sichere Webseiten und Content Management Systeme) der Öffentlichkeit vorgestellt. Der eco – Verband der Internetwirtschaft e. V. und die Ruhr-Universität Bochum haben Siwecos entwickelt, um die IT-Sicherheit im Mittelstand deutlich zu erhöhen.

Das Projekt Siwecos

Siwecos (www.siwecos.de) ist ein Projekt, das das Bundesministerium für Wirtschaft und Energie (BMWi) fördert. Außerdem wird es unterstützt vom CMS Garden e.V. und vom Bochumer IT-Security Start-up Hackmanit.

Für Datenschutzbeauftragte ist es sinnvoll, sich mit Website-Scannern wie Siwecos zu befassen, zumal sich der Siwecos-Scanner kostenlos nutzen lässt.

Schwachstellen in CMS

Gerade kleine und mittlere Unternehmen (KMU) erstellen und pflegen ihre Webseiten oft über sogenannte Content-Management-Systeme (CMS). Das ist praktisch und dank der Open-Source-Systeme unter den CMS kostengünstig.

Haben die CMS Schwachstellen, sind allerdings die Webseiten und die damit verbundenen Daten angreifbar.

Mangels Personal und Know-how, aber auch mangels ausreichender Sensibilisierung denken viele KMU nicht daran, nicht nur die Inhalte ihres Internetauftritts zu aktualisieren, sondern auch die genutzte Software.

Der Scanner unterstützt Betreiber, Hoster und Nutzer

Um dem entgegenzuwirken, ist Siwecos speziell auf die Bedürfnisse und den Wissensstand von kleinen und mittleren Unternehmen zugeschnitten:

  • Entsprechend bietet das Projekt neben einem Schwachstellen-Scanner für Webseiten konkrete Handlungsanweisungen, um die gefundenen Fehler zu beheben.
  • Ein kostenloses Plug-in für verschiedene Content-Management-Systeme zeigt den Sicherheitsstatus der Webseite und liefert Hilfs- und Informations-Angebote, um Web-Anwendungen und Server-Infrastruktur zu verbessern.
  • In Zukunft wird es eine Kennzeichnung für Webseiten geben, die Siwecos nutzen. So sehen die Besucher der Website, dass der Betreiber die Optimierung seiner Webseiten-Sicherheit im Blick hat.
  • Als Service für Webhoster – also für Provider, die die Webseiten der Unternehmen vorhalten – kommuniziert Siwecos aktiv akute Sicherheitslücken.
  • Darüber hinaus bietet es Unterstützung an, um Cyberangriffe zu stoppen, bevor sie die Kunden des Webhosters erreichen. Das soll die Zahl der erfolgreichen Angriffe langfristig senken und die Sicherheit im Internet erhöhen.

Höchste Zeit, Websites sicherer zu machen

Unternehmen sollten die Chance nutzen und Webseiten-Scanner wie Siwecos einsetzen, um ihre Webseiten-Sicherheit zu verbessern. Denn andernfalls drohen gefährliche Datenpannen, wie die Offenlegung von Kundendaten im Internet. Nicht erst die Datenschutz-Grundverordnung (DSGVO / GDPR) darf Anlass geben, Datenschutz-Verletzungen zu vermeiden.

Mit dem IT-Sicherheitsgesetz gelten bereits jetzt für Betreiber von Webangeboten wie Online-Shops erhöhte Anforderungen an die technischen und organisatorischen Maßnahmen zum Schutz ihrer Kundendaten und der von ihnen genutzten IT-Systeme.

Typische Schwachstellen

Entsprechend müssen Unternehmen Sicherheitslücken bei Websites regelmäßig suchen, finden und beheben.

Typische Schwachstellen sind zum Beispiel

  • Cross-Site-Scripting-(XSS-)Schwachstellen in der Webapplikation
  • Zertifikats-Probleme (wie abgelaufene Zertifikate)
  • unsichere Verschlüsselungsmethoden (Fehler bei TLS-Konfiguration des Servers, Schwachstellen wie Heartbleed)
  • unsichere Protokollversion (wie SSL2)
  • HTTP-Header der Webapplikation weist unsichere Konfigurationen auf
  • Preisgabe von Informationen auf Webseiten, die sich für Angriffe missbrauchen lassen (wie CMS-Typ, CMS-Version, Plug-in-Typen, Plug-in-Versionen, E-Mail-Adressen)
Autor*in: Oliver Schonschek (Diplom-Physiker, IT-Analyst und Fachjournalist)