Selbst große Firmen wie Burger King und die New York Times sind nicht vor Hackerangriffen gefeit. Und man kann davon ausgehen, dass beide Unternehmen viel Geld für ihre Sicherheit in die Hand nehmen. Doch wie sieht es in Europa aus? Wie sicher sind die Websites? Das hat sich auch der IT-Sicherheitsspezialist Symantec gefragt und mit 200 IT-Fachleuten in Deutschland, Großbritannien, Frankreich und Schweden eine Umfrage durchgeführt. Das Ergebnis ist wenig ermutigend.
Foto: Symantec
Die Spezialisten von Symantec fürchten, dass hierzulande große Sicherheitslücken klaffen. Ein Viertel der Befragten ITler gab an, nicht zu wissen, ob ihre Website sicher ist. Und immerhin noch zwei Prozent gaben freimütig zu, dass ihr Internetauftritt "nicht sicher" ist. Viele Umfrageteilnehmer glauben, dass ihre Seite keine Mängel aufweist und Hackern keine Angriffsfläche bietet. Die Wirklichkeit sieht anders aus: Symantec fand heraus, "dass über 25 Prozent der Websites kritische Schwachstellen aufweisen".
Das sollte auch kleinere Unternehmen aufschrecken. Denn nicht nur Riesen werden angegriffen. Knapp jeder fünfte Angriff (17,8 Prozent) richtet sich gegen die Seiten von Firmen mit weniger als 250 Mitarbeitern, wie die Umfrage ergab. Besonders brisant: Bei Unternehmen mit weniger als 500 Mitarbeitern kam heraus, dass fast jeder dritte (30 Prozent) Befragte keine Ahnung hatte, ob und wie sicher ihre Website war. So viel Ahnungslosigkeit könnte man beinahe als fahrlässig bezeichnen.
Gefährdete Kleinunternehmer
Der IT-Spezialist geht davon aus, "dass Schwachstellen auch tatsächlich zu Angriffen führen". Das erklärt auch, warum überproportional häufig kleinere Firmen angegriffen werden: Die Hacker können damit rechnen, dass sie unentdeckt bleiben, davon ist auch Symantec überzeugt. Und die Sicherheitsspezialisten sind sich sicher, dass die Mehrzahl der Hacker-Angriffe nicht erkannt wird. Unternehmen können schon längst ausspioniert werden, ohne es zu wissen. Wie wenig sogar IT-Fachleute über die Sicherheit der eigenen Seiten Bescheid wissen, hat Symantec noch an anderen Daten zeigen können.
Foto: Symantec
Um ein Risiko einschätzen zu können, muss man es erst mal kennen. Das ist natürlich eine Binsenweisheit. Aber es scheint, als hätten Unternehmen das noch nicht ausreichend begriffen, wie die Umfrage beweist. Die Spezialisten fragten, für wie wahrscheinlich die Entscheider folgende Sicherheitsrisiken einstuften, und heraus kam: Brute-Force-Angriffe (20 Prozent), Schwachstellen bei der Autorisierung (19 Prozent), Datenlecks (15 Prozent), Cross-Site Request Forgery (15 Prozent), Fälschung von Inhalten (14 Prozent) und Cross-Site-Scripting (13 Prozent).
Symantec gab dagegen an, dass das so niedrig bewertete Cross-Site-Scripting eine der häufigsten Schwachstellen ist. Ob diese Lücke im eigenen System vorliegt, wusste knapp ein Drittel (32 Prozent) der Befragten nicht. Auch ziemlich daneben lagen die Befragten bei Datenlecks: 49 Prozent gaben an, dass diese Schwachstelle bei ihnen unwahrscheinlich sei. Tatsächlich kommen Datenlecks laut Symantec immer häufiger vor.
Häufigste Sicherheitslücke: Schwachstellen bei der Autorisierung
Die laut Umfrage am häufigsten vorkommende Sicherheitslücke waren Schwachstellen bei der Autorisierung. Sechs Befragte gaben an, dass dies die schwerste Sicherheitsverletzung im vergangenen halben Jahr gewesen sei. Aber nicht mal ein Fünftel (19 Prozent) der Befragten halten Autorisierungsverletzungen für wahrscheinlich. Dies wirft kein gutes Licht auf die Sicherheitslage der Unternehmen. Das sieht auch Symantec so: Ohne ein besseres Verständnis der tatsächlichen Bedrohungslage können sie keine geeigneten Maßnahmen zur Verbesserung der Website-Sicherheit ergreifen. Und Sicherheitsvorfälle sind teuer.
Im Gegensatz zu Großbritannien und Frankreich stehe Deutschland ganz gut da, ergab die Befragung, immerhin gebe es ein Risikobewusstsein. Dürfen deutsche CIOs also aufatmen? Nein. Sie sind zwar am besten darüber informiert, wie sicher ihre Website ist, und gestehen mangelnde Sicherheitsvorkehrungen häufiger ein. Knapp ein Drittel (28 Prozent) gab ehrlich an, nichts über die Lücken ihrer Website zu wissen. Im Schnitt waren es 23 Prozent. Immerhin stuften sie die Gefahren durch Cross-Site-Scripting, Datenlecks und Autorisierungen realistischer ein als die Kollegen anderer Länder. Gleichzeitig wussten sehr viele IT-ler nicht Bescheid, ob sie davon ebenfalls betroffen sind.
Laut Symantec sind sich die Deutschen wohl des Risikos insgesamt bewusst. Das liege auch daran, dass sie häufiger eine Schwachstellenanalyse durchführen ließen. Das führt dann zu der merkwürdigen statistischen Anomalie, dass Deutschland die meisten Angriffe zu verzeichnen hatte, obwohl man sich hierzulande am meisten für die Sicherheit interessierte. Die Lösung: Wahrscheinlich wurden Firmen in anderen Ländern ebenfalls angegriffen, nur haben sie es schlicht nicht bemerkt. (hal)
Dieser Artikel basiert auf einem Beitrag unserer Schwesterpublikation CIO.