Schlecht gewartete Webseiten sind Türöffner für Cyber-Kriminelle

Redaktion Silicon,

Drei von zehn Unternehmen in Österreich sind laut CyberRisk-Report von KSV1870 Nimbusec nicht in der Lage, IT-Sicherheitsvorfälle zuverlässig zu erkennen.

Für den CyberRisk Report 2022 hat die KSV1870 Nimbusec in Österreich rund 45.000 Webseiten unter die Lupe genommen. Wie die aktuellen Ergebnisse zeigen, waren dabei knapp 100 Unternehmenswebseiten mit Schadsoftware infiziert: „Das klingt im ersten Moment nicht viel. Wenn man aber bedenkt, dass viele dieser Webseiten täglich zigtausende Zugriffe haben und jedes Mal dabei Schadsoftware verteilen, dann steigt die Zahl an betroffenen IT-Systemen fast schon ins Unermessliche“, sagt Alexander Mitter, Geschäftsführer von KSV1870 Nimbusec.

Unzureichend gewartete Content Management Systeme sind dabei das „Einfallstor“ schlechthin für Cyber-Kriminelle. Bei nahezu allen Fällen bildeten CMS-Systeme die Basis der gehackten Webseiten – in 88 Prozent der Fälle handelte es sich dabei um WordPress. Besonders erstaunlich: 28 Prozent der infizierten Domains waren zwei Monate nach erfolgter Überprüfung noch immer beschädigt. Und 17 Prozent der betroffenen Domains wurden nach erfolgter Bereinigung nur unzureichend abgesichert, sodass diese innerhalb eines Monats neuerlich Opfer von Hackern wurden.

WebRisk Indicator als erste Orientierung

KSV1870 integriert jetzt den WebRisk Indicator in seine Unternehmens-Auskünfte. Dabei handelt es sich um eine erste Risikobewertung des Webauftritts vom jeweiligen Betrieb. Konkret wird das öffentlich sichtbare Cyberrisiko von Webseiten in vier Kategorien klassifiziert. Gemessen an den geltenden Sicherheitsstandards wird die Unternehmenswebsite als sehr gut, mäßig oder infiziert (mit Schadsoftware) eingeteilt.  Wichtig dabei: Egal wie der WebRisk Indicator ausfällt, das Ergebnis hat keinen Einfluss auf das KSV1870 Rating. Es ist eine kostenlose Zusatzinformation zur ersten Orientierung.

CyberRisk Rating: tiefergehende Analyse zur Risikominimierung

Wenn Unternehmen darüber hinaus noch mehr wissen möchten, bevor sie an die IT-Systeme eines Geschäftspartners „andocken“, können sie ein detaillierteres CyberRisk Rating über den potenziellen Partner beauftragen. Im Rahmen dieses Security-Checks wird das IT-Risiko von Betrieben konkret bewertet. Dazu muss das zu überprüfende Unternehmen Auskunft über seine IT-Systeme und Sicherheitsmaßnahmen geben. „Das CyberRisk Rating zeigt strukturiert die sicherheitstechnische Verfassung eines Unternehmens und belegt, ob gesetzliche Vorgaben erfüllt werden“, so Mitter. Es steht im Einklang mit den Anforderungen für Lieferanten entsprechend der EU-Richtlinie 2016/1148 („NIS“). Das übergeordnete Ziel ist die Schaffung eines höheren Sicherheitsniveaus von Netz- und Informationssystemen in der EU.