Selbst große Firmen wie Burger King und die New York Times sind nicht vor Hackerangriffen gefeit. Und man kann davon ausgehen, dass beide Unternehmen viel Geld für ihre Sicherheit in die Hand nehmen. Doch wie sieht es in Europa aus? Wie sicher sind die Websites? Das hat sich der IT-Sicherheitsspezialist Symantec auch gefragt und führte mit 200 IT-Fachleute in Deutschland, Großbritannien, Frankreich und Schweden eine Umfrage durch. Das Ergebnis: Wenig ermutigend.
Sicherheit? Brauche ich nicht
Die Spezialisten von Symantec fürchten, dass hierzulande große Sicherheitslücken klaffen. Ein Viertel der Befragten ITler gab an, nicht zu wissen, ob ihre Website sicher sei. Und immerhin noch zwei Prozent gaben freimütig zu, dass ihr Internetauftritt "nicht sicher" sei. Viele Umfrage-Teilnehmer glaubten, dass ihre Seite keine Mängel aufweise und Hackern keine Angriffsfläche biete. Die Wirklichkeit sieht anders aus: Symantec fand heraus, "dass über 25 Prozent der Websites kritische Schwachstellen aufweisen".
Das sollte auch kleinere Unternehmen aufschrecken. Denn nicht nur Riesen werden angegriffen. Knapp jeder fünfte Angriff (17,8 Prozent) richtete sich gegen die Seiten von Firmen mit weniger als 250 Mitarbeitern, wie die Umfrage ergab. Besonders brisant: Bei Unternehmen mit weniger als 500 Mitarbeitern kam heraus, dass fast jeder dritte (30 Prozent) Befragte keine Ahnung hatte, ob und wie sicher ihre Website war. So viel Ahnungslosigkeit könnte man beinahe als fahrlässig bezeichnen.
Gefährdete Kleinunternehmer
Der IT-Spezialist geht davon aus, "dass Schwachstellen auch tatsächlich zu Angriffen führen". Das erklärt auch, warum überproportional häufig kleinere Firmen angegriffen werden: Die Hacker können damit rechnen, dass sie unentdeckt bleiben, davon ist auch Symantec überzeugt. Und die Sicherheitsspezialisten sind sich sicher, dass die Mehrzahl der Hackerangriffe nicht erkannt wird. Unternehmen können schon längst ausspioniert werden, ohne es zu wissen. Wie wenig sogar IT-Fachleute über die Sicherheit der eigenen Seiten Bescheid wissen, hat Symantec noch an anderen Daten zeigen können.
Um ein Risiko einschätzen zu können, muss man es erst mal kennen. Das ist natürlich eine Binsenweisheit. Aber es scheint, als hätten Unternehmen das noch nicht ausreichend begriffen, wie die Umfrage beweist. Die Spezialisten fragten, für wie wahrscheinlich die Entscheider folgende Sicherheitsrisiken einstuften und heraus kam: Brute-Force-Angriffe (20 Prozent), Schwachstellen bei der Autorisierung (19 Prozent), Datenlecks (15 Prozent), Cross-Site Request Forgery (15 Prozent), Fälschung von Inhalten (14 Prozent), Cross-Site-Scripting (13 Prozent).
Symantec gab dagegen an, dass das so niedrig bewertete Cross-Site-Scripting eine der häufigsten Schwachstellen sei. Ob diese Lücke im eigenen System vorliegt, wusste knapp ein Drittel (32 Prozent) der Befragten nicht. Auch ziemlich daneben lagen die Befragten bei Datenlecks. 49 Prozent gaben an, dass diese Schwachstelle bei ihnen unwahrscheinlich sei. Tatsächlich kommen Datenlecks laut Symantec immer häufiger vor.
Häufigste Sicherheitslücke: Schwachstellen bei der Autorisierung
Die laut Umfrage am häufigsten vorkommende Sicherheitslücke waren Schwachstellen bei der Autorisierung. Sechs Befragte gaben an, dass dies die schwerste Sicherheitsverletzung im letzten halben Jahr war. Aber nicht mal ein Fünftel (19 Prozent) der Befragten gab an, dass sie Autorisierungs-Verletzungen für wahrscheinlich hielten. Das wirft kein gutes Licht auf die Sicherheitslage der Unternehmen. Das sieht auch Symantec so. Ohne ein besseres Verständnis der tatsächlichen Bedrohungslage können sie keine geeigneten Maßnahmen zur Verbesserung der Website-Sicherheit ergreifen. Und Sicherheitsvorfälle sind teuer.
Im Gegensatz zu Großbritannien und Frankreich steht Deutschland ganz gut da, immerhin gebe es ein Risikobewusstsein. Dürfen deutsche CIOs also aufatmen? Nein. Sie sind zwar am besten darüber informiert, wie sicher ihre Website ist und gaben mangelnde Sicherheitsvorkehrungen häufiger zu. Knapp ein Drittel (28 Prozent) gab ehrlich an, nichts über die Lücken ihrer Website zu wissen. Im Schnitt waren es 23 Prozent. Immerhin stuften sie die Gefahren durch Cross-Site-Scripting, Datenlecks und Autorisierungen realistischer ein als die Kollegen anderer Länder. Gleichzeitig wussten sehr viele ITler nicht Bescheid, ob sie davon auch betroffen sind.
Laut Symantec sind sich die Deutschen wohl des Risikos insgesamt bewusst. Das liege auch daran, dass sie häufiger eine Schwachstellenanalyse durchführen ließen. Das führt dann zu der merkwürdigen statistischen Anomalie, dass Deutschland die meisten Angriffe zu verzeichnen hatte, obwohl sie sich am meisten für die Sicherheit interessierten.Die Lösung: Wahrscheinlich wurden Firmen in anderen Ländern ebenfalls angegriffen, nur sie haben es schlicht nicht bemerkt.