Ist Ihre Website ausreichend vor Angriffen geschützt? Wir testen das!
Unternehmen, die auf Website Security setzen, gewinnen an Ansehen, Rankings und Kunden. Umgekehrt laufen Firmen Gefahr, sich übers Internet mehrfach zu schaden, wenn sie eine unsichere Seite betreiben.
Die Zeit drängt: 15% mehr Cybercrime meldete das „Bundeslagebild Cybercrime 2019“ des BKA vom 30.09.2020. Bereits 2018 waren laut bitkom research 3 von 4 der befragten Unternehmen Opfer einer Cyberattacke. In 21% der Fälle wurden sensible Daten gestohlen.
Ein professioneller Website Pentest deckt Risiken und Schwachstellen auf und spricht konkrete Empfehlungen aus, wie Firmen ihre Webseite sicher machen. Am Institut für Datenschutz und Datensicherheit in Bremen (kurz: IDD GmbH) sind daher Pentests Teil der Website Security Checks: „Unsere Website Scans beschränken sich nicht nur auf die Überprüfung von Cross-Site Scripting, SQL- und Code-Injection Manipulationen. Bei unserem Test werden aktuell bis zu mögliche 400 Angriffsszenarien durchgespielt und in Risiko-Stufen kategorisiert.“, sagt Geschäftsführer Dietmar Niehaus. „Indem wir die Tests wiederholt durchführen, können wir die Seiten immer wieder auf neue Bedrohungen hin überprüfen.“
Webseiten DSGVO-konform absichern
Es muss nicht gleich die große Cyberattacke sein. Schon die normale Informationssuche wird zum Imagegau, wenn der Browser die Webseite als „nicht sicher“ einstuft. Weil Google 2016 genau damit drohte, ließen Betreiber ihre Websites auf HTTPS umstellen. Doch einmal handeln reicht nicht aus!
Was als SSL-Verschlüsselung begann, entwickelt sich mit jeder Transport Layer Security (TLS) laufend weiter. Hier heißt es am Ball bleiben, darum prüfen Website Pentester nicht nur, ob TLS installiert wurde, sondern auch welche Version auf der Seite aktiv ist.
Gemäß Art. 32 DSGVO ist stets der Seitenbetreiber verantwortlich, wenn personenbezogenen Daten nicht sicher übermittelt werden.
Damit haben sich die gesetzlichen Anforderungen verschärft, denn die Bedrohung wächst:
Am 30.04.2020 meldete die G DATA CyberDefense 30% mehr Cyberangriffe im März 2020 als im Vormonat. Der millionenfache Einsatz privater Rechner im Homeoffice ist wohl eine gute Gelegenheit. Das zeigt auch eine aktuelle Umfrage im Digitalbarometer 2020 des BSI: Danach ist jeder 10. Nutzer ohne Schutz im Netz aktiv.
Schutz vor CSRF-Attacken
Cyberkriminelle haben vielfach Unternehmen im Visier. Welche, das belegen globale Angriffsdaten der NTT Ltd., die heise.de am 10.06.2020 veröffentlichte: Danach bevorzugen Hacker in Deutschland Technologiefirmen und das Verarbeitende Gewerbe. In 48% der Fälle greifen sie Webseiten und Content-Management Systeme an, in dem sie z.B. websiteübergreifende Anfragen fälschen.
Diese CSRF-Attacken (Cross-Site-Request-Fogerty) geschehen häufig über sog. Man-in-the-Middle Manipulationen, d.h. der Angreifer hackt sich zwischen zwei Kommunikationspartner. Er hört bzw. liest mit oder schlimmer noch: Er täuscht vor, der jeweils andere zu sein. Auf diese Weise kann er ganze Datenpakete abgreifen, umleiten und manipuliert zurückspielen. Die Methode zieht, da jeder 3. Befragte dem BSI 2020 vom einem Account Fremdzugriff berichten konnte.
Die IDD Website Pentests scannen genau, wie und wo diese Art der Anfragefälschung möglich ist. Sie dokumentieren alle Funde und sprechen Handlungsempfehlungen aus, wie diese Lücke geschlossen werden kann. Die Berichte liefern Seiteninhabern, betriebsinternen Datenschützern, Marketing- und IT-Abteilungen strukturierte Hilfen, wie sie gemeinsam die eigene Website sicher machen und dadurch die Kundenzufriedenheit steigern, ihre Reputation im Netz schützen und nachhaltig fördern.