Sie fühlen sich verwundbar? Zu Recht!

Transkript

1 Schwachstellenanalyse Sie fühlen sich verwundbar? Zu Recht!

2 Inhalt Sie fühlen sich verwundbar? Zu Recht! 3-4 Zusammenfassung der Umfrageergebnisse 5 Haben Sie daran gedacht, die Tür abzuschließen? 6 Schließen von Wissenslücken 7 Quantifizierung der Risiken 8 Welche Länder sind am stärksten gefährdet? 9 Frankreich: Äußerst sicher, aber am wenigsten untersucht 10 Deutschland: Gefahr erkannt, Gefahr gebannt 11 Schweden: Sie wissen, dass sie nicht genug wissen 12 Schließen von Sicherheitslücken 13 Referenzen 14 p. 2

3 Sie fühlen sich verwundbar? Zu Recht! Das Datenleck im PlayStation- Netzwerk von Sony im Jahr 2011 gilt als einer der größten Datenschutzverstöße aller Zeiten, dessen Auswirkungen noch heute zu spüren sind. Im Januar 2013 belegte die britische Datenschutzbehörde ICO wegen eines schweren Verstoßes gegen den Data Protection Act Sony Computer Entertainment Europe mit einer Geldbuße von GBP ( Euro). Der Bericht des ICO endete mit der Feststellung, dass der Angriff hätte verhindert werden können, wenn die Sicherheitsmaßnahmen bei Sony auf dem neuesten Stand gewesen wären. Nach einer Infektion von zehn Servern des Unternehmens wurden die Kontodaten von weltweit 75 Millionen Kunden gestohlen. In aller Welt löste dies Parlamentsdebatten und Klagen vor Gericht aus. Zudem hatten die Benutzer über einen Monat lang keinen Zugriff auf das Online-Netzwerk. Dies ist jedoch bei Weitem kein Einzelfall. Im Jahr 2012 durchsuchte Symantec über 1,5 Millionen Websites im Rahmen seiner Services zur Überprüfung von Websites auf Malware und Schwachstellen. Bei der täglichen Durchsuchung von mehr als URLs wurde auf jeder 532. Website Malware gefunden. Zusätzlich zu den Malware-Scans wurden täglich über 1400 Websites auf potenziell gefährliche Schwachstellen überprüft. Auf ungefähr 53 Prozent der überprüften Websites wurden potenziell gefährliche Schwachstellen gefunden, für die kein Sicherheitspatch eingespielt worden war. Von diesen wurde ein Viertel als kritisch eingestuft. Es liegt auf der Hand, dass die Ausnutzung solcher Schwachstellen zu erheblichen Sicherheitsverletzungen führen kann. Werden diese bekannt, kommt es zu einem Vertrauensverlust. Untersuchungen von Symantec 1 zufolge könnte es auch in Ihrem Unternehmen solche Schwachstellen geben, allerdings sind sich die meisten Unternehmen dieser Problematik nicht bewusst. Kriminelle sind fortwährend auf der Suche nach neuen Schwachstellen in Websites und am Beispiel von Sony wird deutlich, dass sie dabei häufig äußerst erfolgreich sind. Wenn Ihre öffentlich zugängliche Website mit Malware infiziert wird oder Schwachstellen von Hackern ausgebeutet werden, kann dies die Sicherheit von Kundendaten erheblich gefährden. Das kann dazu führen, dass Ihre Website von Suchmaschinen auf die schwarze Liste gesetzt wird, bevor Sie Gegenmaßnahmen ergreifen können. Dadurch wird das Vertrauen Ihrer Kunden untergraben und im Falle eines erfolgreichen Hacker-Angriffs erleidet der Ruf Ihrer Marke erheblichen Schaden. Gegen die Bedrohung durch immer intelligentere Malware und das Risiko von Online-Datenverlusten muss Ihr Unternehmen mehr tun, als nur auf die Sicherheitsprobleme der Websites zu reagieren. p. 3

4 Sie fühlen sich verwundbar? Zu Recht! Symantec befragte 200 IT-Fachleute in Unternehmen jeder Größe aus vier europäischen Ländern, um zu erfahren, wie viel sie über die Gefahren wissen, denen sie ausgesetzt sind, und was sie unternehmen, um ihr Wissen zu erweitern. Ein Viertel der Befragten bestätigten, nicht zu wissen, wie sicher ihre Website ist, und sogar über die Hälfte hatten noch nie eine Schwachstellenanalyse ihrer Website durchgeführt. Zwar schätzten die meisten befragten Unternehmen das Risiko, dass ihre Website bestimmte Schwachstellen aufweist, als gering ein, doch die Erfahrung von Symantec zeigt, dass mehr als 24 % aller Websites kritische Schwachstellen aufweisen. 2 Eine Infektion mit Malware ist häufig direkt auf solche Sicherheitslücken der Websites zurückzuführen und stellt eines der größten Sicherheitsrisiken dar, die derzeit aufkommen. Laut dem Website Security Threat Report 3 von Symantec wurden im Jahr 2011 allein 403 Millionen unterschiedliche Arten von Malware entdeckt. Wenn also eine Website eine Sicherheitslücke aufweist, wird diese mit Sicherheit auch ausgenutzt. Schwachstellenanalysen können hier gefährlichen Wissenslücken vorbeugen und nicht nur aufzeigen, wo Schwachstellen bestehen, sondern auch welche Maßnahmen zu deren Behebung erforderlich sind. Zudem ist die Schwachstellenanalyse keine einmalige Angelegenheit. Die Umfrage zeigt nämlich, dass das Vertrauen in die Sicherheit der Website bei den Unternehmen stärker ist, die jeden Monat eine Schwachstellenanalyse durchführen. Es überrascht nicht, dass größere Unternehmen besser über die Risiken informiert sind und mit höherer Wahrscheinlichkeit regelmäßige Schwachstellenanalysen durchführen. Allerdings ist es dem Website Security Threat Report von Symantec zufolge ein Irrtum, anzunehmen, dass nur große Unternehmen von Angriffen betroffen sind. Der Bericht zeigt, dass auch eine erhebliche Anzahl kleinerer Unternehmen (31%) angegriffen wird. Größere Unternehmen werden naturgemäß tiefer gehende Analysen durchführen, aber auch kleinere Unternehmen müssen sich eindeutig einen besseren Überblick nicht nur über die allgemeine Bedrohungslage, sondern auch über ihre spezifischen Risiken verschaffen wurden 5291 Schwachstellen festgestellt, gegenüber 4989 Schwachstellen im Jahr p. 4

5 Zusammenfassung der Untersuchungsergebnisse 5 23 % - weiß nicht 2 % - nicht sicher 27 % - ausreichend sicher 15 % - absolut sicher Fast ein Viertel der IT-Manager weiß nicht, wie sicher die eigene Website ist. 33 % - sehr sicher Regelmäßige Schwachstellenanalysen verschaffen einen besseren Einblick in die Website-Sicherheit. JEDEN MONAT 0 % 30 % 52 % 14 % 4 % ÜBERHAUPT NICHT 0 % 36 % 27 % 14 % 27 % nicht sicher ausreichend sicher sehr sicher absolut sicher weiß nicht p. 5

6 Haben Sie daran gedacht, die Tür abzuschließen? Website-Sicherheit war noch nie so wichtig wie heute, aber die Unternehmen in Nordeuropa scheinen sich dies nicht bewusst zu machen. Dadurch werden sie gefährlich anfällig für Sicherheitsverletzungen. Über die Hälfte hat noch nie eine Schwachstellenanalyse der Website ausgeführt 64 % 53 % 56 % 42 % UK FR SE DE 16 % 8 % 22 % 12 % 16 % 14 % 10 % 26 % 15 % 14 % 12 % 20 % nie im letzten Jahr in den letzten 6 Monaten im letzten Monat Bei unserer Umfrage unter 200 IT-Managern räumte nahezu ein Viertel (23 %) ein, nicht zu wissen, wie sicher die eigene Website ist. Bei den kleineren Unternehmen mit weniger als 500 Mitarbeitern ist dieser Anteil mit 30 % sogar noch höher. Fast ein Drittel der KMU hat also keinen Überblick über die Sicherheit ihrer Website. Während lediglich 2 % Schwachstellen zugeben und ein Drittel (33 %) vermutet, dass die eigene Website sehr sicher ist, geben insgesamt nur 15 % an, dass ihre Website absolut sicher ist. Damit stufen nur die Hälfte der Befragten (48 %) ihre Website als sehr bzw. absolut sicher ein. In den USA tun dies hingegen fast drei Viertel (74 %). Ohne ein besseres Verständnis der Schwachstellen ist es schwierig zu sagen, welche Auswirkungen Sicherheitslücken haben können. Angesichts der explosionsartigen Zunahme der Angriffe um 81 % im Jahr ist jedoch davon auszugehen, dass Schwachstellen auch tatsächlich zu Angriffen führen. Nur 19 an der Umfrage beteiligte Unternehmen gestanden ein, in den letzten sechs Monaten eine Sicherheitsverletzung durch das Internet erlitten zu haben, obwohl drei von ihnen über erhebliche Auswirkungen der Sicherheitsverletzung berichteten. Allerdings wird die Mehrzahl der p. 6 Sicherheitsverletzungen über das Internet nicht berichtet oder sogar gar nicht erst erkannt. Es ist daher möglich, dass Unternehmen es nicht bemerken, wenn sie Opfer von Internetkriminalität werden. Davon auszugehen, dass eine Unternehmenswebsite sicher ist, ist sehr riskant. Symantec hat anhand eigener Untersuchungen im Rahmen seiner kostenlosen Schwachstellenanalyse festgestellt, dass ca. ein Viertel der Unternehmenswebsites kritische Schwachstellen aufweist. 7 Die Annahme kleinerer Unternehmen, dass nur die bekannten Marken das Ziel von Angriffen sind, ist falsch. 17,8 % der Angriffe sind gegen Unternehmen mit weniger als 250 Mitarbeitern gerichtet, da Internetkriminelle sich kleineren Unternehmen zuwenden, weil ihre Aktivitäten dort mit geringerer Wahrscheinlichkeit erkannt werden. 8 Man kann mit Sicherheit sagen, dass Websites, die nicht durch eine mehrschichtige Sicherheitsarchitektur geschützt werden, anfällig für Angriffe sind. Ebenso ist es ohne ausreichende Informationen über die Schwachstellen einer Website unmöglich, das Ausmaß der Bedrohung und die Risiken für das Unternehmen zu erfassen.

7 Schließen von Wissenslücken Mit regelmäßigen Schwachstellenanalysen können Unternehmen ihre Wissenslücken in Bezug auf die Sicherheit ihrer Website schließen. Über die Hälfte der Befragten (53 %) hat noch nie eine Schwachstellenanalyse durchgeführt. Dies liegt vielleicht an einem zu geringen Bewusstsein über das zunehmende Problem der Malware. 15 % der Befragten haben im letzten Monat eine Schwachstellenanalyse durchgeführt, 16 % in den letzten sechs Monaten und 16 % in den letzten zwölf Monaten. Die Mehrheit derjenigen, die eine Schwachstellenanalyse durchgeführt haben, wird dies wahrscheinlich wiederholen. 52 % der Befragten, die eine Schwachstellenanalyse vornahmen, wiederholten diese in den letzten zwölf Monaten. Ein Viertel gab an, regelmäßig Schwachstellenanalysen durchzuführen. Größere Unternehmen haben mit höherer Wahrscheinlichkeit in der letzten Zeit eine Schwachstellenanalyse durchgeführt (21 %), während die deutliche Mehrheit (67 %) der mittelgroßen Unternehmen mit 500 bis 999 Mitarbeitern noch nie eine Schwachstellenanalyse durchgeführt hat. Entsprechend werden größere Unternehmen Schwachstellenanalysen mit höherer Wahrscheinlichkeit wiederholen. 37 % der 30 Unternehmen in dieser Kategorie wiederholen sie monatlich. Die Akzeptanz einer automatisierten Überprüfung auf Schwachstellen ist sehr gering. Dies liegt im Falle des kostenlosen Service von Symantec möglicherweise daran, dass er erst vor Kurzem eingeführt wurde. Nur 6 % derjenigen, die eine Analyse durchgeführt hatten, verwendeten diese Methode. Hingegen nutzte die Hälfte (50 %) den Service eines Drittanbieters und 44 % führten eine interne Analyse durch. Die Auswirkungen von Schwachstellenanalysen sind eindeutig. Über ein Viertel (27 %) derjenigen, die noch nie eine Schwachstellenanalyse durchgeführt haben, gesteht ein, schlicht nicht zu wissen, wie sicher die eigene Website ist. Bei der Gesamtheit der Befragten liegt diese Zahl im Vergleich bei 23 %. Umgekehrt haben diejenigen, die Schwachstellenanalysen durchgeführt haben, größeres Vertrauen in die Sicherheit ihrer Website. Nur 4 % aus dieser Gruppe gaben an, nicht zu wissen, wie sicher ihre Website ist. Sich mit Informationen über die Schwachstellen von Websites zu rüsten, ist natürlich nur der erste Schritt, aber selbst nur dies kann bereits das Bewusstsein dafür schärfen, welche Risiken man zu tragen bereit ist. Eine hohe Zahl derer, die regelmäßig eine Schwachstellenanalyse durchführen, gibt an, dass ihre Websites sehr sicher (52 %) oder ausreichend sicher (30 %) sind. Wann haben Sie zuletzt eine Schwachstellenanalyse Ihrer Website durchgeführt und wie ist sie ausgefallen? JEDEN MONAT 0 % 30 % 52 % 14 % 4 % ÜBERHAUPT NICHT 0 % 36 % 27 % 14 % 27 % nicht sicher ausreichend sicher sehr sicher absolut sicher weiß nicht p. 7

8 Quantifizierung der Risiken Es ist kaum verwunderlich, dass IT-Manager ohne den Zugang zu fundierten Informationen das Risiko als gering einschätzen, von verschiedenen Schwachstellen betroffen zu sein. Da über die Hälfte der Befragten noch nie eine Schwachstellenanalyse durchgeführt hat, können sie die Wahrscheinlichkeit nur schwer einschätzen. Schwachstellen bei der Autorisierung wurden nur von 19 % als wahrscheinlich oder sehr wahrscheinlich eingestuft, waren aber laut der Umfrage tatsächlich die am häufigsten vorkommende Sicherheitsverletzung. Sechs der Befragten gaben sie als die schwerste Sicherheitsverletzung an, die bei ihnen im letzten halben Jahr auftrat. Die Diskrepanz zwischen der Einschätzung der Befragten und der Realität ist ein weiterer Beleg für die gefährliche Wissenslücke in Bezug auf Schwachstellen. Unternehmen müssen sich besser über die Risiken informieren, denen sie ausgesetzt sind. Ohne ein besseres Verständnis der tatsächlichen Bedrohungslage können sie keine geeigneten Maßnahmen zur Verbesserung der Website- Sicherheit ergreifen. Es bestand daher eine erhebliche Diskrepanz zwischen den Erwartungen der Befragten, welche Schwachstellen ihre Websites aufweisen könnten, und den Daten von Symantec zu den Schwachstellen, die bei Websites in der Regel vorliegen. Folgende Sicherheitsrisiken wurden von den Befragten als am wahrscheinlichsten eingestuft: Für wie wahrscheinlich halten Sie es, dass Ihre Website von Cross- Site-Scripting betroffen wird? Brute-Force-Angriffe (20 %) Schwachstellen bei der Autorisierung (19 %) Datenlecks (15 %) Cross-Site Request Forgery (15 %) 32 % 37 % Fälschung von Inhalten (14 %) Cross-Site-Scripting (13 %) Cross-Site-Scripting, das in der Umfrage für am wenigsten wahrscheinlich gehalten wurde, ist nach den eigenen Untersuchungen von Symantec eine der häufigsten Schwachstellen. Nahezu ein Drittel (32 %) der Befragten gab an, nicht zu wissen, ob diese Schwachstelle bei den eigenen Systemen vorliegen könnte. 4 % 9 % 18 % Datenlecks werden ebenfalls als relativ unwahrscheinlich bewertet. Knapp die Hälfte (49 %) der Befragten gab an, dass diese Schwachstelle bei ihnen unwahrscheinlich sei, obwohl Datenlecks tatsächlich immer häufiger vorkommen. Der oben erwähnte Angriff auf die Sony PlayStation ist hierfür ein klarer Beweis. äußerst unwahrscheinlich sehr wahrscheinlich weiß nicht In der Umfrage wurden Brute-Force-Angriffe als die wahrscheinlichste Schwachstelle eingestuft (20 % stufen sie als wahrscheinlich oder sehr wahrscheinlich ein), da die Befragten annehmen, dass die Schwächen der physischen Infrastruktur schwerer wiegen als virtuelle Risiken. p. 8

9 Welche Länder sind am stärksten gefährdet? Großbritannien: Sicher oder nicht? Viele britische Unternehmen halten ihre Website für relativ sicher und meinen, dass sie keine Schwachstellen aufweisen, aber die Hälfte der Befragten gab in unserer Umfrage an, dass sie keine Schwachstellenanalysen durchführt. Es ist daher nur schwer nachzuvollziehen, woher diese Zuversicht rührt. Britische Unternehmen stufen ihre Website zu 48 % als sicher oder absolut sicher ein. Dieser Prozentsatz entspricht exakt dem Durchschnitt aller vier Länder. Ein ebenfalls nahezu dem Durchschnitt entsprechender Anteil (24 %) beantwortete die Frage nach der Einschätzung der Sicherheit der eigenen Website mit weiß nicht. Allerdings lag mit 20 % der Anteil derjenigen, die die Sicherheit ihrer Website als absolut sicher einschätzten, überdurchschnittlich hoch. Dies war der höchste Wert aller untersuchten Märkte. In Großbritannien wird die Wahrscheinlichkeit, von einem Sicherheitsrisiko betroffen zu sein, im Vergleich mit allen anderen Ländern am niedrigsten eingeschätzt. In drei der sechs Kategorien (siehe Tabelle auf Seite 8) stuften mehr Unternehmen als in jedem anderen Land die Wahrscheinlichkeit einer Schwachstelle als äußerst gering ein. In den restlichen drei Kategorien standen die britischen Unternehmen jeweils an zweiter Stelle. Zudem gibt es in Großbritannien im Vergleich zu den anderen Ländern in drei Kategorien die meisten Unternehmen, die die Frage nach bestimmten Schwachstellen mit weiß nicht beantworteten. Das Cross-Site-Scripting ist hierfür ein gutes Beispiel. 40 % gaben an, dass diese Schwachstelle bei ihnen äußerst unwahrscheinlich sei, wohingegen 48 % angaben, dass sie hierüber nicht Bescheid wissen. In Großbritannien führt die Hälfte der Unternehmen Schwachstellenanalysen durch. Von diesen Unternehmen haben überdurchschnittlich viele (56 %) die Analyse im Laufe des letzten Jahres wiederholt. Zudem wird aus Großbritannien die geringste Anzahl von Sicherheitsverletzungen berichtet. Offensichtlich unterteilen sich Unternehmen in Großbritannien ganz klar in solche, die regelmäßig Analysen durchführen, jede bekannte Sicherheitslücke schließen und sich als äußerst sicher einstufen, und solche, die keine Analysen durchführen und sich über ihre Bedrohungslage nicht im Klaren sind. Ein Fünftel der britischen Unternehmen halten ihre Website für absolut sicher. 0 % 28 % 28 % 20 % 24 % nicht sicher ausreichend sicher sehr sicher absolut sicher weiß nicht p. 9

10 Frankreich: Äußerst sicher, aber am wenigsten untersucht Auf den ersten Blick scheinen französische Unternehmen großes Vertrauen in die Sicherheit ihrer Websites zu haben. Doch bei näherer Nachfrage gestehen sie ein, dass ihnen spezifische Schwachstellen nicht bekannt sind, da überdurchschnittlich viele von ihnen keine Schwachstellenanalysen durchführen. Ein hoher Anteil der französischen Unternehmen hält die eigene Website für sehr sicher. 42 % 33 % 52 % 48 % 23 % 8 % FR Durchschnitt FR Durchschnitt FR Durchschnitt sehr sicher absolut sicher weiß nicht Viele französische Unternehmen halten ihre Website für sehr sicher (42 %; Durchschnitt: 33 %) und eine überdurchschnittlich hohe Anzahl stuft sich mit sehr sicher bzw. absolut sicher im oberen Quartil ein (52 %; Durchschnitt: 48 %). Nur sehr wenige der Befragten (8 %; Durchschnitt: 23 %) gaben an, nicht zu wissen, wie sicher ihre Website ist. Die französischen Unternehmen gaben allerdings bei fünf von sechs Schwachstellenkategorien die höchsten Wahrscheinlichkeitswerte an und zeigten damit im Vergleich mit den Unternehmen der anderen Länder in der Einzelbewertung das geringste Vertrauen in die Sicherheit ihrer Website. Als größte Bedrohungen wurden von ihnen Cross-Site Request Forgery (34 % der Unternehmen schätzten sich als wahrscheinlich oder sehr wahrscheinlich gefährdet ein), Brute-Force-Angriffe (32 %) und Schwachstellen bei der Autorisierung (28 %) eingestuft. In allen Kategorien gab nur ein geringer Anteil der Unternehmen an, nicht zu wissen, wie wahrscheinlich Schwachstellen auf ihrer Website sind: der Höchstwert in den einzelnen Kategorien lag bei 8 % gegenüber dem Durchschnitt aller vier Länder von 30 %. Frankreich hatte mit nahezu zwei Dritteln (64 %) den höchsten Anteil von Befragten, die noch nie eine Schwachstellenanalyse durchgeführt hatten. Unter denjenigen, die eine Analyse durchgeführt hatten, befand sich aber der zweithöchste Prozentsatz (44 %), der diese intern durchführte. 39 % der Unternehmen, die Analysen durchführten, wiederholten diese monatlich. Die französischen Unternehmen müssen sich besser über die spezifischen Schwachstellen informieren, von denen ihre Website betroffen sein kann. Auf Nachfrage gaben mehr Befragte als in anderen Ländern ihrer Sorge Ausdruck, dass bei der Website Probleme vorliegen. Schwachstellenanalysen können helfen, diese Befürchtungen zu quantifizieren, oder zu bestätigen, dass die Website-Sicherheit in Frankreich hervorragend ist. p. 10

11 Deutschland: Gefahr erkannt, Gefahr gebannt Deutschland hebt sich dadurch hervor, dass hiesige Unternehmen die meisten Schwachstellenanalysen durchführen und am besten darüber informiert sind, wie sicher ihre Website wirklich ist. Deutsche Unternehmen führten die meisten Schwachstellenanalysen im letzten Monat und den letzten sechs Monaten durch und haben den geringsten Anteil an Unternehmen, die noch nie eine Analyse durchgeführt haben. Wir nutzen einen externen Dienstleister für die Überprüfung. Wir führen die Überprüfung selbst durch. Wir nutzen automatische Scans. sonstige 38 % 69 % 3 % 14 % Deutschland hat den höchsten Anteil an Befragten, die ihre Website als sehr sicher einschätzen, und überdurchschnittlich viele Befragte, die angaben, dass sie nicht wissen, wie sicher ihre Website ist. 44 % der 50 befragten Unternehmen sind der Überzeugung, dass ihre Website sehr sicher ist. Zusammen mit denjenigen, die ihre Website als absolut sicher einstufen, sind dies sogar 56 %. Allerdings räumten mit 28 % gegenüber dem Durchschnitt von 23 % relativ viele ein, nicht zu wissen, wie sicher ihre Website ist. Deutsche Unternehmen gaben bei einigen Schwachstellenkategorien recht hohe Werte für die Wahrscheinlichkeit an, hatten aber auch einen höheren Anteil, der mit weiß nicht antwortete. In drei der sechs Kategorien (Cross-Site-Scripting, Datenlecks und Schwachstellen bei der Autorisierung) weisen sie den höchsten Anteil auf, der bei sich selbst das Vorhandensein einer Schwachstelle als wahrscheinlich oder sehr wahrscheinlich einstufen. In einer anderen Kategorie, dem Cross-Site Request Forgery, geben mit 60 % extrem viele Unternehmen an, dass sie nicht wissen, ob eine solche Schwachstelle bei ihrer Website vorliegen könnte. Im Allgemeinen jedoch zeigt man in Deutschland ein hohes Maß an Risikobewusstsein. Dies überrascht nicht, da hier der größte Anteil an Unternehmen zu verzeichnen ist, die im letzten Monat (20 %) bzw. in den letzten sechs Monaten (26 %) eine Schwachstellenanalyse durchgeführt haben. Zudem gibt es hier im Vergleich mit den anderen Ländern den niedrigsten Anteil an Unternehmen, die noch nie eine Schwachstellenanalyse durchgeführt haben (42 %). Das heißt, insgesamt 58 % der befragten deutschen Unternehmen haben innerhalb des letzten Jahres eine Schwachstellenanalyse durchgeführt. Der Durchschnitt in allen vier Ländern lag hingegen nur bei 47 %. Die Analysen werden meist intern durchgeführt (69 % gegenüber durchschnittlich 44 %). In Deutschland wird auch eine höhere Anzahl von Sicherheitsverletzungen (16 %; acht Befragte) als in jedem anderen Land angegeben. Deutsche Unternehmen sind also allgemein besser informiert und besser vorbereitet als Unternehmen in anderen Ländern Nordeuropas. Die Unternehmen, die noch keine Schwachstellenanalyse durchgeführt haben, müssen jetzt zu ihren Mitbewerbern aufholen. p. 11

12 Schweden: Sie wissen, dass sie nicht genug wissen Im Gegensatz zu Deutschland, wo Unternehmen anscheinend gut informiert sind, müssen schwedische Unternehmen eingestehen, nur wenig darüber zu wissen, welchen Risiken ihre Websites ausgesetzt sind. Unternehmen in Schweden stufen ihre Website seltener als in anderen Ländern als sehr sicher oder absolut sicher ein (38 %). Sie bleiben damit 10 Prozentpunkte unter dem Gesamtdurchschnitt für Websites im oberen Quartil. Allerdings wissen mit 32 % gegenüber dem Durchschnitt aller vier Länder von 23 % relativ viele nicht, wie sicher ihre Website ist. Dieser Mangel an Informationen setzt sich bei der Frage nach spezifischen Schwachstellen fort. Hier hatten die schwedischen Unternehmen einige der höchsten Werte für weiß nicht. Bei drei der sechs Kategorien (Datenlecks, Fälschung von Inhalten und Schwachstellen bei der Autorisierung) weisen sie den höchsten Anteil auf, der angab, nicht zu wissen, ob diese Schwachstelle vorliegt. Gleichzeitig sind die Werte für die Wahrscheinlichkeit aller Schwachstellen relativ niedrig, wobei Datenlecks mit 16 % sehr wahrscheinlich bzw. äußerst wahrscheinlich als am wahrscheinlichsten eingestuft wurden. Der Mangel an Informationen kann kaum überraschen, denn nur 22 % der Unternehmen haben im letzten Monat bzw. in den letzten sechs Monaten eine Schwachstellenanalyse durchgeführt. Dies ist der niedrigste Wert in allen vier Ländern. Mit 56 % haben überdurchschnittlich viele Unternehmen noch nie eine Schwachstellenanalyse durchgeführt. Von denjenigen, die eine Schwachstellenanalyse durchgeführt haben, hat fast ein Drittel (32 % gegenüber durchschnittlich 23 %) diese nie wiederholt. Ohne Informationen können schwedische Unternehmen weder ihre Bedrohungslage quantifizieren noch den spezifischen Risiken entgegenwirken, denen sie ausgesetzt sind. Einige einfache Schritte wie die automatisierte Überprüfung auf Schwachstellen können ein Anfang sein, um die Informationslücken zu schließen. Nur 22 % der schwedischen Unternehmen haben im letzten Monat bzw. in den letzten sechs Monaten eine Schwachstellenanalyse durchgeführt. 56 % 12 % 10 % 22 % im letzten Monat in den letzten 6 Monaten im letzten Jahr nie p. 12

13 Schließen von Sicherheitslücken Unsere Befragung von 200 Unternehmen in Nordeuropa hat einen gravierenden Mangel an Wissen über die Website-Sicherheit und mögliche Schwachstellen aufgedeckt. Aber was sind die Auswirkungen dieser Wissenslücke und wie können Unternehmen sie schließen? Obwohl nur wenige der Befragten Sicherheitsverletzungen eingestanden und die Daten zu den Arten von Sicherheitsverletzungen unvollständig waren, hatten die Sicherheitsverletzungen, die auftraten, den Angaben zufolge erhebliche Auswirkungen. 19 der insgesamt befragten Unternehmen (9 %) gaben an, dass bei ihnen in den letzten sechs Monaten eine Sicherheitsverletzung aufgetreten ist. Größere Unternehmen gaben deutlich häufiger an, in den letzten sechs Monaten eine Sicherheitsverletzung erlitten zu haben. Über ein Fünftel (21 %) der 58 Unternehmen mit mehr als 1000 Mitarbeitern berichteten von einer Sicherheitsverletzung. Die schwerstwiegenden Sicherheitsverletzungen, von denen die Befragten berichteten, waren Schwachstellen bei der Autorisierung, gefolgt von -Angriffen und der Fälschung von Inhalten. Sechs Unternehmen wollten nicht angeben, welcher Art die schwerste Sicherheitsverletzung bei ihnen war. Wie lässt sich feststellen, ob die eigene Website gehackt wurde oder kritische Schwachstellen aufweist, die dazu führen könnten, dass sie gehackt wird? Wenn man nicht die Mittel oder den Wunsch hat, eine umfassende interne oder externe Schwachstellenanalyse der Website vorzunehmen, ist eine automatische Remote-Analyse ein hervorragender Ausgangspunkt für die Erkennung von Schwachstellen. Bei Symantec ist dieser Service kostenlos im Lieferumfang der meisten SSL-Zertifikate enthalten. 9 Mithilfe dieser Analyse können kritische Schwachstellen erkannt werden, die Internetkriminellen den Zugang zur Website ermöglichen, so dass sie dort Malware platzieren und auf vertrauliche Kundendaten zugreifen können. Die Analyse stellt zudem einen aussagekräftigen Bericht über die Bedrohungen bereit, der einfache Gegenmaßnahmen wie ein Upgrade der Sicherheitssoftware, eine verbesserte Aufklärung der Benutzer oder eine Anpassung der Sicherheitsrichtlinien aufzeigt. Der Mangel an Daten über Verletzungen der Website-Sicherheit ist nicht verwunderlich, da die meisten nicht gemeldet oder gar nicht erst erkannt werden. Da seriöse Websites zunehmend mit Malware infiziert werden, können Internetkriminelle Benutzerdaten abgreifen oder sogar betrügerische Transaktionen vornehmen, ohne dass die Unternehmen jemals davon erfahren. Der Website Security Threat Report von Symantec stellte fest, dass 61 % aller schädlichen Websites eigentlich seriöse Websites sind, die gehackt und mit Schadcode infiziert wurden. p. 13

14 Referenzen 1. Alle in diesem Bericht enthaltenen Daten entstammen der von IDG Connect im Auftrag von Symantec im Oktober 2012 durchgeführten Umfrage unter 200 IT-Fachleuten in vier europäischen Ländern (Deutschland, Großbritannien, Frankreich und Schweden). 2. Siehe Internet Security Threat Report von Symantec 3/4/5. Laden Sie den 1. Teil des Berichts über Bedrohungen für Websites 2013 herunter: Laden Sie den 2. Teil des Berichts über Bedrohungen für Websites 2013 herunter: 6. Alle in diesem Bericht enthaltenen Daten entstammen der von IDG Connect im Auftrag von Symantec im Oktober 2012 durchgeführten Umfrage unter 200 IT-Fachleuten in vier europäischen Ländern (Deutschland, Großbritannien, Frankreich und Schweden). 7. Im Laufe des letzten Quartals 2011 stellte Symantec fest, dass 35,8 % der untersuchten Websites mindestens eine Schwachstelle und 25,3 % mindestens eine kritische Schwachstelle aufwiesen. Internet Security Threat Report von Symantec; Link siehe oben. 8. Internet Security Threat Report von Symantec; Link siehe oben. 9. Symantec bietet kostenlose Schwachstellenanalysen für Kunden mit Extended Validation Secure Site Pro und Secure Site Pro SSL-Zertifikaten an. Im Lieferumfang aller SSL-Zertifikate von Symantec und der Produkte mit dem Norton Secured-Siegel ist ein kostenloser täglicher Malware-Scan enthalten. p. 14

15 ÜBER SYMANTEC Zu den Website-Sicherheitslösungen von Symantec gehören neben branchenführendem SSL und Zertifikatsmanagement auch die Schwachstellenanalyse und die Durchsuchung von Websites auf Malware. Das Norton Secured-Siegel und Symantec Seal-in-Search signalisieren Ihren Kunden, dass Ihre Website von der Suche über die Navigation bis hin zum Kauf sicher ist. Weitere Informationen erhalten Sie auf unserer Website Weitere Informationen über unsere Schwachstellenanalyse finden Sie unter Website Schwachstellenanalyse Security Threat Report 2013

16 FOLGEN SIE UNS Die Bürozeiten und Durchwahlnummern einzelner Länder finden Sie auf unserer Website. Produktinformationen für Deutschland, Österreich und die Schweiz erhalten Sie unter Telefon: oder Symantec Deutschland Symantec Deutschland GmbH, Wappenhalle, Konrad-Zuse-Platz 2-5, D München Symantec Corporation. Alle Rechte vorbehalten. Symantec, das Symantec-Logo, das Häkchen im Kreis und das Norton Secured-Logo sind Marken oder eingetragene Marken der Symantec Corporation oder ihrer Partnerunternehmen in den USA und anderen Ländern. Andere Namen sind möglicherweise Marken ihrer jeweiligen Inhaber.