Über 50 Prozent der Autohäuser haben deutliche IT-Sicherheitslücken

22.05.2019

Umfangreiche Analyse des Berliner Unternehmens CyberDirekt

Getestet wurden die Webseiten von 3.000 Autohäusern
● Knapp 80 Prozent haben kritische Sicherheitslücken durch ungesicherte Ports
● Autohäuser sind regelmäßig Opfer von Hackerangriffen

 

Berlin, den 15.05.2019. Erst jüngst hat es auch das Autohaus Schönauen getroffen: Das Unternehmen aus Solingen wurde nach eigenen Angaben Opfer einer Cyberattacke. Über Viren und Trojaner, die nach bisherigen Erkenntnissen über mehrere E-Mails in das IT-System des Unternehmens gelangt sind, konnten die Kriminellen wichtige Betriebsdaten verschlüsseln und die gesamte IT-Struktur über Nacht lahmlegen. Der Schaden soll sich laut des Besitzers im sechsstelligen Bereich bewegen. Vor dem immer noch bestehenden Nachholbedarf fast aller Autohäuser beim Thema IT-Sicherheit warnt auch das Unternehmen CyberDirekt. Die Ergebnisse der Analyse von 3000 Autohäusern sind eindeutig: Lediglich 2 Prozent der Betriebe erreichten ein sehr gutes Ergebnis beim Web Security-Check. Bei 16 Prozent sind die Sicherheitslücken im Frontend dagegen so bedenklich, dass Hacker bereits mit minimalem Aufwand an empfindliche Kundendaten
gelangen können. 34 Prozent bewegen sich an der Grenze zu einem kritischen Score, hier empfehlen die Experten die problematischen Stellen zu prüfen und Sicherheitslücken
umfassend zu schließen. Denn eine Cyber-Attacke kann schnell einen Schaden in Höhe von mehreren Hunderttausend Euro verursachen – sind Unternehmer hier nicht abgesichert,drohen hohe Kosten und finanzielle Einbußen durch den Stillstand des Geschäftsbetriebs.

Abbildung 1: Verteilung Web-Check Gesamtscore der untersuchten Autohäuser

Ungesicherte Ports sind eine häufige Schwachstelle

Als besonders kritisches Einfallstor konnte der Teilbereich “Ports” bei den untersuchten Autohäusern identifiziert werden. Ein Port ist der Teil einer Netzwerk-Adresse, der die Zuordnung von TCP- und UDP-Verbindungen und -Datenpaketen zu Server- und Client-Programmen durch Betriebssysteme bewirkt. Knapp 80 Prozent weisen hier massive Mängel auf, sodass davon ausgegangen werden kann, dass das Cyber-Risiko von ungesicherten Ports drastisch unterschätzt wird.

 

Abbildung 2: Analyse der Autohäuser im Teilbereich “Ports“

 

Näher unter die Lupe genommen wurden darüber hinaus auch die 100 umsatzstärksten Autohäuser in Deutschland. Die gute Nachricht: Diese weisen tendenziell bessere Sicherheitseinstellungen auf: Im Durchschnitt haben diese Unternehmen einen Sicherheits-Score von 65 Prozent.

 

Abbildung 3: IT-Sicherheit der Top 100 umsatzstärksten Autohäuser

 

Cyber-Risiko wird unterschätzt

Die Ergebnisse zeigen insgesamt, dass die Mehrheit der Autohäuser – trotz steigenden Risikos – die Gefahren durch Cyberkriminalität unterschätzt. Die durch den Sicherheits-Check identifizierten Schwachstellen sollten dringend überarbeitet werden. Ein häufig auftretendes Angriffsmuster ist das sogenannte Cross-Site-Scripting (Abkürzung: XSS). Dabei gelingt es einem Angreifer, Schadcode in die vertrauenswürdige Umgebung einer Website einzubetten. Dadurch lassen sich ganze Internetseiten verändern, die Kontrolle über einen Browser übernehmen oder vertrauliche Daten wie z.B. Passwörter von Kunden entwenden. Dazu kommt: Beim Klau von Kundendaten handelt es sich um eine klassische Datenschutzverletzung, damit stellt die gesetzliche Haftpflicht ein hohes finanzielles Risiko für denjenigen dar, dessen Daten gehackt werden. Wer denkt Cyber-Kriminelle suchen sich mit Vorliebe große Autohausketten aus, irrt. Wie in
Solingen geschehen, werden gerade klein- und mittelständische Autohäuser, Werkstätten oder Fertigungsbetriebe häufig attackiert. Warum auch kleinere Autohäuser von Cyberkriminalität betroffen sind, erklärt Hanno Pingsmann, Geschäftsführer von CyberDirekt: “Durch Attacken von Cyberkriminellen sind besonders zwei Gruppen betroffen – kleine und mittelständische Unternehmen, welche sich aufgrund von Größe und Budgetrestriktionen nicht ausreichend vor Angriffen schützen können und Unternehmen, welche mit einer hohen Zahl von personenbezogenen Daten arbeiten und in deren Alltag Kundenvertrauen und Reputation eine große Rolle spielen.” Datensicherheit und Datenschutz sind folglich gerade in kleinen und mittelständischen Unternehmen essentiell. Denn selbst ungezielte Angriffe aus dem Netz führen im Extremfall zum Ausfall der gesamten IT-Infrastruktur mit katastrophalen finanziellen Folgen für die Unternehmen. Der Abschluss einer Cyber-Versicherung kann hier im Ernstfall helfen. Kommt es zu einem Angriff und einer einhergehenden Unterbrechung des Geschäftsbetriebs, zahlt
die Versicherung nicht nur eine vereinbarte Entschädigung für den Umsatzausfall, sondern bietet auch Notfall-Serviceleistungen, wie die Vermittlung und Einsatz von IT-Forensikern und Datenschutzanwälten an.

 

Cyber-Versicherungen: Gezielte Angebote für KMU

Aktuell können über die digitale Plattform von CyberDirekt die Angebote der Top-Versicherer Allianz, AIG, HDI, Hiscox, CNA Hardy und Markel verglichen werden. Die Antragstellung dauert nur wenige Minuten. Dazu müssen lediglich Branche und Jahresumsatz eingegeben und in der Regel fünf Risikofragen beantwortet werden. Dieser vereinfachte Standardprozess richtet sich gezielt an mittelständische Unternehmen und wird für Firmen mit bis zu zehn Mio. Euro Jahresumsatz und einer Versicherungssumme bis zu zwei Mio. Euro angeboten. Ab einem Jahresumsatz von über zehn Mio. Euro werden für Unternehmen individuell zugeschnittene Angebote erstellt.

 

 

Über den Web Security-Check

Seit dem Start des Web Security-Checks haben bereits mehrere Tausend Unternehmen ihre Webseite auf mögliche Cyber-Risiken hin getestet um etwaige Einfallstore für Cyber-Kriminelle zu identifizieren. Nach Eingabe der URL analysiert das Tool potentielle Schwachstellen wie kritische Ports, SSL-Konfigurationen und auch, ob eine E-Mail-Adresse bereits einmal gehackt wurde. Insgesamt werden 36 Einzelprüfungen durchgeführt. Das Gesamtergebnis wird prozentual in einem Cyber-Score angezeigt. Der CyberDirekt Web Security-Check steht unter www.cyberdirekt.de/web-security-check zur Verfügung. Nutzer, die Einzelheiten zu Ihrem Ergebnis erfahren möchten, können einen Detailreport anfragen. Dieser wird nach Prüfung des Empfängers von CyberDirekt individuell verschickt.

 

Über CyberDirekt

CyberDirekt ist die erste digitale Plattform für die Beratung, den Vergleich und den Abschluss von Cyber-Versicherungen für den Mittelstand, die zudem Cyber-Prävention und eine Cyber-Analyse auf Basis einer einheitlichen Technologie-Plattform bereitstellt. CyberDirekt agiert als Mehrfachagent und bietet aktuell die Produkte der Versicherer Allianz, AIG, HDI, Hiscox, CNA Hardy und Markel an. Die Tarife sind allesamt unabhängig von der bisherigen Haftpflichtdeckung des Gewerbekunden. Über die digitale Plattform des Berliner Unternehmens sind Auswahl, Vergleich und Antrag mit nur wenigen Klicks erledigt. Die Kunden erhalten nach Angabe von Branche und Jahresumsatz bereits ein verbindliches Angebot der Versicherungsprämie. Eine Absicherung gegen Cyber-Risiken ist damit bereits ab 400 EUR pro Jahr möglich. Das komplexe System der Risikobewertung ist auf wenige Angaben des zu Versichernden ausgelegt. Alle über CyberDirekt angebotenen Versicherungen sind mit einer 24h Notfall-Hotline ausgestattet, die es dem Kunden ermöglicht, bei einem Cyber-Angriff schnell und unkompliziert Unterstützung zu erhalten. Die Versicherungstarife werden durch ein umfangreiches Paket an Präventionsmaßnahmen ergänzt, welche für den Versicherungsnehmer kostenlos verfügbar sind. Das von CyberDirekt selbst entwickelte Security-Awareness Training wird in der Form von Kurzvideos und Online-Seminaren unbegrenzt und ohne zusätzliche Gebühren bereitgestellt. Das Unternehmen bietet darüber hinaus ein Online-Analyse-Tool für Cyber-Risiken an. Mit dem Web Security-Check können Sicherheitsrisiken von Unternehmen überprüft werden, um Schwachstellen sowie mögliche Einfallstore für Cyber-Kriminelle zu identifizieren.

 

 

Pressekontakt: Wir freuen uns sehr, wenn Sie sich bei Interviewanfragen direkt an uns wenden. Gerne organisieren wir ein persönliches Gespräch mit Hanno Pingsmann und bereiten weitere Informationen für Sie auf.

 

Miriam Graf

✉ miriam.graf@cyberdirekt.de

✆   0159 I 02904502

 

 

Mitarbeiterschulung
Wir unterstützen Sie dabei, Ihre Mitarbeiter über die gängigen Angriffsszenarien aufzuklären und für die Risiken eines Cyber-Angriffs zu sensibilisieren.
Mehr erfahren
Cyber-Versicherung
Mit dem Abschluss einer Cyber-Versicherung erhalten Sie im Notfall 24/7 Hilfe durch IT-Spezialisten. Sämtliche Kosten für die Wiederherstellung Ihrer IT-Systeme, Rechtsberatung und Haftung bei Datenschutzverletzungen sind abgedeckt.
Mehr erfahren