Umfangreiche Sicherheits-Analyse von 800 Online-Shops

Es ist Holiday-Season! Vom Black Friday über Cyber Monday bis Weihnachten – am Ende des Jahres häufen sich die Shopping-Events und mit ihnen steigen die Umsätze im Online-Handel. Doch nicht nur im E-Commerce läuft das Geschäft jetzt auf Hochtouren, auch für Cyber-Kriminelle beginnt das Weihnachtsgeschäft. Besonders beliebt sind dabei sogenannte DDos-Angriffe auf Online-Shops. So konnten am Black Friday 2018 ein Anstieg der Cyberattacken um über 70 % im Vergleich zum Monatsdurchschnitt beobachtet werden.1 Umso fataler, dass teilweise immer noch Nachholbedarf bei Online-Händlern besteht, wenn es um das Thema IT-Sicherheit geht. Davor warnt auch das Unternehmen CyberDirekt. Die Ergebnisse einer Analyse von 800 Online-Händlern sind eindeutig: Lediglich 16 Prozent der Unternehmen erreichten ein sehr gutes Ergebnis beim Web Security -Check. Erfreulich ist, dass keiner der getesteten Shops ein sehr bedenkliches Ergebnis verzeichnet. Hier scheint der Online-Handel im Gesamten besser aufgestellt als andere Branchen. Nichts desto trotz bewegen sich 12 Prozent an der Grenze zu einem kritischen Score, hier empfehlen die Experten die problematischen Stellen zu prüfen und Sicherheitslücken umfassend zu schließen.

• Getestet wurden die Webseiten von 800 Online-Shops
• Knapp 58 Prozent haben kritische Sicherheitslücken
• Online-Händler sind regelmäßig Opfer von Hackerangriffen
• Anstieg der DDOs-Angriffe am Cyber Monday um 70 Prozent

Abbildung 1: Verteilung Web-Check Gesamtscore der untersuchten Online-Händler

Ungesicherte Ports sind eine häufige Schwachstelle

Als besonders kritisches Einfallstor konnte der Teilbereich “Ports” bei den untersuchten Online-Shops identifiziert werden. Ein Port ist der Teil einer Netzwerk-Adresse, der die Zuordnung von TCP- und UDP-Verbindungen zu Server- und Client-Programmen durch Betriebssysteme bewirkt. 58 Prozent weisen hier deutliche Mängel auf, sodass davon ausgegangen werden kann, dass das Cyber-Risiko von ungesicherten Ports drastisch unterschätzt wird.

Abbildung 2: Analyse der Webshops im Teilbereich “Ports”

Cyber-Risiko wird unterschätzt

Die Ergebnisse zeigen insgesamt, dass selbst Online-Händler – eine Branche, für die eine funktionierende IT-Infrastruktur essentiell ist – die Gefahren durch Cyberkriminalität zum Teil unterschätzen. Die durch den Sicherheits-Check identifizierten Schwachstellen sollten dringend überarbeitet werden. Ein häufig auftretendes Angriffsmuster ist das sogenannte Cross-Site-Scripting (Abkürzung: XSS). Dabei gelingt es einem Angreifer, Schadcode in die vertrauenswürdige Umgebung einer Website einzubetten. Dadurch lassen sich ganze Internetseiten verändern, die Kontrolle über einen Browser übernehmen oder vertrauliche Daten wie z.B. Passwörter von Kunden entwenden. Dazu kommt: Beim Klau von Kundendaten handelt es sich um eine klassische Datenschutzverletzung, damit stellt die gesetzliche Haftpflicht ein hohes finanzielles Risiko für denjenigen dar, dessen Daten gehackt werden.

Wer denkt Cyber-Kriminelle suchen sich mit Vorliebe große Online-Shops aus, irrt. Warum gerade auch kleinere Online-Händler von Cyberkriminalität betroffen sind, erklärt Hanno Pingsmann, Geschäftsführer von CyberDirekt: “Durch Attacken von Cyberkriminellen sind besonders zwei Gruppen betroffen – kleine und mittelständische Unternehmen, welche sich aufgrund von Größe und Budgetrestriktionen nicht ausreichend vor Angriffen schützen können und Unternehmen, welche mit einer hohen Zahl von personenbezogenen Daten arbeiten und in deren Alltag Kundenvertrauen und Reputation eine große Rolle spielen.”

Datensicherheit und Datenschutz sind folglich gerade in kleinen und mittelständischen Unternehmen essentiell. Denn selbst ungezielte Angriffe aus dem Netz führen im Extremfall zum Ausfall der gesamten IT-Infrastruktur mit katastrophalen finanziellen Folgen für die Unternehmen. Der Abschluss einer Cyber-Versicherung kann hier im Ernstfall helfen. Kommt es zu einem Angriff und einer einhergehenden Unterbrechung des Geschäftsbetriebs, zahlt die Versicherung nicht nur eine vereinbarte Entschädigung für den Umsatzausfall, sondern bietet auch Notfall-Serviceleistungen, wie die Vermittlung und Einsatz von IT-Forensikern und Datenschutzanwälten an.
 

Cyber-Versicherungen: Gezielte Angebote für KMU

Aktuell können über die digitale Plattform von CyberDirekt die Angebote der Top-Versicherer Allianz, AIG, HDI, Victor, Basler, Hiscox, CNA Hardy und Markel verglichen werden. Die Antragstellung dauert nur wenige Minuten. Dazu müssen lediglich Branche und Jahresumsatz eingegeben und in der Regel fünf Risikofragen beantwortet werden. Dieser vereinfachte Standardprozess richtet sich gezielt an mittelständische Unternehmen und wird für Firmen mit bis zu zehn Mio. Euro Jahresumsatz und einer Versicherungssumme bis zu zwei Mio. Euro angeboten. Ab einem Jahresumsatz von über zehn Mio. Euro werden für Unternehmen individuell zugeschnittene Angebote erstellt.
 

Über den Web Security-Check

Seit dem Start des Web Security-Checks haben bereits mehrere Tausend Unternehmen ihre Webseite auf mögliche Cyber-Risiken hin getestet um etwaige Einfallstore für Cyber-Kriminelle zu identifizieren. Nach Eingabe der URL analysiert das Tool potentielle Schwachstellen wie kritische Ports, SSL-Konfigurationen und auch, ob eine E-Mail-Adresse bereits einmal gehackt wurde. Insgesamt werden 36 Einzelprüfungen durchgeführt. Das Gesamtergebnis wird prozentual in einem Cyber-Score angezeigt. Der CyberDirekt Web Security-Check steht unter www.cyberdirekt.de/web-security-check zur Verfügung. Nutzer, die Einzelheiten zu Ihrem Ergebnis erfahren möchten, können einen Detailreport anfragen. Dieser wird nach Prüfung des Empfängers von CyberDirekt individuell verschickt.

Über CyberDirekt

CyberDirekt ist die erste digitale Plattform für die Beratung, den Vergleich und den Abschluss von Cyber-Versicherungen für den Mittelstand, die zudem Cyber-Prävention und eine Cyber-Analyse auf Basis einer einheitlichen Technologie-Plattform bereitstellt. CyberDirekt agiert als Versicherungsmakler und bietet aktuell die Produkte der Versicherer Allianz, AIG, HDI, Victor, Basler Hiscox, CNA Hardy und Markel an. Die Tarife sind allesamt unabhängig von der bisherigen Haftpflichtdeckung des Gewerbekunden. Über die digitale Plattform des Berliner Unternehmens sind Auswahl, Vergleich und Antrag mit nur wenigen Klicks erledigt. Die Kunden erhalten nach Angabe von Branche und Jahresumsatz bereits ein verbindliches Angebot der Versicherungsprämie. Eine Absicherung gegen Cyber-Risiken ist damit bereits ab 400 EUR pro Jahr möglich. Das komplexe System der Risikobewertung ist auf wenige Angaben des zu Versichernden ausgelegt. Alle über CyberDirekt angebotenen Versicherungen sind mit einer 24h Notfall-Hotline ausgestattet, die es dem Kunden ermöglicht, bei einem Cyber-Angriff schnell und unkompliziert Unterstützung zu erhalten. Die Versicherungstarife werden durch ein umfangreiches Paket an Präventionsmaßnahmen ergänzt, welche für den Versicherungsnehmer kostenlos verfügbar sind. Das von CyberDirekt selbst entwickelte Security-Awareness Training wird in der Form von Kurzvideos und Online-Seminaren unbegrenzt und ohne zusätzliche Gebühren bereitgestellt. Das Unternehmen bietet darüber hinaus einen Phishing-Test und ein Online-Analyse-Tool für Cyber-Risiken an. Mit dem Web Security-Check können Sicherheitsrisiken von Unternehmen überprüft werden, um Schwachstellen sowie mögliche Einfallstore für Cyber-Kriminelle zu identifizieren.

1 Bericht des Bundesamtes der Sicherheit in der Informationstechnologie “DIE LAGE DER IT-SICHERHEIT IN DEUTSCHLAND 2019 | GEFÄHRDUNGSLAGE”, S. 22.

Pressekontakt: Wir freuen uns sehr, wenn Sie sich bei Interviewanfragen direkt an uns wenden. Gerne organisieren wir ein persönliches Gespräch mit Hanno Pingsmann und bereiten weitere Informationen für Sie auf.

Miriam Graf

✉ miriam.graf@cyberdirekt.de

✆   0159 I 02904502