Sicherheitsrisiken im Netz – „State of the Web 2016“ Studie enthüllt Gefährdungspotenziale von Webservern und Webinhalten
Das Sicherheitsstartup Menlo Security hat dieses Jahr eine Studie zu Schwachstellen im Internet durchgeführt und interessante Ergebnisse hervorgebracht, die Websitebetreiber im täglichen Alltag betrifft. Laut „State of the Web“ ist jede zweite Website ein Sicherheitsrisiko. Gegenstand der Studie waren die erste Million aus dem weltweiten Top-Sites-Verzeichnis des Amazon-Tochterunternehmens Alexa. Die Websites konnten in drei Gefährdungsstufen eingeteilt werden:
Stufe 1: Die verwendete Software besitzt Schwachstellen oder greift z.B. über Anzeigennetzwerke auf Domains mit fehlerhafter Software zu. (355.804 Seiten betroffen)
Stufe 2: Die Seite ist bereits als korrumpiert bekannt. (166.853 Seiten betroffen)
Stufe 3: In den letzten zwölf Monaten gab es bereits einen Sicherheitsvorfall. (31.938 Seiten betroffen)
Welche Seiten sind nun gefährlich?
Anders als früher wo man wusste von welchen schmuddeligen Ecken im Internet die Gefahren ausgingen, muss man heute sagen, dass die Gefahr im Internet überall lauern kann. Menlo Security fand heraus, dass das Segment mit den meisten Schwachstellen in Stufe 1 und 3 „Business & Economy“ Internetangebote sind. Pornoseiten hingegen liegen bei Stufe 2 vorne.
Auch Webserver wurden analysiert und hier kann die Studie verzeichnen, dass die Software mit den häufigsten Sicherheitslücken der Webserver nginx 1.8.0 ist, gefolgt von Microsofts IIS 7.5. Weitere Webserver mit Gefährdungspotenzial sind PHP und Apache. Hier sind vor allem Phishing-Attacken über eine augenscheinlich vertrauenswürdige Domain die größte Gefahr. Die Tatsache, dass sich Internetauftritte immer weiter vernetzen, hat zur Folge, dass bei einem Aufruf von 1 Million Websites Inhalte von insgesamt 25 Millionen Seiten involviert sind, da Inhalte über Content-Deliver-Networks und Werbe-Netzwerke nachgeladen werden.
Handlungsempfehlungen abgeleitet von den Studienergebnissen
Die Studie empfiehlt Endanwendern u.a. auf Flash zu verzichten Darüber hinaus muss bei Downloads aus dem Netz vermehrt auf die Seriosität der Seite und des Anbieters geachtet werden. E-Mails sollten generell nur im Web-Browser gelesen werden und wenn möglich soll der Nutzer die vom E-Mail-System integrierten Vorschaumodule verwenden. Menlo Security rät zudem Website-Betreibern den Einsatz von Subresource Integrity nahe, die die Integrität von externen Inhalten feststellen kann.
