So holen Sie Cyber-Kriminelle auf Ihre Website

Drei von zehn heimischen Unternehmen sind laut aktuellem CyberRisk Report der KSV1870 Nimbusec GmbH nicht in der Lage, IT-Sicherheitsvorfälle zuverlässig zu erkennen. Bei einem Großteil der Fälle stellen unzureichend gewartete Content Management Systeme (CMS) das Einfallstor für Hacker*innen dar. Um die IT-Security der Geschäftspartner*innen einschätzen zu können, hat der KSV1870 zwei Services für Unternehmen entwickelt: Ab sofort enthält jede Bonitätsauskunft den WebRisk Indicator, der das öffentlich sichtbare Cyberrisiko von Unternehmenswebseiten klassifiziert. Wer eine tiefergreifende Analyse möchte, kann ein CyberRisk Rating beauftragen. Die Umsetzung der beiden Tools verantwortet die Nimbusec GmbH, an der der KSV1870 die Mehrheitsrechte hält. Im Zuge dessen erfolgte nun auch die Umbenennung des Linzer IT-Unternehmens in KSV1870 Nimbusec GmbH.

Die Gefahr von Cyber-Attacken auf Unternehmen befindet sich seit Längerem auf hohem Niveau – und das Risiko ist nicht zuletzt aufgrund der Corona-Krise und dem Ukraine-Krieg nochmals angewachsen. Zahlen des Bundeskriminalamtes für das Jahr 2021 bestätigen die jüngsten Entwicklungen. Demnach gab es im Vorjahr um knapp 29 Prozent mehr Anzeigen von Internetkriminalität (Gesamt: 46.200) als im Jahr 2020. Fast die Hälfte davon, rund 22.400 Fälle, entfällt auf Betrugsdelikte. Parallel dazu ist auch die Zahl an Cybercrime-Delikten stark gestiegen – und zwar von 13.000 auf 15.500 Anzeigen. "Die Gefahr aus dem Web nimmt laufend zu, trotzdem wird das Thema IT-Sicherheit häufig stiefmütterlich behandelt. Es ist definitiv so, dass sowohl KMU als auch die Big Player mehr in Risikominimierung und Prävention investieren sollten. Auch wenn es heutzutage fast unmöglich ist, sich komplett gegen Hacker zu schützen, so muss das Risiko zumindest auf ein absolutes Minimum reduziert werden", so Alexander Mitter, Geschäftsführer der KSV1870 Nimbusec GmbH.

Für den CyberRisk Report 2022 hat die KSV1870 Nimbusec GmbH in Österreich rund 45.000 Webseiten unter die Lupe genommen. Wie die aktuellen Ergebnisse zeigen, waren dabei knapp 100 Unternehmenswebseiten mit Schadsoftware infiziert: "Das klingt im ersten Moment nicht viel. Wenn man aber bedenkt, dass viele dieser Webseiten täglich zigtausende Zugriffe haben und jedes Mal dabei Schadsoftware verteilen, dann steigt die Zahl an betroffenen IT-Systemen fast schon ins Unermessliche", so Mitter. Unzureichend gewartete Content Management Systeme sind dabei das "Einfallstor" schlechthin für Cyber-Kriminelle. Bei nahezu allen Fällen bildeten CMS-Systeme die Basis der gehackten Webseiten – in 88 Prozent der Fälle handelte es sich dabei um Wordpress. Besonders erstaunlich: 28 Prozent der infizierten Domains waren zwei Monate nach erfolgter Überprüfung noch immer beschädigt. Und 17 Prozent der betroffenen Domains wurden nach erfolgter Bereinigung nur unzureichend abgesichert, sodass diese innerhalb eines Monats neuerlich Opfer von Hacker*innen wurden.

Der KSV1870 trägt der steigenden Cyber-Bedrohung Rechnung und integriert ab sofort den WebRisk Indicator in seine Unternehmens-Auskünfte. Dabei handelt es sich um eine erste Risikobewertung des Webauftritts vom jeweiligen Betrieb. Konkret wird das öffentlich sichtbare Cyberrisiko von Webseiten in vier Kategorien klassifiziert. Gemessen an den geltenden Sicherheitsstandards wird die Unternehmenswebsite als sehr gut, mäßig oder infiziert (mit Schadsoftware) eingeteilt. Ist kein Webauftritt bekannt, so gibt es auch keine Bewertung. Wichtig dabei: Egal wie der WebRisk Indicator ausfällt, das Ergebnis hat keinen Einfluss auf das KSV1870 Rating. Es ist eine kostenlose Zusatzinformation zur ersten Orientierung.

Wenn Unternehmen darüber hinaus noch mehr wissen möchten, bevor sie an die IT-Systeme von Geschäftspartner*innen "andocken", können sie ein detaillierteres CyberRisk Rating über potenzielle Partner*innen beauftragen. Im Rahmen dieses Security-Checks wird das IT-Risiko von Betrieben konkret bewertet. Dazu muss das zu überprüfende Unternehmen Auskunft über seine IT-Systeme und Sicherheitsmaßnahmen geben. "Das CyberRisk Rating zeigt strukturiert die sicherheitstechnische Verfassung eines Unternehmens und belegt, ob gesetzliche Vorgaben erfüllt werden", so Mitter. Es steht im Einklang mit den Anforderungen für Lieferant*innen entsprechend der EU-Richtlinie 2016/1148 ("NIS"). Das übergeordnete Ziel ist die Schaffung eines höheren Sicherheitsniveaus von Netz- und Informationssystemen in der EU. "Mit dem CyberRisk Rating stellen wir ein Werkzeug zur Verfügung, das IT-Security nicht nur bewertet, sondern durch praxisorientierte Anforderungen auch bei der Reduktion von Sicherheitsdefiziten unterstützt. Es ist an der Zeit, IT-Sicherheitsrichtlinien zu erstellen, Mitarbeiter zu schulen, Backups zu testen und Notfallpläne zu erstellen", so Ricardo-José Vybiral, CEO der KSV1870 Holding AG. (dd)

Den gesamten CyberRisk Report 2022 können Sie hier downloaden.