Einladung zum Einbruch: Viele Internet-Seiten sind schlampig gepflegt

Angreifer wüssten um Verzögerungen, die es bei vielen Unternehmen beim Einspielen von Sicherheitsupdates gebe, und griffen gezielt Schwachstellen an, die ein Hersteller schließt, warnt das Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen.

In Pocket speichern vorlesen Druckansicht 150 Kommentare lesen
Lesezeit: 3 Min.
Von
  • dpa

Alarmanlagen, Überwachungskameras, Lichtschranken – der Online-Laden verkauft allerlei, um ein Haus zur Festung aufzurüsten. Doch in seiner eigenen digitalen Präsenz lässt das Unternehmen die Tür für unerbetene Gäste weit offen: Auf dem Server läuft das populäre Programmpaket Typo3, mit dem man Websites verwalten kann. Durch eine Lücke in der Software könnten Hacker problemlos eindringen und die Website manipulieren. Schutz bietet ein Update, das der Hersteller bereits seit mehr als zwei Wochen anbietet. Doch der Administrator hat geschlampt, die neue Version fehlt.

Damit ist er in schlechter Gesellschaft: Zahlreiche Websites und Unternehmensnetzwerke sind angreifbar, weil Software-Updates erst mit Verzögerungen eingespielt werden. Eine Studie des Gelsenkirchener Instituts für Internet-Sicherheit zeigt am Beispiel von Typo3, wie gravierend das Problem ist: Zwei Wochen nach Bekanntwerden der Lücke waren von 350 untersuchten Websites noch rund 20 Prozent nicht aktualisiert. Neben dem Laden für Sicherheitstechnik waren auch Universitäten und eine bekannte Hotelkette betroffen.

Auch die Websites von Wolfgang Schäuble und Schalke 04 hatte es kürzlich getroffen. Doch während die Hacker hier die Texte auf der Seite sichtbar manipulierten, sind die meisten Angriffe heimlich. So ermöglicht eine Sicherheitslücke, schädliche Software einzuschleusen. "Es kann passieren, dass jemand sich auf einer scheinbar vertrauenswürdigen Website einen Trojaner einfängt", sagt Frank Felzmann, Experte für IT-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn.

Einige Schädlinge legen ganze Unternehmensnetzwerke lahm. Der Computerwurm Conficker beispielsweise verbreitet sich über mehrere Wege, nutzt aber unter anderem eine Schwachstelle im Betriebssystem Windows aus. Einen Sicherheitsflicken hatte Microsoft bereits im Oktober veröffentlicht. Wer diesen noch nicht installiert habe, spiele "Russisches Roulette", sagte ein Manager des Software-Riesen kürzlich. Der Schädling hat weltweit Netzwerke befallen.

Vermeiden lassen sich Programmierfehler kaum, denn Bürosoftware, Browser und Betriebssysteme werden immer komplexer – so besteht zum Beispiel Windows Vista aus 50 Millionen Zeilen Programmcode. Ohne Updates geht es also nicht. Doch gerade in Unternehmen dauert es oft, bis die Lücken geschlossen sind, erklärt Felzmann. "Große Firmen testen erst die Auswirkungen des Updates auf andere Programme." Zudem sei es aufwendig, alle Rechner zu aktualisieren – zumal wenn mehrere Standorte betroffen und auch noch Notebooks im Umlauf sind.

"Angreifer wissen um die Zeitverzögerung und greifen gezielt die Schwachstelle an, die der Hersteller schließt", warnt Professor Norbert Pohlmann vom Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen. Damit sind die Rechner der Attacke schutzlos ausgeliefert – wie bei Schwachstellen, für die es noch kein Update gibt. "Wir leben in einer Informationsgesellschaft und müssen lernen, mit den Risiken umzugehen", betont Pohlmann. Neben einem Anti-Virus-Programm und einer Firewall seien Updates Pflicht. "Zu Hause lasse ich ja auch nicht die Haustür offen stehen." (Christof Kerkmann, dpa) / (jk)