Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.054 Produkten

Jan Bundesmann 60

State of the Web 2016: Jede zweite Website ist ein Sicherheitsrisiko

Menlo Security: State of the Web 2016 Report

Schwachstellen im Internet werden immer mehr, stellt Menlo Security in seinem Bericht über den "State of the Web" fest. Eine wichtige Rolle spielt das Nachladen externer Inhalte über Werbe-Netzwerke und Content Delivery Networks.

Beim Surfen im Internet stellt fast jede zweite Website ein Sicherheitsrisiko dar. So drastisch präsentiert das Sicherheits-Startup Menlo Security die zentralen Ergebnisse in seinem "State of the Web 2016 Report". Um zu dieser Erkenntnis zu gelangen, untersuchte das Unternehmen die oberste Million aus dem weltweiten Top-Sites-Verzeichnis der Amazon-Tochter Alexa und klassifizierte sie in drei Gefährdungsstufen.

Anzeige

Stufe 1: Für jede Website wurde geprüft, ob die verwendete Software mit Schwachstellen behaftet ist oder im Hintergrund auf Domains zugreift, die solche einsetzt – etwa über Anzeigen-Netzwerke. Außerdem fand ein Abgleich statt, ob die Seite bereits als korrumpiert bekannt ist (Stufe 2) oder ob es in den vergangenen zwölf Monaten sogar einen Sicherheitsvorfall gab (Stufe 3). 355.804 Seiten fielen in Stufe 1, 166.853 in Stufe 2 und 31.938 hatten erst kürzlich sicherheitsbedingte negative Presse.

Gefährdungen gehen somit auch nicht nur von den Schmuddelecken des Internets aus. Menlo Security hatte eine Kategorisierung der untersuchten Internetangebote vorgenommen und festgestellt, dass das Segment "Business & Economy" die größte Zahl möglicher oder bereits ausgenutzter Schwachstellen besitzt (Stufen 1 und 3). Bei Stufe 2 (bekannten Schwachstellen) liegen Pornoseiten vorne.

In der Liste der häufigsten Software mit Sicherheitslücken liegt auf Platz 1 der Webserver nginx 1.8.0, gefolgt von Microsofts IIS 7.5. Danach kommen PHP und Apache in verschiedenen Versionen. Als zentrale Gefahr nennt das Unternehmen Phishing-Attacken über eine vorgeblich vertrauenswürdigen Domain. Sicherheitssoftware auf Client-Seite könne dem praktisch nichts entgegensetzen. Neben der großen Zahl an Angriffszielen steigt auch die Verfügbarkeit von Exploit Kits. Zusätzliche Tiefe erhält die Angelegenheit durch die weite Verzweigung von Internetauftritten: Inhalte werden über Content-Deliver-Networks nachgeladen, Werbung über eigene Netzwerke. Das Aufrufen der eine Million Websites für die Studie hat Inhalte von insgesamt 25 Millionen Seiten involviert.

Endanwendern wird in der Studie empfohlen, Ad-Blocker zu verwenden und auf Flash zu verzichten. Zudem sollte nichts unbedacht heruntergeladen werden. E-Mails sollten im Web-Browser gelesen werden, der Nutzer sollte dort die integrierten Vorschaumodule des Anbieters verwenden. Website-Betreibern legt es den Einsatz von Subresource Integrity nahe: Damit soll sich etwa über Hashwerte die Integrität von externen Inhalten (meist über Content Delivery Networks bezogen) sicherstellen lassen. Unternehmens-Administratoren rät es zu Anwendungsisolation und Plattformen für Remote Browsing. (jab)

60 Kommentare

Themen:

Anzeige
  1. "Ich kann das, weil ich CEO bin": Cloudflare-Chef verstößt Neonazi-Seite – die geht offline

    "Ich kann das, weil ich CEO bin": Cloudflare-Chef verstößt Neonazi-Seite

    Obwohl sein Unternehmen entschieden hatte, eine Neonazi-Seite weiter vor DDoS-Attacken zu schützen, ließ Cloudflare-CEO Matthew Prince doch den Vertrag kündigen, nun ist die Seite offline. Dass er über so viel Macht verfügt, hält er selbst für falsch.

  2. Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt, sagt Cloudflare

    Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt

    Wie schlimm war Cloudbleed? Wenn es nach Cloudflare geht, sind alle noch einmal mit einem blauen Auge davon gekommen. Allerdings kann die Firma nur noch 1 Prozent der eigenen Logs analysieren.

  3. Ghostery bekämpft Tracker mit Künstlicher Intelligenz

    Ghostery 8

    Tracker sind im Internet überall: 8 von 10 Websites sammeln eifrig Nutzerdaten, wie eine neue Studie von Ghostery zeigt. Das Anti-Tracking-Tool will seine Nutzer künftig mit Künstlicher Intelligenz besser vor neugierigen Skripten schützen.

  4. Safari 11: Apples Browser will Werbe-Tracking unterbinden

    macOS High Sierra

    In iOS 11 und macOS High Sierra soll Safari seitenübergreifendes Tracking verhindern: Dafür versucht der vorinstallierte Browser, Webseiten automatisch zu identifizieren, die Nutzeraktivitäten verfolgen können – und ergreift Gegenmaßnahmen.

  1. Verschlüsselung bei heise online

    Verschlüsselung bei heise online

    Ab sofort ermöglicht Heise Medien den Zugriff auf seine Online-Dienste per HTTPS. Das gilt für alle Domains wie heise.de, ct.de oder ix.de.

  2. HTML-Grundlagen - Was du als Einsteiger wissen musst

    Du willst eine eigene Website betreiben? Dann solltest du ein wenig HTML können - die wohl einfachste Programmiersprache überhaupt.

  3. Flash oder HTML5? Was ist besser?

    Flash hat nicht gerade den besten Ruf - aber zu Recht? Kann das alte Adobe-Produkte mit dem freien HTML5-Standard mithalten?

  1. Ein zweites Video zeigt die ganze Hinrichtung Saddams

    "See how Saddam Hussein was executed. He is peeing in his pants."

  2. Fahrbericht: Ford Expedition 2018

    Ford Expedition

    In den USA herrschen, was die richtige Fahrzeuggröße angeht, vielfach andere Vorstellungen als in Europa. Ein Ausflug mit dem für europäische Verhältnisse riesigen, auf dem US-Markt recht populären Ford Expedition 2018 zeigt dies eindrücklich

  3. Missing Link: Von Maschinenethik und vom Datenschatz der Therapie- und Pflegeroboter

    Missing Link: Von Maschinenethik und Datenschatz der Therapie- und Pflegeroboter

    "Wie groß wäre das Interesse an den Daten von Michael Schumacher!" Roboter in Pflege und Therapie stellen uns vor ganz neue Probleme, was die Ethik im Robotereinsatz und den Datenschutz angeht, meint der Wirtschaftsinformatiker und Ethiker Oliver Bendel.

  4. Plagiats-Jägerin: Kaum Fortschritte im Kampf gegen Ideen-Klau bei Doktorarbeiten

    Schavan

    Weil die frühere Bildungsministerin Annette Schavan in ihrer Doktorarbeit plagiiert hat, trat sie vor fünf Jahren zurück. Was hat sich seitdem an den Unis getan?

Anzeige