Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Jan Bundesmann 60

State of the Web 2016: Jede zweite Website ist ein Sicherheitsrisiko

Menlo Security: State of the Web 2016 Report

Schwachstellen im Internet werden immer mehr, stellt Menlo Security in seinem Bericht über den "State of the Web" fest. Eine wichtige Rolle spielt das Nachladen externer Inhalte über Werbe-Netzwerke und Content Delivery Networks.

Beim Surfen im Internet stellt fast jede zweite Website ein Sicherheitsrisiko dar. So drastisch präsentiert das Sicherheits-Startup Menlo Security die zentralen Ergebnisse in seinem "State of the Web 2016 Report". Um zu dieser Erkenntnis zu gelangen, untersuchte das Unternehmen die oberste Million aus dem weltweiten Top-Sites-Verzeichnis der Amazon-Tochter Alexa und klassifizierte sie in drei Gefährdungsstufen.

Stufe 1: Für jede Website wurde geprüft, ob die verwendete Software mit Schwachstellen behaftet ist oder im Hintergrund auf Domains zugreift, die solche einsetzt – etwa über Anzeigen-Netzwerke. Außerdem fand ein Abgleich statt, ob die Seite bereits als korrumpiert bekannt ist (Stufe 2) oder ob es in den vergangenen zwölf Monaten sogar einen Sicherheitsvorfall gab (Stufe 3). 355.804 Seiten fielen in Stufe 1, 166.853 in Stufe 2 und 31.938 hatten erst kürzlich sicherheitsbedingte negative Presse.

Das Internet ist überall gefährlich

Gefährdungen gehen somit auch nicht nur von den Schmuddelecken des Internets aus. Menlo Security hatte eine Kategorisierung der untersuchten Internetangebote vorgenommen und festgestellt, dass das Segment "Business & Economy" die größte Zahl möglicher oder bereits ausgenutzter Schwachstellen besitzt (Stufen 1 und 3). Bei Stufe 2 (bekannten Schwachstellen) liegen Pornoseiten vorne.

In der Liste der häufigsten Software mit Sicherheitslücken liegt auf Platz 1 der Webserver nginx 1.8.0, gefolgt von Microsofts IIS 7.5. Danach kommen PHP und Apache in verschiedenen Versionen. Als zentrale Gefahr nennt das Unternehmen Phishing-Attacken über eine vorgeblich vertrauenswürdigen Domain. Sicherheitssoftware auf Client-Seite könne dem praktisch nichts entgegensetzen. Neben der großen Zahl an Angriffszielen steigt auch die Verfügbarkeit von Exploit Kits. Zusätzliche Tiefe erhält die Angelegenheit durch die weite Verzweigung von Internetauftritten: Inhalte werden über Content-Deliver-Networks nachgeladen, Werbung über eigene Netzwerke. Das Aufrufen der eine Million Websites für die Studie hat Inhalte von insgesamt 25 Millionen Seiten involviert.

Kein Flash mehr, dafür Ad-Blocker und Isolation

Endanwendern wird in der Studie empfohlen, Ad-Blocker zu verwenden und auf Flash zu verzichten. Zudem sollte nichts unbedacht heruntergeladen werden. E-Mails sollten im Web-Browser gelesen werden, der Nutzer sollte dort die integrierten Vorschaumodule des Anbieters verwenden. Website-Betreibern legt es den Einsatz von Subresource Integrity nahe: Damit soll sich etwa über Hashwerte die Integrität von externen Inhalten (meist über Content Delivery Networks bezogen) sicherstellen lassen. Unternehmens-Administratoren rät es zu Anwendungsisolation und Plattformen für Remote Browsing. (jab)

60 Kommentare

Themen:

Anzeige
  1. Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt, sagt Cloudflare

    Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt

    Wie schlimm war Cloudbleed? Wenn es nach Cloudflare geht, sind alle noch einmal mit einem blauen Auge davon gekommen. Allerdings kann die Firma nur noch 1 Prozent der eigenen Logs analysieren.

  2. Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

    Firefox löscht lokale Datenbanken nicht

    Der Firefox-Browser bringt ein großes Datenschutzproblem mit sich. Nur umständlich lässt sich die Firefox-Chronik von Nutzern löschen. Webseiten können mühelos auf zuvor im Browser gespeicherte Daten zugreifen.

  3. "Statistisch gesehen": .xyz - der Star unter den neuen Top-Level-Domains?

    "Statistisch gesehen": .xyz - der Star unter den neuen Top-Level-Domains?

    .gmbh, .club, .tech .berlin, .world, .bayern und so weiter: Die Zahl der neu eingeführten Top Level Domains ist groß, doch die meisten führen eher ein Mauerblümchen-Dasein. Ausnahme ist .xyz, wie die Infografik von heise online und Statista zeigt.

  4. "Ich kann das, weil ich CEO bin": Cloudflare-Chef verstößt Neonazi-Seite – die geht offline

    "Ich kann das, weil ich CEO bin": Cloudflare-Chef verstößt Neonazi-Seite

    Obwohl sein Unternehmen entschieden hatte, eine Neonazi-Seite weiter vor DDoS-Attacken zu schützen, ließ Cloudflare-CEO Matthew Prince doch den Vertrag kündigen, nun ist die Seite offline. Dass er über so viel Macht verfügt, hält er selbst für falsch.

  1. Verschlüsselung bei heise online

    Verschlüsselung bei heise online

    Ab sofort ermöglicht Heise Medien den Zugriff auf seine Online-Dienste per HTTPS. Das gilt für alle Domains wie heise.de, ct.de oder ix.de.

  2. Wie funktioniert Webhosting?

    Mit eigenem Webspace lassen sich Webseiten oder privater Cloud-Speicher aufsetzen - wenn man weiß, wie Hoster funktionieren und was man braucht.

  3. HTML-Grundlagen - Was du als Einsteiger wissen musst

    Du willst eine eigene Website betreiben? Dann solltest du ein wenig HTML können - die wohl einfachste Programmiersprache überhaupt.

  1. Nach dem Scheitern von "Jamaika": Politisches Neuland

    Sondierungsgespräche: Der FDP reißt der Geduldsfaden, sie lässt die Regierungsbildung scheitern. Deutschland in der Krise

  2. Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Die Bilder der Woche (KW 45) - Interessantes im Alltäglichen

    Gute Bilder brauchen nicht immer spektakläre Foto-Locations Manchmal tut es auch eine Außentreppe, eine U-Bahn-Station oder eine Bahnunterführung.

Anzeige