Logo von iX

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.396 Produkten

Jan Bundesmann 60

State of the Web 2016: Jede zweite Website ist ein Sicherheitsrisiko

Menlo Security: State of the Web 2016 Report

Schwachstellen im Internet werden immer mehr, stellt Menlo Security in seinem Bericht über den "State of the Web" fest. Eine wichtige Rolle spielt das Nachladen externer Inhalte über Werbe-Netzwerke und Content Delivery Networks.

Beim Surfen im Internet stellt fast jede zweite Website ein Sicherheitsrisiko dar. So drastisch präsentiert das Sicherheits-Startup Menlo Security die zentralen Ergebnisse in seinem "State of the Web 2016 Report". Um zu dieser Erkenntnis zu gelangen, untersuchte das Unternehmen die oberste Million aus dem weltweiten Top-Sites-Verzeichnis der Amazon-Tochter Alexa und klassifizierte sie in drei Gefährdungsstufen.

Anzeige

Stufe 1: Für jede Website wurde geprüft, ob die verwendete Software mit Schwachstellen behaftet ist oder im Hintergrund auf Domains zugreift, die solche einsetzt – etwa über Anzeigen-Netzwerke. Außerdem fand ein Abgleich statt, ob die Seite bereits als korrumpiert bekannt ist (Stufe 2) oder ob es in den vergangenen zwölf Monaten sogar einen Sicherheitsvorfall gab (Stufe 3). 355.804 Seiten fielen in Stufe 1, 166.853 in Stufe 2 und 31.938 hatten erst kürzlich sicherheitsbedingte negative Presse.

Gefährdungen gehen somit auch nicht nur von den Schmuddelecken des Internets aus. Menlo Security hatte eine Kategorisierung der untersuchten Internetangebote vorgenommen und festgestellt, dass das Segment "Business & Economy" die größte Zahl möglicher oder bereits ausgenutzter Schwachstellen besitzt (Stufen 1 und 3). Bei Stufe 2 (bekannten Schwachstellen) liegen Pornoseiten vorne.

In der Liste der häufigsten Software mit Sicherheitslücken liegt auf Platz 1 der Webserver nginx 1.8.0, gefolgt von Microsofts IIS 7.5. Danach kommen PHP und Apache in verschiedenen Versionen. Als zentrale Gefahr nennt das Unternehmen Phishing-Attacken über eine vorgeblich vertrauenswürdigen Domain. Sicherheitssoftware auf Client-Seite könne dem praktisch nichts entgegensetzen. Neben der großen Zahl an Angriffszielen steigt auch die Verfügbarkeit von Exploit Kits. Zusätzliche Tiefe erhält die Angelegenheit durch die weite Verzweigung von Internetauftritten: Inhalte werden über Content-Deliver-Networks nachgeladen, Werbung über eigene Netzwerke. Das Aufrufen der eine Million Websites für die Studie hat Inhalte von insgesamt 25 Millionen Seiten involviert.

Endanwendern wird in der Studie empfohlen, Ad-Blocker zu verwenden und auf Flash zu verzichten. Zudem sollte nichts unbedacht heruntergeladen werden. E-Mails sollten im Web-Browser gelesen werden, der Nutzer sollte dort die integrierten Vorschaumodule des Anbieters verwenden. Website-Betreibern legt es den Einsatz von Subresource Integrity nahe: Damit soll sich etwa über Hashwerte die Integrität von externen Inhalten (meist über Content Delivery Networks bezogen) sicherstellen lassen. Unternehmens-Administratoren rät es zu Anwendungsisolation und Plattformen für Remote Browsing. (jab)

60 Kommentare

Themen:

Anzeige
  1. "Ich kann das, weil ich CEO bin": Cloudflare-Chef verstößt Neonazi-Seite – die geht offline

    "Ich kann das, weil ich CEO bin": Cloudflare-Chef verstößt Neonazi-Seite

    Obwohl sein Unternehmen entschieden hatte, eine Neonazi-Seite weiter vor DDoS-Attacken zu schützen, ließ Cloudflare-CEO Matthew Prince doch den Vertrag kündigen, nun ist die Seite offline. Dass er über so viel Macht verfügt, hält er selbst für falsch.

  2. Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt, sagt Cloudflare

    Die Auswirkungen von Cloudbleed: Noch mal Schwein gehabt

    Wie schlimm war Cloudbleed? Wenn es nach Cloudflare geht, sind alle noch einmal mit einem blauen Auge davon gekommen. Allerdings kann die Firma nur noch 1 Prozent der eigenen Logs analysieren.

  3. Chrome-Browser blockiert nervende Werbung

    Chrome-Browser filtert nervende Werbung

    Google schaltet seinen Werbefilter im Chrome-Browser scharf: Er blockiert ab sofort nervige Werbe-Pop-Ups und stoppt plärrende Videos, die automatisch starten. Doch nicht jeder ist davon begeistert.

  4. Safari 11: Apples Browser will Werbe-Tracking unterbinden

    macOS High Sierra

    In iOS 11 und macOS High Sierra soll Safari seitenübergreifendes Tracking verhindern: Dafür versucht der vorinstallierte Browser, Webseiten automatisch zu identifizieren, die Nutzeraktivitäten verfolgen können – und ergreift Gegenmaßnahmen.

  1. Verschlüsselung bei heise online

    Verschlüsselung bei heise online

    Ab sofort ermöglicht Heise Medien den Zugriff auf seine Online-Dienste per HTTPS. Das gilt für alle Domains wie heise.de, ct.de oder ix.de.

  2. HTML-Grundlagen - Was Einsteiger wissen müssen

    Sie wollen eine eigene Website betreiben? Dann sollten Sie ein wenig HTML können - die wohl einfachste "Programmiersprache" überhaupt.

  3. Wie funktioniert Webhosting?

    Mit eigenem Webspace lassen sich Webseiten oder privater Cloud-Speicher aufsetzen - wenn man weiß, wie Hoster funktionieren und was man braucht.

  1. Test: Skoda Karoq 2.0 TDI

    Skoda Karoq

    Der neue Skoda Karoq ist eine Mixtur bekannter Zutaten, die einigen Konkurrenten schwer zu schaffen machen wird. Das Kompakt-SUV überrascht an keiner Stelle und wird vielleicht gerade deshalb gefragt sein. Im Test die sicher beliebte Kombination 2.0 TDI, DSG und Allradantrieb

  2. Kommt nach Nahles erneut Gabriel?

    Die Chancen, dass die neue Vorsitzende das Grundproblem der Partei löst, stehen schlecht

Anzeige