Das erfolgreiche Gemeinschaftsprojekt Siwecos geht in die Verlängerung: eco, die Ruhr-Universität Bochum, CMS Garden und Hackmanit werden ein weiteres Jahr bei ihrer Arbeit durch die Initiative „IT-Sicherheit in der Wirtschaft“ des Bundesministeriums für Wirtschaft und Energie unterstützt. Markus Schaffrin, Geschäftsbereichsleiter Mitglieder Services und Security-Experte im eco, berichtet im Interview über die Erfolge und Pläne des Projekts „Sichere Webseiten und Content-Management-Systeme“.
Herr Schaffrin, herzlichen Glückwunsch zur Verlängerung der Projektförderung. Was gab aus Ihrer Sicht den Ausschlag für die Entscheidung?
Als Teil der Initiative „IT-Sicherheit in der Wirtschaft“ leisten wir einen wichtigen Beitrag mit Siwecos. Das Projekt verfolgt das Ziel, die Webseitensicherheit für kleine und mittelständische Unternehmen langfristig zu erhöhen. Auch wenn da noch reichlich Arbeit vor uns liegt, verzeichnen wir doch deutlich messbare Erfolge.
Inwiefern sehen sie „reichlich Arbeit“ vor sich?
Die Webseite ist inzwischen das Aushängeschild der Unternehmen geworden – oft ist sie die erste Anlaufstelle für neue Kunden. Deshalb ist es wichtig, dass diese so sicher wie möglich ist. Wir haben erst kürzlich eine Bestandsaufnahme durchgeführt und dabei mehr als 1.100 Webseiten von kleinen und mittelständischen Unternehmen untersucht.
Das Ergebnis war aus unserer Sicht sehr unbefriedigend: Knapp 10 Prozent der Seiten wiesen eklatante Sicherheitsmängel auf, nur 67 Prozent nutzen das Protokoll HTTPS und mehr als 40 Prozent haben maschinell auslesbare Kontaktdaten, was Phishing-Attacken erleichtert.
Wie genau verbessert Siwecos die Sicherheit?
Unternehmen bieten wir einen Schnell-Scan von Webseiten und eine tägliche Überprüfung nach einer Registrierung. Dabei untersuchen wir eine Vielzahl von Faktoren, angefangen vom Content-Management-System und seiner Plugins über Zertifikate und mögliche Verwundbarkeit bis hin zu diverser möglicher Schadsoftware. Ein ausführlicher Report informiert über den Stand der Dinge und zusätzliches Know-how bietet unser Wiki.
Außerdem arbeiten wir mit Hostern und Cloud-Anbietern zusammen, um durch stets aktuelle Filterregeln Angriffe, die auf bekannten Sicherheitslücken basieren, zu verhindern.
Wie wird der Service angenommen?
Siwecos kommt sehr gut an. Seit dem Betabetrieb haben sich mehr als 2.100 Nutzer angemeldet und knapp 3.200 Domains registriert. Wir haben seither rund 80.000 vollständige Scans durchgeführt und verzeichnen bei allen Metriken ein konstantes Wachstum.
Detaillierte Auswertungen, zum Beispiel über die bereitgestellten CMS-Plugins, nehmen wir nicht vor, da wir selbstverständlich die Datenschutz-Grundverordnung beachten und entsprechend datensparsam arbeiten.
Und wie sieht es mit den Hostern aus?
Unseren Hoster-Service nutzen aktuell weltweit 87 Webhosting- und Cloud-Dienstleister, darunter sind 32 deutsche Anbieter. Wir sind stolz darauf, sämtliche marktführenden Anbieter mit im Boot zu haben. Zusätzlich nutzen auch viele kleinere deutsche Webhoster und Cloud-Anbieter den Service, die insbesondere als Dienstleister im KMU tätig sind. Dazu kommen noch der CERT-Bund (BSI) und das DFN-CERT (Deutsches Forschungs-Netzwerk).
Ist Siwecos auch außerhalb des Internets aktiv?
Auf jeden Fall. Unsere Fachleute nehmen als Referenten und Aussteller regelmäßig an Partnerveranstaltungen – oft in Kooperation mit den lokalen IHKs – teil. So erreichen wir mit dem Thema auch Webseitenbetreiber ‚auf dem Land‘, wo IT-Sicherheit teilweise noch unterrepräsentiert ist. Zusätzlich nutzen wir auch große Veranstaltungen wie die it-sa, den Deutschen IT-Sicherheitskongress und viele mehr.
Geben Sie uns noch einen Ausblick: Was ist für die Zukunft bei Siwecos geplant?
Neben der erwähnten Präsenz vor Ort, um Siwecos noch bekannter zu machen, arbeiten wir an der ständigen technischen Weiterentwicklung des Services. Außerdem sind neue Scanner beziehungsweise Crawler geplant, die unsere Checks noch umfassender machen.