Kleine und mittlere Unternehmen (KMU) besitzen oft nicht die erforderlichen Ressourcen, um sich kontinuierlich über neu entdeckte Sicherheitslecks und Malware-Varianten zu informieren und deren Relevanz für die eigene Webpräsenz zu prüfen. Aus diesem Grund haben eco – Verband der Internetwirtschaft e. V. und die Ruhr-Universität Bochum mit Unterstützung der Bochumer Startup-Firma Hackmanit und von CMS Garden e. V. das Projekt Siwecos gegründet (Sichere Webseiten und Content Management Systeme).
Nach der kostenlosen Anmeldung einer Website wird sie in regelmäßigen Abständen von einem Scanner auf bekannte Schwachstellen untersucht. Wird das Programm fündig, verständigt es automatisch den Besitzer der Site. Zudem will Siwecos Plugins für WordPress und andere Content-Management-Systeme anbieten, die in Verbindung mit dem Scanner immer den aktuellen Sicherheitsstatus anzeigen. Auch Webentwickler sollen die Plugins nutzen dürfen, so dass neue Sites von Anfang an geschützt sind.
Hilfe für Webhoster
Zum zweiten will Siwecos einen speziellen Service für Webhoster ins Leben rufen, der sie über aktuelle Sicherheitslücken informiert. Dazu will die Organisation den Unternehmen kostenlose Filterregeln zur Verfügung stellen, über die sie Angriffe stoppen können, bevor sie die Websites ihrer Kunden erreichen. Ebenso wie der Sicherheitsscan wird auch dieses Angebot durch das Bundesministerium für Wirtschaft und Energie (BMWI) gefördert. Erklärtes Ziel ist es, die Sicherheit von Webseiten der kleinen und mittleren Unternehmen in Deutschland langfristig zu verbessern.
Sicherheitsscans und Penetrationstests für Websites werden auch von zahlreichen anderen Firmen und Organisationen angeboten. Von Mozilla gibt es beispielsweise seit vergangenem Jahr den kostenlosen Security-Check Observatory, der über einen beliebigen Browser erreichbar ist und Websites auf bekannte Sicherheitsprobleme untersucht. Der Code dieses Projekts ist auf GitHub frei verfügbar. Dort finden sich auch Kommandozeilen-Tools, mit denen Administratoren die Tests automatisiert und in regelmäßigen Abständen durchführen können. Ähnliche Tests bieten beispielsweise Qualys SSL Labs und Scan My Server sowie etliche weitere Firmen an.
Darüber hinaus findet man im Netz zahlreiche Unternehmen, die kostenpflichtige Penetrationstests anbieten. Teilweise haben sie auch lokal installierbare Tools entwickelt und/oder organisieren ein Monitoring für eine oder mehrere Unternehmens-Websites. Einige Beispiele unter vielen sind etwa Secuvera, Portswigger oder Patronus.
Gastbeitrag von Michael Kranawetter, National Security Officer (NSO) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.