Würden Sie sagen, dass Ihr Unternehmen sicher ist, wenn Ihre Mitarbeiter Laptops ohne installierte Anti-Malware verwenden? Die meisten Unternehmen würden sagen, dass dies verantwortungslos ist. Warum sollten dann viele Unternehmen Websites und Webanwendungen ohne Schutz haben?
Ein „Antivirus“ (eine Anti-Malware-Lösung) wird als Standardelement einer Windows-Installation angesehen – ein Computer ohne Antivirus ist mehr als selten. Seltsamerweise fühlen sich aber viele Unternehmen völlig sicher, wenn sie eine Website oder eine Webanwendung online stellen, ohne dabei darauf zu achten, ob diese vor Angriffen sicher ist. Dies ist umso überraschender, da über das Internet zugängliche Anwendungen normalerweise viele vertrauliche Daten enthalten z. B. persönliche Kundeninformationen.
Hier sind fünf Gründe, warum Ihre Web-Sicherheit genauso wichtig ist wie die Sicherheit von PCs und Endpunkten im Allgemeinen:
Vor zwanzig Jahren waren Websites nur einfache, meist statische Präsentationen – in gewisser Weise digitale Werbeprospekte. Heutzutage erstellen viele von uns ihre Dokumente online, anstatt ein Desktop-Textverarbeitungsprogramm zu verwenden. Oft ist der Browser die einzige auf unserem Windows-Computer installierte Software. Und selbst wenn es eine andere Software wie Slack gibt, verwendet sie Webschnittstellen, um mit den Servern zu kommunizieren. Unternehmen verwenden seltener ihre eigenen Server. Für viele Mitarbeiter sind Desktop-Computer und Laptops im Grunde genommen Thin Clients, die nur dazu dienen, auf das Internet zuzugreifen.
Dies bedeutet, dass Ihre Anti-Malware-Software grundsätzlich einen leeren Computer schützt, auf dem keine Software installiert ist, sondern nur einen Browser. Das einzige große Risiko, dass ein solcher Computer angegriffen wird, besteht darin, dass durch den Angriff Anmeldeinformationen für Webanwendungen gestohlen werden können. Alle Ihre Daten, Ihre gesamte Business-Software und vieles andere auch befindet sich jetzt oder zumindest in naher Zukunft im Web. Und leider bleibt das alles ziemlich oft völlig ungeschützt. Während vor 20 Jahren die Sicherheit von PCs viel wichtiger war als die Sicherheit im Internet (weil das Web kaum genutzt wurde), würden wir heutzutage sogar sagen, dass die Sicherheit im Internet immer wichtiger wird als die Sicherheit von PCs.
Ein erfolgreicher Angriff mit Malware erfordert viel Arbeit. Selbst wenn der Angreifer leicht verfügbare Malware wie bekannte Trojaner verwendet, muss er diese Malware dem Opfer bereitstellen. Dies bedeutet, dass sie beispielsweise eine überzeugende Phishing-Site und eine überzeugende Phishing-E-Mail erstellen und die Leute dazu bringen müssen, den Trojaner zu installieren. Und selbst nachdem das Opfer die Malware installiert hat, kann der Angreifer feststellen, dass der Computer des Opfers absolut keinen Wert hat, da das Opfer normalerweise zufällig ausgewählt wird.
Ein erfolgreicher Webangriff ist viel einfacher. Es gibt kostenlose und leicht verfügbare Tools, die es für den Angreifer noch einfacher machen. Sie müssen lediglich das Tool auf Ihre Website ansetzen, und das Tool, das sich wie ein Schwachstellenscanner verhält, findet die Schwachstellen und ermöglicht es dem Angreifer, sie sofort auszunutzen. Ein solcher Angriff ist sehr erfolgversprechend, da der Angreifer auf ein bestimmtes Opfer zielt und weiß, dass das Opfer über wertvolle Informationen verfügt.
Kriminelle machen sich gerne das Leben leichter. Warum sollten Sie blinde, komplexe Phishing-Kampagnen erstellen, in der Hoffnung, dass sie möglicherweise wertvolle Daten erhalten, wenn sie einen einfachen, automatisierten, gezielten Angriff ausführen und sofort Ergebnisse erzielen können?
Wenn Sie einen renommierten Cloud-Dienstanbieter zum Hosten Ihrer E-Mail-Konten verwendet, können Sie ziemlich sicher sein, dass auf dem Server eine Anti-Malware-Lösung vorhanden ist, die potenzielle Bedrohungen ausschließt, bevor diese die von Ihren Mitarbeitern verwendeten Computer erreichen. Dies bedeutet, dass Ihre lokale Anti-Malware-Lösung für E-Mails überhaupt nicht benötigt wird.
Überraschenderweise kennen wir keine Webhosting-Anbieter, die regelmäßig Schwachstellen für die von ihnen gehosteten Inhalte scannen. Im Gegensatz zu Cloud-E-Mail-Anbietern bieten Webhosting-Anbieter normalerweise keinen Schutz, außer generischen Web Application Firewalls, die Schwachstellen nicht beseitigen.
Sie sind also auf sich allein gestellt, bis das Scannen von Web-Schwachstellen (falls überhaupt) Teil des Angebots von Cloud-Anbietern wird. Der einzige, der schwerwiegende Schwachstellen in Ihren Websites oder Webanwendungen finden und beseitigen kann, sind Sie. Dies ist noch mehr ein Grund, warum Sie regelmäßig einen Web-Schwachstellenscanner verwenden sollten.
Wie oben erwähnt, verfügt Ihr Unternehmen mit Sicherheit über serverseitige Anti-Malware-Lösungen für alle Ihre E-Mail-Anforderungen. Dies kann entweder ein renommierter Cloud-Anbieter sein, der serverseitige Anti-Malware anbietet, oder Ihr eigener Server, auf dem Sie sicher Anti-Malware installiert haben. Daher ist die Wahrscheinlichkeit, dass generische Malware per E-Mail verschickt wird, nahezu gleich null.
Die Wahrscheinlichkeit, von einer von Ihnen besuchten Website einen Virus zu bekommen, ist ebenso gering. Dies liegt daran, dass Browser ohne ausdrückliche Genehmigung nichts auf Ihrem Computer installieren. Außerdem besuchen Ihre Mitarbeiter normalerweise keine riskanten Websites, auf denen möglicherweise Malware verbreitet wird. Selbst wenn Sie überhaupt keine Anti-Malware installiert haben, ist die Wahrscheinlichkeit, dass Malware auf einem Bürocomputer installiert wird, sehr gering.
Die Wahrscheinlichkeit, dass Ihre Website oder Webanwendung das Ziel eines generischen Angriffs wird ist viel höher. Dies liegt daran, dass Black-Hat-Hacker automatisierte Software verwenden, um nach verfügbaren Websites zu suchen um diese dann nach Schwachstellen zu durchsuchen. Wenn Sie Open-Source-Web-Software mit Plugins wie WordPress, Joomla, Drupal, Magento usw. verwenden, riskieren Sie am meisten. Denken Sie daran: Im Gegensatz zu Ihren Office-Laptops ist Ihre Website oder Webanwendung der Öffentlichkeit zugänglich, und jeder kann darauf zugreifen und versuchen, sie zu hacken.
Wenn Ihr Unternehmen infolge eines Angriffs dazu missbraucht wird, Mithelfer eines Verbrechens zu werden, kann dies noch schlimmere Folgen haben als ein direkter Angriff auf Ihr Unternehmen. Dies kann Sie viel Ansehen kosten und damit Ihr gesamtes Unternehmen einem großen Risiko aussetzen. Daher muss jede Form des Schutzes vor Angriffen auch die Möglichkeit berücksichtigen, dass jemand Ihre Ressourcen verwendet, um jemand anderen anzugreifen.
Das Ziel von Malware-basierten Angriffen ist häufig die Installation von Botnet-Software. Diese Software wird dann für massive DDoS-Angriffe gegen andere Objekte verwendet. Angreifer können auch VPN-Lösungen installieren, mit denen die ursprüngliche IP-Adresse des Angreifers ausgeblendet wird.
Wenn Ihre Webanwendung beispielsweise eine XSS-Sicherheitslücke (Cross-Site Scripting) aufweist, kann diese Sicherheitslücke dazu verwendet werden, um Phishing-Angriffe zu erstellen, die so aussehen, als würden sie von Ihrer Domain stammen. Und der Umfang solcher Angriffe ist viel größer als bei Botnetzen – ein Botnetz wird verwendet, um ein einzelnes Ziel gleichzeitig mehrfach anzugreifen. Eine Phishing-Kampagne kann an Millionen von Zielen gesendet werden, die dann alle Ihre vertrauenswürdige Domain sehen und möglicherweise dem Betrug zum Opfer fallen.
Sie sollten also sicherstellen, dass Ihre Websites und Webanwendungen keine Sicherheitslücken aufweisen, die zum Angriff auf andere Personen verwendet werden könnten. Die einzige Möglichkeit, dies effektiv zu tun, ist die Verwendung eines Web-Schwachstellenscanners wie Acunetix.
