Erschreckende Sicherheitsbilanz bei IT-Firmen
11.07.2022, 19:21 - Autor: Mark B.
Die Idee zu diesem Artikel kam eigentlich bei einem "Streitgespräch" mit einem IT-Kollegen auf, der meinte, das sicher 50% der IT-Firmen selber keinen besonderen Wert auf IT-Sicherheit legen würden. Ich persönlich hielt diesen Prozentanteil für viel zu hoch...
Dennoch musste ich die Tage immer wieder darüber nachdenken und daher habe ich mir folgenden einfachen Test überlegt:
Ich habe mir jeweils aus Österreich und Deutschland 50 IT-Firmen über Google herausgesucht, deren Webseite auf WordPress basiert. Einerseits kann man hier sehr einfach testen, ob eine verwundbare Version genutzt wird und andererseits ist WordPress eigentlich sehr leicht zu bedienen und kein Entwickler muss sich um alle möglichen Sicherheitslücken kümmern. Um WordPress sicher zu halten, reicht es im Grunde die angebotenen Updates zeitnahe einzuspielen!
Ich habe mir außerdem folgende Bewertung ausgedacht:
- jede Sicherheitslücke laut WPscan ist eine Beanstandung
- jede Sicherheitslücke mit einem WPscan-Wert von 4,0 oder größer ist eine schwere Beanstandung
- der Zugriff auf potenziell sensible Informationen gilt als leichte Beanstandung und wird rechnerisch als halbe Beanstandung gewertet (Spalte Wertberichtigt)
| Land |
Leichte Beanstandungen |
Beanstandungen innsges. |
davon schwere Beanstandungen |
Wertberichtigt |
Prozent |
Durchschn. schwere laut WPscan |
| Österreich |
6 |
19 |
6 |
22 |
44% |
2,7 |
| Deutschland |
2 |
23 |
5 |
24 |
48% |
2,8 |
Spitzenreiter waren hier Firmen, die Lücken seit über 3 Jahren!!! nicht geschlossen hatten.
Diese Ergebnisse schockierten mich wirklich, denn wir sprechen hier nicht von Fleischern, Mahlerbetrieben oder Steuerberatern, bei denen ich noch Verständnis für fehlendes Wissen und Bewusstsein für IT-Sicherheit haben kann. Hier sprechen wir von Firmen, die sich anmaßen, Server, Webseiten und Computer für andere einzurichten und zu betreuen! Firmen, die es wagen, Sicherheitstechnik, Kassensysteme und sogar IT-Security anzubieten und dann schaffen es diese Firmen nicht einmal die eigene Webseite und die installierten Plug-ins auf den neuesten Stand zu halten und Sicherheitsupdates einzuspielen? Ich muss wirklich sagen, dass ich ein derartiges Ergebnis nicht erwartet habe...
