{"id":1017,"date":"2023-05-30T00:00:00","date_gmt":"2023-05-30T00:00:00","guid":{"rendered":"https:\/\/decareto-test.qivoro.han-solo.net\/2023\/05\/30\/how-smes-can-check-their-websites-for-security-vulnerabilities\/"},"modified":"2025-01-16T12:45:54","modified_gmt":"2025-01-16T12:45:54","slug":"wie-kmus-ihre-websites-auf-sicherheitsluecken-pruefen-koennen","status":"publish","type":"post","link":"https:\/\/decareto.com\/de\/wie-kmus-ihre-websites-auf-sicherheitsluecken-pruefen-koennen\/","title":{"rendered":"Wie KMUs ihre Websites auf Sicherheitsl\u00fccken pr\u00fcfen k\u00f6nnen"},"content":{"rendered":"\n

<\/p>\n\n\n\n

So pr\u00fcfen KMUs Websites auf Sicherheitsl\u00fccken<\/strong><\/h3>\n\n\n\n

Kleine und mittlere Unternehmen stehen oft hilflos vor der Aufgabe, die Sicherheit ihrer Web-Anwendungen zu gew\u00e4hrleisten. Dabei gibt es viele M\u00f6glichkeiten, Webauftritte vor Angreifern zu sch\u00fctzen \u2013 auch f\u00fcr KMUs mit kleinem Etat. Dieser Artikel stellt die wichtigsten Optionen vor, Websites auf Sicherheitsl\u00fccken zu testen und sie vor Hackerangriffen abzuschotten.<\/strong><\/p>\n\n\n\n

Sicherheitsl\u00fccken in Web-Anwendungen k\u00f6nnen jedem Unternehmen teuer zu stehen kommen. Bei einem erfolgreichen Angriff werden oftmals Daten von Kunden und Partnern sowie andere sensible Informationen abgegriffen, ver\u00e4ndert, gel\u00f6scht, verschl\u00fcsselt – oder auf inkriminierten Internetseiten ver\u00f6ffentlicht. Immer wieder nutzen Kriminelle die gestohlenen Daten f\u00fcr weitere Hackerangriffe und andere Straftaten.<\/p>\n\n\n\n

Im schlimmsten Fall erhalten Angreifer vollen Zugriff auf die Website und das gesamte IT-Netz wird mit Schadprogrammen infiziert. Die befallenen Rechner k\u00f6nnen dann unbemerkt zum Versenden von Spam- und Phishing-Mails oder f\u00fcr Wirtschaftsspionage missbraucht werden. Der Imageverlust und der monet\u00e4re Schaden sind in solchen F\u00e4llen enorm.<\/p>\n\n\n\n

W\u00e4hrend Konzerne und Gro\u00dfunternehmen die Cybersicherheit im Gro\u00dfen und Ganzen im Griff haben, bewegen sich kleinere Betriebe bei der Absicherung ihrer Anwendungen in unsicheren Gefilden. Zu oft fehlt es ihnen an ausreichendem finanziellem Budget und personellen Ressourcen, um ad\u00e4quat gegen Website-Attacken und Hackerangriffe gewappnet zu sein. Gerade KMUs sind deshalb ein dankbares Opfer f\u00fcr Cyberkriminelle.<\/p>\n\n\n\n

Die gute Nachricht ist: Egal, welche finanziellen und technischen Voraussetzungen ein KMU hat – jedes Unternehmen kann Vorkehrungen treffen und checken, wie anf\u00e4llig seine Website f\u00fcr Hackerangriffe ist. In diesem Artikel erfahren Sie, welche M\u00f6glichkeiten kleinere Betriebe haben, um die Sicherheit ihres Webauftritts zu gew\u00e4hrleisten und welche Schritte sie daf\u00fcr unternehmen sollten. Der Beitrag basiert auf Interviews mit Sicherheitsexperten, die sich auf die Belange von KMUs spezialisiert haben.<\/p>\n\n\n\t\t

\n\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t\t

Download: Ihr kompletter Datenschutz Technik-Guide<\/p>\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t\t\t\t\t\tWie Sie mit Bordmitteln Datenschutzl\u00fccken auf den Websites Ihrer Kunden zuverl\u00e4ssig identifizieren.\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t<\/path><\/svg>\t\t\t<\/span>\n\t\t\t\t\t\t\t\t\tJetzt herunterladen<\/span>\n\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/a>\n\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t\"\"\t\t\t\t\t\t\t\t\t\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\n\n\n\n

Das Pr\u00fcfwerkzeug: Penetrationstests<\/strong><\/h3>\n\n\n\n

Das \u00fcbliche Mittel, um Websites auf Sicherheitsl\u00fccken zu \u00fcberpr\u00fcfen, sind Penetrationstest, kurz Pentests. Bei einem solchen Test werden Web-Anwendungen, einzelne Systeme oder die ganze IT Infrastruktur aus der Sicht eines potenziellen Angreifers auf Schwachstellen gescannt – mit dem Ziel, m\u00f6gliche Security-L\u00fccken zu identifizieren. Es handelt sich dabei also letztendlich um einen kontrollierten Einbruchsversuch.<\/p>\n\n\n\n

Wie l\u00e4uft ein solcher Test ab? Ein Sicherheitsexperte versucht \u00fcber die Website des Unternehmens in Computersysteme und Netzwerke einzudringen. Um eine m\u00f6glichst realit\u00e4tsnahe Attacke zu simulieren, nutzt er Techniken, auf die auch externe Angreifer zur\u00fcckgreifen. Das Ergebnis eines solchen Scantests ist in der Regel ein Security-Audit, mit dem die bisherigen Ma\u00dfnahmen zur Website-Sicherung und zur Sicherung der IT evaluiert werden.<\/p>\n\n\n\n

Die Analyse- und Testergebnisse des Penetrationstests geben Aufschluss dar\u00fcber, welche Ziele aus Sicht eines Angreifers erfolgreich erreicht werden k\u00f6nnten und welche Ma\u00dfnahmen erforderlich sind, um m\u00f6glichen Gefahren entgegenzuwirken. Unternehmen sollten anschlie\u00dfend die empfohlenen Ma\u00dfnahmen umsetzen, die L\u00fccken schlie\u00dfen und die Sicherheit ihres Webauftritts verbessern.<\/p>\n\n\n\n

F\u00fcr die Durchf\u00fchrung eines Pentests gibt es grunds\u00e4tzlich zwei M\u00f6glichkeiten: Zum ersten k\u00f6nnen Unternehmen einen Cybersecurity-Dienstleister konsultieren, der alle Schritte manuell durch eine Experten \u2013 wie eben beschrieben – ausf\u00fchren l\u00e4sst . Dieser testet, \u00fcberwacht und bewertet die IT-Sicherheit.<\/p>\n\n\n\n

Zum zweiten k\u00f6nnen Penetrationstests automatisiert ausgef\u00fchrt werden \u2013 dies kann ebenfalls ein Dienstleister \u00fcbernehmen. Bei entsprechenden Voraussetzungen kann den Test aber auch die IT-Abteilung des KMU oder der Betreiber der Website selbst ausf\u00fchren.<\/p>\n\n\n\n

Manuelle Pentests – Umfassende Dienstleister<\/strong><\/h3>\n\n\n\n

Cybersecurity-Dienstleister f\u00fcr manuelle Pentest bieten meist umfassende Sicherheitspr\u00fcfungen an. Die Tester checken neben Web-Anwendungen auch Computer, Server und ganze Netzwerke auf Sicherheitsl\u00fccken. Die Pr\u00fcfmethoden reichen von Angriffsimulationen, bei denen ein kompletter Angriff auf das Unternehmen imitiert und m\u00f6glichst tief in das Unternehmen eingedrungen wird, bis hin zu Schwachstellenanalysen und Codepr\u00fcfungen.<\/p>\n\n\n\n

Bei einem manuellen Pentest geht der Dienstleister auf die konkrete Situation des KMU ein. \u201eUmfassende Pentests, die vor allem durch eine manuelle Auswahl von Testprozeduren und Tools gekennzeichnet sind, enthalten vorab ein individuelles Vorgespr\u00e4ch mit dem Auftraggeber\u201c, sagt Jan Bindig vom Leipziger Security-Spezialisten Pentest24<\/a>. \u201eDie Tests werden dann entsprechend auf den Einsatzzweck abgestimmt und eventuell bef\u00fcrchtete Schwachstellen detaillierter beleuchtet.\u201c<\/p>\n\n\n\n

Die individuelle Betreuung steht bei umfassenden Pentests durch einen Dienstleister im Vordergrund. \u201eWir versuchen bei einem gemeinsamen Gespr\u00e4ch im Vorfeld die kritischen Funktionalit\u00e4ten herauszufinden, bei denen wir erfahrungsgem\u00e4\u00df wissen, dass diese getestet werden sollten\u201c, erkl\u00e4rt Emanuel B\u00f6se, Gesch\u00e4ftsleiter des Lutra Security GmbH<\/a>, einem M\u00fcnchener Cyber-Security-Dienstleiter. \u201eAuf diese Weise bestimmen wir im Endeffekt einen Rahmen, der f\u00fcr den Kunden sinnvoll ist.\u201c<\/p>\n\n\n\n

Oft werden manuelle Pentests noch durch technische Audits und Interviews mit Ansprechpartnern erg\u00e4nzt, um einen umfangreicheren \u00dcberblick \u00fcber das Sicherheitsniveau zu erhalten. Ein Pr\u00fcfbericht dokumentiert dann den Status quo und gibt dem Betreiber die Informationen, welche er zur Behebung der identifizierten Schwachstellen ben\u00f6tigt.<\/p>\n\n\n\n

Zeitlich kann sich ein solcher Penetrationstest \u00fcber mehrere Tage ziehen -je nach Aufwand zwischen zwei und zehn Tagen. Der Normalfall d\u00fcrften durchschnittlich f\u00fcnf Testtage sein. Bei sehr ausgekl\u00fcgelten Social-Engineering-Methoden kann die Testphase mehr Zeit in Anspruch nehmen, aber auch k\u00fcrzere Testphasen sind m\u00f6glich – vor allem bei rein tool- gest\u00fctzten Audits.<\/p>\n\n\n\n

Manuelle Penetrationstests werden in der Regel nach Tagess\u00e4tzen abgerechnet, die bei erfahrenen Pentestern mit Zertifizierung typischerweise zwischen 1.000 Euro und 1.800 Euro<\/strong> liegen. Der konkrete Preis h\u00e4ngt von der Komplexit\u00e4t des Systems und der Kritikalit\u00e4t ab. Geht man von einer Testdauer zwischen zwei und zehn Tagen aus, dann schwanken die Kosten f\u00fcr einen manuellen Pentest also zwischen 2.000 Euro und 18.000 Euro<\/strong>. Bei einer mittleren Testdauer von f\u00fcnf Tagen und dem g\u00fcnstigsten Tagessatz von 1.000 Euro ergeben sich Gesamtkosten von 5.000 Euro<\/strong>.<\/p>\n\n\n\n

Automatisiertes Pentesting<\/strong><\/h3>\n\n\n\n

Moderne Software-L\u00f6sungen erm\u00f6glichen es heute, Pentests weitgehend automatisiert durchzuf\u00fchren. \u201eAutomatische Pentests erfolgen durch vorkonfigurierte Tools und Scripts von einer Plattform oder auch individualisiert\u201c, erkl\u00e4rt Pentest24-Experte Jan Bindig. Sie k\u00f6nnen sowohl als externer Test ohne Intranet Zugriff oder intern durch ein bereitgestelltes Relay innerhalb des Intranets ausgef\u00fchrt werden.\u201c<\/p>\n\n\n\n

Automatisierte Pentests haben mehrere Vorteile. Sie sind weniger aufw\u00e4ndig als manuelle Tests und reduzieren die Kosten. KMUs bekommen einen ersten \u00dcberblick f\u00fcr wenig Geld. Selbst gro\u00dfe, komplexe IT-Umgebungen lassen sich auf diese Weise schnell und effizient auf Schwachstellen scannen. Ergebnisse liegen meist schon nach 48 Stunden vor. Au\u00dferdem sind automatisierte Tests reproduzierbar und garantieren eine gleichbleibende, standardisierte Qualit\u00e4t \u2013 was sie f\u00fcr wiederholte Tests pr\u00e4destiniert.<\/p>\n\n\n\n

Regelm\u00e4\u00dfige Sicherheits\u00fcberpr\u00fcfungen durch Pentests sind ein wichtiger Aspekt. \u201ePenetrationstests bilden jeweils nur eine Momentaufnahme des Sicherheitsstandes eines Unternehmens ab\u201c, gibt Thomas Moosm\u00fcller, Gesch\u00e4ftsf\u00fchrer der Regensburger Breakinlabs GmbH.<\/a>, zu bedenken. \u201eSchon morgen kann eine Schwachstelle bekannt werden, die bei einem solchen Test nicht ber\u00fccksichtigt werden konnte. Aus diesem Grund sollte ein Penetrationstest regelm\u00e4\u00dfig stattfinden.\u201c<\/p>\n\n\n\n

Die meisten Unternehmen, die Pentests durchf\u00fchren, machen dies bisher nur einmal im Jahr, so eine Studie des Cybersecurity-Anbieters Pentera. Das liegt vor allem daran, dass manuelles Testing sehr aufw\u00e4ndig und kostenintensiv ist. \u201eAutomatische Tests eignen sich hingegen aufgrund des geringeren Aufwandes und g\u00fcnstigen Preises als t\u00e4gliche oder w\u00f6chentliche Scans sehr gut zwischen manuellen Pentests, die situationsabh\u00e4ngig in gr\u00f6\u00dferen Zeitspannen von einigen Monaten bis zu einem Jahr ausgef\u00fchrt werden sollten\u201c, sagt Thomas Moosm\u00fcller. Mit der regelm\u00e4\u00dfigen Wiederholung lassen sich Ergebnisse auch gut vergleichen und einheitliche Pr\u00fcfverfahren an verschiedenen Standorten etablieren.<\/p>\n\n\n\n

Vorausgesetzt das Budget erlaubt es, sollte beim automatisierten Pentesting mit einem erfahrenen Cybersecurity-Dienstleister zusammengearbeitet werden, der \u00fcber entsprechende Referenzen und Expertise verf\u00fcgt. Automatisierte Pentests werden von Cybersecurity-Dienstleistern oft als Managed Security Services angeboten. Die Kosten f\u00fcr einen automatisierten Test durch einen Dienstleister bewegen sich je nach individuellem Aufwand zwischen 800 und 1.500 Euro<\/strong>. Eine Liste von Dienstleistern f\u00fcr automatisiertes Pentesting finden Sie hier<\/a>.<\/p>\n\n\n\n

Tools – Pentests selbst durchf\u00fchren<\/strong><\/h3>\n\n\n\n

Prinzipiell k\u00f6nnen IT-Teams automatisierte Pentests auch selbst ohne gro\u00dfen Personalaufwand durchf\u00fchren. Sie k\u00f6nnen dabei auf eine ganze Reihe an kostenpflichtigen und kostenlosen Tools zur\u00fcckgreifen.<\/p>\n\n\n\n

Bei den kostenlosen Open-Source-Tools k\u00f6nnen beispielsweise die folgenden L\u00f6sungen empfohlen werden:<\/p>\n\n\n\n