Der Ausschuss für Informationstechnologie, -dienste und Telekommunikation der Industrie- und Handelskammer (IHK) Region Stuttgart hat mit einem anonymen Test die Datenübertragung im Internet von rund 16.000 Mitgliedsbetrieben auf Sicherheit geprüft. Die Ergebnisse zeigen, dass die Mehrheit der Webseiten und Mailserver deutlich vom empfohlenen Standard des Bundesamts für Sicherheit in der Informationstechnik (BSI) entfernt und somit einer Vielzahl von Angriffsrisiken ausgesetzt ist.
„Mit dem Test wollen wir das Bewusstsein für die Notwendigkeit sicherer Internetverbindungen bei unseren Mitgliedsbetrieben erhöhen“, sagt Andreas Richter, Hauptgeschäftsführer der IHK Region Stuttgart. „Unternehmen müssen sich nicht nur zum Schutz der eigenen Geschäftsaktivitäten im IT-Sicherheitsbereich besser aufstellen. Die Problematik beinhaltet auch juristische Risiken.“ Denn laut Bundesdatenschutz- und Telemediengesetz sind Unternehmen verpflichtet, technische und organisatorische Maßnahmen zur IT-Sicherheit zu treffen.
Das BSI empfiehlt dabei die Bereitstellung von ausschließlich verschlüsselter Verbindungen. Etwa die Hälfte der Webseiten und mehr als drei Viertel der Mailserver unterstützen zwar eine sichere Kommunikation, aber nur wenige haben ein gültiges Zertifikat. Browser warnen in diesem Fall den Nutzer vor dem Aufbau einer Verbindung, da ein Angriffsrisiko besteht. Weiterhin sollte laut BSI die Kommunikation zwischen Server und Browser auf Basis sicherer Protokolle erfolgen (Nutzung aktueller Transport Layer Security-Versionen, kurz: TLS). Aktuelle sichere Protokolle sind zwar weitgehend implementiert, aber gleichzeitig werden oft noch unsichere Protokolle verwendet. Positiv festzustellen ist, dass bei den HTTPS-Webseiten und –Mailservern die als sicher geltenden Protokolle TLS 1.1 und TLS 1.2 inzwischen von mehr als der Hälfte der getesteten Webseiten und Mailservern unterstützt werden. Gleichzeitig verwenden mehr als 80 Prozent weiterhin das Protokoll TLS 1.0, das ein signifikantes Angriffspotenzial bietet. Negativ ist, dass noch knapp ein Viertel der Server die unsicheren Protokolle SSL 2.0 und SSL 3.0 unterstützen. Hinsichtlich der Verschlüsselung rät der BSI zum Einsatz von kryptographischen Verfahren (Cipher Suites). Weniger als ein Viertel der Webseiten und Mailserver setzt ausschließlich eine sichere und sehr sichere Verschlüsselung voraus. Mehr als drei Viertel lassen nach wie vor auch unsichere und sehr unsichere Verschlüsselungen zu. Insgesamt ist das Sicherheitsniveau bei den Mailservern schlechter als bei den Webservern. Beim Thema Internetsicherheit besteht damit bei den IHK-Mitgliedsunternehmen zum Ausschluss wirtschaftlicher oder rechtlicher Risiken ein deutliches Verbesserungspotenzial.
Der Test wurde unterstützt vom Institut für Internetsicherheit der Westfälischen Hochschule in Gelsenkirchen und in Kenntnis des Landesdatenschutzbeauftragten von Baden-Württemberg durchgeführt. Als Kennzahl für die Entwicklung und Innovation bei der Internetsicherheit wurde ein gewichteter Gesamtwert über alle angesprochenen Server berechnet. Diese Kennzahl und die Einzelergebnisse werden in regelmäßigen Abständen durch einen neuen Testlauf fortgeschrieben. Um das Testverfahren und die Berechnung der Kennzahl transparent zu gestalten, stellt die IHK den Code als Open Source zur Verfügung. Unternehmen, die ihr Sicherheitsniveau der Datenübertragung prüfen wollen, können den TLS-Check Code auf einem eigenen System installieren und mit ihren Adressen durchführen.
Die Ergebnisse aller anonym durchgeführter Tests sind abrufbar unter www.stuttgart.ihk.de, Dok.-Nr. 137346.
PM
