Sicherheitsrisiken online: Die Branche schlägt zurück
Jüngste Cyber-Angriffe gegen den Bundestag und diverse Nachrichtenseiten beweisen, dass niemand immun ist. Da ist es nicht überraschend, dass immer mehr Unternehmen hier einen neuen Schwerpunkt setzen. Allein in den letzten zwei Jahren ist die Anzahl von Börsenunternehmen, die Sicherheitsbedrohungen zu ihren geschäftlichen Risiken zählen, um 73 % angestiegen.
Digitale Sicherheitsrisiken treten in vielen Formen auf. Eine der gängigsten, aber unbekanntesten Gefahren lauert in Sicherheitslücken, die durch Marketing-Tags entstehen. Um ein besseres Verständnis des Kundenverhaltens zu gewinnen und dabei die Personalisierung und Bindung zu verbessern, nutzen Unternehmen eine immer komplexere Mischung aus Marketingtechnologien, wie A/B-Testing-Tools, Widgets zur Teilung auf sozialen Medien und Plug-Ins zur Analyse. Diese Technologien werden jedoch oft schlecht verwaltet. Unternehmen haben kaum einen Überblick, welche Anbieter auf ihren Seiten aktiv sind und welche Auswirkungen das haben kann.
Was sind also die potenziellen Konsequenzen unkontrollierter und unautorisierter Tags und wie kann man solche Risiken vermeiden?
Eine Studie von Ghostery hat gezeigt, dass 96 % aller Domänen über Sicherheitslücken durch unsichere Tags verfügen, die oft indirekt von Piggybacking auf autorisierten Anbietern von Viert- und Fünftparteien platziert wurden. Diese unsicheren Tags erlauben Hackern, Man-in-the-Middle-Angriffe durchzuführen, wobei der Code für schädliche Zwecke wie die Sammlung personenbezogener Daten oder Veröffentlichung ungeeigneter Inhalte geändert wird. Das ist vor allem dann bedenklich, wenn unsichere Tags auf geschützten Seiten für angemeldete Nutzer auftauchen, wo vertrauliche Daten und Zahlungsdetails eingegeben werden. Sicherheitsverletzungen online können mehrere Konsequenzen haben:
Direkte finanzielle Auswirkungen
Die offensichtlichste Konsequenz sind direkte finanzielle Einbußen des Unternehmens. Dem Global Cyber Impact Bericht des Ponemon-Instituts zufolge erlitt über ein Drittel (37 %) aller Unternehmen in den letzten zwei Jahren eine signifikante Verletzung. Im Schnitt kostete sie das 2,1 Millionen $. Zu den direkten Kosten gehören Rechtsgebühren, die Kosten zur Benachrichtigung der Opfer, Einkommensverluste, Untersuchungskosten, um nur einige zu nennen.
Rufschädigung
Neben den direkten Kosten bringt eine Sicherheitsverletzung durch unsichere Tags aber auch indirekte finanzielle Konsequenzen mit sich. Schädigungen am Ruf des Unternehmens ziehen weite Kreise. Oft wechseln Kunden zu Wettbewerbern, die sie als vertrauenswürdiger sehen. Sogar wenn der Browser unsichere Inhalte blockiert – und somit eine Verletzung und einen Datenverlust vermeidet – führt die Anwesenheit unsicherer externer Technologien auf geschützten Websites oft zu Inhaltswarnungen, die am Kundenvertrauen nagen. Fast 60 % aller Online-Shopper verlassen die Seite, wenn sie eine solche Warnung erhalten.
Schlechtere Rangfolge bei Suchergebnissen
Die Sicherheit einer Website wird mittlerweile von Suchmaschinenalgorithmen bei der Berechnung der Suchergebnisse in Betracht gezogen. Google verwendet HTTPS als Ranking-Signale und durch Anbieter-Tags verursachte Inhaltswarnungen vermitteln, dass eine Seite über sowohl sichere HTTP-Inhalte als auch unsichere HTTP-Inhalte verfügt, was das Ranking verschlechtert. Sicherheit fällt als Ranking-Signal im Moment zwar nicht allzu schwer ins Gewicht, wird aber in Zukunft wahrscheinlich an Bedeutung gewinnen. Die Auswirkung unsicherer Technologien auf Suchergebnisse kann nur zunehmen.
Die Konsequenzen unsicherer Anbietertechnologien klingen vielleicht extrem, können aber durch einfache Verbesserungen bei der Tags-Verwaltung auf einer Unternehmens-Website abgeschwächt werden. Als Allererstes sollten Unternehmen ein Anbieter-Audit durchführen, um alle aktiven Technologien auf ihren Seiten zu identifizieren. Ein Live-Scan ist ein guter Anfang und kann überraschende Ergebnisse liefern. Anschließend sollte das Unternehmen erwägen, alle überflüssigen oder unautorisierten Tags von seinen Webseiten zu entfernen. Wenn nur noch autorisierte Tags übrig sind, sollte das Unternehmen die Betreuung aller Technologien eines bestimmten Anbieters einem Mitarbeiter übertragen, der jegliche Probleme so schnell wie möglich löst. Als letzten Schritt sollte das Unternehmen strenge Regeln für Anbieter erlassen, die z. B. die Anzahl der Tags von Drittparteien einschränken und regulieren, wo die Tags platziert werden und welche Daten sie sammeln können.
In einem Zeitalter, in dem Cyber-Angriff immer gängiger werden, müssen Unternehmen die potenziellen Konsequenzen unkontrollierter Anbieter-Technologien verstehen. Mit der richtigen Handhabung können sie aber nach wie vor die unbestrittenen Vorteile dieser Technologien nutzen, ohne ihre Online-Sicherheit aufs Spiel zu setzen.
Autor: Damian Scragg, Geschäftsführer EMEA, Ghostery
Digitale Sicherheitsrisiken treten in vielen Formen auf. Eine der gängigsten, aber unbekanntesten Gefahren lauert in Sicherheitslücken, die durch Marketing-Tags entstehen. Um ein besseres Verständnis des Kundenverhaltens zu gewinnen und dabei die Personalisierung und Bindung zu verbessern, nutzen Unternehmen eine immer komplexere Mischung aus Marketingtechnologien, wie A/B-Testing-Tools, Widgets zur Teilung auf sozialen Medien und Plug-Ins zur Analyse. Diese Technologien werden jedoch oft schlecht verwaltet. Unternehmen haben kaum einen Überblick, welche Anbieter auf ihren Seiten aktiv sind und welche Auswirkungen das haben kann.
Was sind also die potenziellen Konsequenzen unkontrollierter und unautorisierter Tags und wie kann man solche Risiken vermeiden?
Eine Studie von Ghostery hat gezeigt, dass 96 % aller Domänen über Sicherheitslücken durch unsichere Tags verfügen, die oft indirekt von Piggybacking auf autorisierten Anbietern von Viert- und Fünftparteien platziert wurden. Diese unsicheren Tags erlauben Hackern, Man-in-the-Middle-Angriffe durchzuführen, wobei der Code für schädliche Zwecke wie die Sammlung personenbezogener Daten oder Veröffentlichung ungeeigneter Inhalte geändert wird. Das ist vor allem dann bedenklich, wenn unsichere Tags auf geschützten Seiten für angemeldete Nutzer auftauchen, wo vertrauliche Daten und Zahlungsdetails eingegeben werden. Sicherheitsverletzungen online können mehrere Konsequenzen haben:
Direkte finanzielle Auswirkungen
Die offensichtlichste Konsequenz sind direkte finanzielle Einbußen des Unternehmens. Dem Global Cyber Impact Bericht des Ponemon-Instituts zufolge erlitt über ein Drittel (37 %) aller Unternehmen in den letzten zwei Jahren eine signifikante Verletzung. Im Schnitt kostete sie das 2,1 Millionen $. Zu den direkten Kosten gehören Rechtsgebühren, die Kosten zur Benachrichtigung der Opfer, Einkommensverluste, Untersuchungskosten, um nur einige zu nennen.
Rufschädigung
Neben den direkten Kosten bringt eine Sicherheitsverletzung durch unsichere Tags aber auch indirekte finanzielle Konsequenzen mit sich. Schädigungen am Ruf des Unternehmens ziehen weite Kreise. Oft wechseln Kunden zu Wettbewerbern, die sie als vertrauenswürdiger sehen. Sogar wenn der Browser unsichere Inhalte blockiert – und somit eine Verletzung und einen Datenverlust vermeidet – führt die Anwesenheit unsicherer externer Technologien auf geschützten Websites oft zu Inhaltswarnungen, die am Kundenvertrauen nagen. Fast 60 % aller Online-Shopper verlassen die Seite, wenn sie eine solche Warnung erhalten.
Schlechtere Rangfolge bei Suchergebnissen
Die Sicherheit einer Website wird mittlerweile von Suchmaschinenalgorithmen bei der Berechnung der Suchergebnisse in Betracht gezogen. Google verwendet HTTPS als Ranking-Signale und durch Anbieter-Tags verursachte Inhaltswarnungen vermitteln, dass eine Seite über sowohl sichere HTTP-Inhalte als auch unsichere HTTP-Inhalte verfügt, was das Ranking verschlechtert. Sicherheit fällt als Ranking-Signal im Moment zwar nicht allzu schwer ins Gewicht, wird aber in Zukunft wahrscheinlich an Bedeutung gewinnen. Die Auswirkung unsicherer Technologien auf Suchergebnisse kann nur zunehmen.
Die Konsequenzen unsicherer Anbietertechnologien klingen vielleicht extrem, können aber durch einfache Verbesserungen bei der Tags-Verwaltung auf einer Unternehmens-Website abgeschwächt werden. Als Allererstes sollten Unternehmen ein Anbieter-Audit durchführen, um alle aktiven Technologien auf ihren Seiten zu identifizieren. Ein Live-Scan ist ein guter Anfang und kann überraschende Ergebnisse liefern. Anschließend sollte das Unternehmen erwägen, alle überflüssigen oder unautorisierten Tags von seinen Webseiten zu entfernen. Wenn nur noch autorisierte Tags übrig sind, sollte das Unternehmen die Betreuung aller Technologien eines bestimmten Anbieters einem Mitarbeiter übertragen, der jegliche Probleme so schnell wie möglich löst. Als letzten Schritt sollte das Unternehmen strenge Regeln für Anbieter erlassen, die z. B. die Anzahl der Tags von Drittparteien einschränken und regulieren, wo die Tags platziert werden und welche Daten sie sammeln können.
In einem Zeitalter, in dem Cyber-Angriff immer gängiger werden, müssen Unternehmen die potenziellen Konsequenzen unkontrollierter Anbieter-Technologien verstehen. Mit der richtigen Handhabung können sie aber nach wie vor die unbestrittenen Vorteile dieser Technologien nutzen, ohne ihre Online-Sicherheit aufs Spiel zu setzen.
Autor: Damian Scragg, Geschäftsführer EMEA, Ghostery