Über die Angreifbarkeit des aktuellen Apache-Webservers hatten wir gestern berichtet, gemeinsam mit den Hinweisen, wie man den Server absichern kann. Aus Interesse haben wir gestern und heute bei einer nicht repräsentativen Stichprobe von Servern überprüft, ob die Sicherheitslücke besteht. Diese Überprüfung ist möglich, ohne einen Angriff durchzuführen. Wir haben danach einige der betroffenen Administratoren bzw. der Verantwortlichen informiert. Die Ergebnisse sind sowohl in technischer als auch in wirtschaftlicher teilweise erschreckend:

Ergebnisse der Untersuchung

  • Fast 50% der angesprochenen Webseiten waren verwundbar, auch am 2. Tag unserer Tests hat sich dieses Ergebnis nur marginal verbessert.
  • Die großen Hoster hatten nahezu alle schnell reagiert; Webseiten, die bei diesen auf den klassischen “Shared-Hosting-Systemen” gehostet waren, waren augenscheinlich nicht durch diese Sicherheitslücke verwundbar.
  • Aber auch bei einigen großen Hostern waren Webserver verwundbar. Ob es sich um “Root-Server” etc. oder um ältere Systeme handelte,  konnte kurzfristig nicht eruiert werden.

Ergebnisse der Umfrage

Erschreckend waren die Ergebnisse, die wir bei den telefonischen Nachfragen bei den Webseitenbetreibern erhielten. Positiv war, dass sich die Mehrzahl überrascht aber aufgeschlossen zeigte und die Lücke schnell schließen wollte. Doch wir erlebten auch eine signifikante Anzahl von Aussagen wie “wenn jemand angreifen will, soll er das tun” und “das ist egal” etc.

Nehmen diese Administratoren ihren Job nicht ernst? Sind sie sich der wirtschaftlichen Risiken nicht bewusst? Teilweise muss man davon ausgehen. Doch diese Aussagen kamen auch von Administratoren und verantwortlichen Betreibern von Shops etc., auf denen mit Kundendaten agiert wird. Und hier stellt sich die Frage, was ist von solchen Firmen zu halten, die die eigene Sicherheit mit Füßen treten?