Analyse

05. Februar 2019 19:24; Akt: 05.02.2019 19:24 Print

So sicher sind die 1000 wichtigsten .ch-Adressen

Wie gut sind Web-Angebote von Zalando, SBB und Migros gegen Angriffe geschützt? Die Stiftung Switch hat die Top-1000-Websites der Schweiz untersucht.

Bildstrecke im Grossformat »
Die Filmfigur Hackerman aus «Kung Fury» ist keine echte Bedrohung für das reale Internet. Wer im Internet surft, gerade auch auf beliebten Websites, setzt sich als Nutzer aber auch Gefahren aus. So können Plattformen infiziert sein oder man befindet sich unter Umständen gar nicht auf der Website, die man eigentlich besuchen wollte. Eine grosse Zielscheibe für Angriffe sind bei den Nutzern beliebte Websites wie etwa Amazon.com oder Netflix.com. Sie zählen zu den Top-500 Diensten im Internet. Die Stiftung Switch hat untersucht, wie gut geschützt die 1000 beliebtesten Domains mit .ch-Endung sind. Die Analyse zeigt: Es gibt noch Nachholbedarf. Erfreulich: Über 90 Prozent der untersuchten Domains verwenden das Https-Protokoll und bieten damit eine verschlüsselte Übertragung von Daten. 2018 war es noch ein Drittel weniger. Der Bericht zeigt, wie Betreiber vorhandene Sicherheitsstandards umgesetzt haben. So wurde rund ein Viertel der Web-Dienste als «gut konfiguriert» eingestuft. Einen Nachholbedarf sieht Switch unter anderem beim sogenannten DNSSEC. Dieser Schutz ist erst bei 3 Prozent der Top-1000-.ch-Adressen aktiviert. Als Vergleich: In den Niederlanden sind mehr als 3 der total 5,8 Millionen .nl-Adressen auf diese Art digital signiert. «Um den Anschluss nicht zu verlieren, braucht es eine zügige Umsetzung der vom Bundesrat beschlossenen Massnahmen», sagt Martin Leuthold, Leiter des Geschäftsbereichs Security und Network bei Switch. «Im Handlungsfeld Cyber-Sicherheit tummeln sich aber sehr viele Akteure», mahnt Leuthold. Dies erschwere eine zügige Umsetzung der Massnahmen. Auch weil es weiterhin an einer stärkeren Koordination mangle.

Zum Thema
Fehler gesehen?

2,2 Millionen Web-Adressen in der Schweiz haben eine Endung auf .ch. Google.ch, Postfinance.ch, Swisslos.ch, Eth.ch, Admin.ch, Css.ch, aber auch 20minuten.ch – diese Adressen gehören laut Switch (siehe Box) zu den Top 1000 und damit zu den wichtigsten im Schweizer Internet. Doch sind sie auch sicher? Oder können Angreifer ganze Domains entführen oder im Namen von fremden Firmen einfach Mails verschicken? Eine aktuelle Analyse von Switch zeigt, dass es Nachholbedarf gibt.

Umfrage
Wurden Sie auch schon Opfer von Hackern?

Der Bericht listet auf, wie Betreiber vorhandene Sicherheitsstandards umgesetzt haben. So wurde rund ein Viertel der Web-Dienste als «gut konfiguriert» eingestuft. Bei den E-Mail-Servern sind es 19 Prozent. Im Vergleich mit den globalen Top-500-Websites – dazu zählen zum Beispiel Amazon.com oder Netflix.com – schneiden die .ch-Adressen insgesamt leicht schlechter ab.

Windows XP

Gerade im letzten Jahr hat sich aber viel getan. So nutzen zurzeit über 90 Prozent der Schweizer Top-Dienste das Https-Protokoll. Dabei werden Daten verschlüsselt übertragen. Anfang 2018 lag der Wert hier bei 60 Prozent. «Das hat damit zu tun, dass aktuelle Browser Websites als unsicher einstufen, wenn sie kein Https bieten», erklärt Michael Hausding, Experte für Domain-Missbrauch bei Switch.

Mit einem überdurchschnittlich guten Resultat schneiden die drei getesteten Web-Dienste des Bundes ab. So ist hier ein grosser Teil der Standards eingesetzt, darunter auch das sogenannten HSTS, das unter anderem gegen das Entführen von Domainnamen schützt. Eher unter dem Schnitt bewegen sich Dienste rund um die Finanzbranche.

«Das hängt allerdings damit zusammen, dass oft veraltete Verschlüsselungsverfahren eingesetzt werden, um ältere Systeme wie Windows XP noch zu unterstützen», sagt Hausding. Zur Erinnerung: Microsoft hat das XP-Betriebssystem 2001 veröffentlicht und den Support 2014 eingestellt.

Politik in der Pflicht

Zwar seien Schweizer Behörden und teilweise auch schon die Wirtschaft mittlerweile gut gegen Hackerangriffe gewappnet. «Um den Anschluss nicht zu verlieren, braucht es aber eine zügige Umsetzung der vom Bundesrat beschlossenen Massnahmen», erklärt Martin Leuthold, Leiter des Geschäftsbereichs Security und Network bei Switch.

Er meint damit die zweite Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken (NCS), die der Bundesrat im April 2018 verabschiedete. Mit der NCS 2018-2022 will die Landesregierung der steigenden Bedrohung durch Internetkriminalität Rechnung tragen und gemeinsam mit der Wirtschaft, den Kantonen sowie den Hochschulen entsprechende Massnahmen umsetzen. «Im Handlungsfeld Cyber-Sicherheit tummeln sich aber sehr viele Akteure», mahnt Leuthold. Dies erschwere eine zügige Umsetzung der Massnahmen. Auch weil es weiterhin an einer stärkeren Koordination mangle.

Den Tatbeweis, dass man die Gefahren ernst nehme, müsse der Bundesrat aber erst noch mit dem Budget 2020 erbringen. Dann entscheidet sich laut Leuthold, ob die Landesregierung gewillt ist, die entsprechenden Mittel zu sprechen. «Ist dies der Fall, bin ich überzeugt, dass wir das Thema Internetsicherheit in der Schweiz auch zum Standortfaktor machen können», gibt sich der Experte zuversichtlich.

(tob/sda)

Kommentarfunktion geschlossen
Die Kommentarfunktion für diese Story wurde automatisch deaktiviert. Der Grund ist die hohe Zahl eingehender Meinungsbeiträge zu aktuellen Themen. Uns ist wichtig, diese möglichst schnell zu sichten und freizuschalten. Wir bitten um Verständnis.

Die beliebtesten Leser-Kommentare

  • marko 34 am 05.02.2019 21:37 via via Mobile Report Diesen Beitrag melden

    Wirklich

    Wirklich

Die neusten Leser-Kommentare

  • marko 34 am 05.02.2019 21:37 via via Mobile Report Diesen Beitrag melden

    Wirklich

    Wirklich