(openPR) Cyberkriminelle nutzen Sicherheitslücken in Websites, um Daten zu stehlen, Server mit veralteten WordPress-Installationen für Spam-Kampagnen oder DDoS-Angriffe zu nutzen oder fremde Websites zum Aufbau von Fake-Shops zu nutzen. Um Schwachstellen zu schließen und so die Risiken zu minimieren, stellen die Anbieter:innen von Content-Management-Systemen (CMS) ihren Kund:innen regelmäßig neue Sicherheitsupdates bereit. „Leider werden diese Updates von vielen Websitebetreiber:innen nicht oder nicht regelmäßig gemacht“, erklärt Maria Hellenthal. Warum dieses vermeidbare Risiko eingegangen wird, hat das Forscherteam anhand veralteter WordPress-Seiten und Interviews mit deren Betreiber:innen untersucht. Zudem hat das Team mit Webentwickler:innen und Hosting-Providern gesprochen, um deren professionelle Perspektiven einzubeziehen. „Wir haben Wordpress gewählt, weil es mit mehr als 60 Prozent Marktanteil weltweit derzeit das verbreitetste CMS ist“, sagt Hellenthal.
Fehlende Updates: Ursachen und Hindernisse
Dass Sicherheitsupdates nicht regelmäßig gemacht werden, ist nicht nur im Fall von Wordpress ein Problem: „Wir sehen dieses Phänomen im gesamten Online-Ökosystem“, so Hellenthal. Ein häufig genannter Grund, der auch in Hellenthals Studie auftaucht, ist mangelndes Risikobewusstsein: „Viele Website-Betreiber:innen erkennen nicht, dass Cyberangriffe nicht nur ihnen schaden, sondern der gesamten Netz-Gemeinschaft. Wenn eine Seite gehackt wird, können nicht nur deren Besucher:innen geschädigt werden, sondern auch andere Website-Betreiber:innen und Hosting-Provider – sprich die gesamte Online-Community“, so die Forscherin. Weitere Hindernisse für regelmäßige Updates seien die Angst, dass diese zu Problemen führen könnten, oder dass Zusatzkosten durch Updates anfallen, etwa weil danach nicht mehr alle Plug-Ins funktionieren.
Zwei der in der Studie von Hellenthal identifizierten Gründe wurden in der vorherigen Fachliteratur nicht explizit fürs Nicht-Updaten erwähnt: „Für das Updateverhalten scheint auch ein wichtiger Faktor zu sein, was die Website den Betreiber:innen bedeutet. Wer einen Online-Shop betreibt und für den die Website die Haupteinkommensquelle ist, misst ihr einen anderen Stellenwert bei, als sagen wir mal ein Kleinunternehmer, der über die Seite nur Infos weitergibt und sein Geschäft eher auf Mund-zu-Mund-Propaganda stützt. In beiden Fällen können Updates vernachlässigt werden, allerdings lassen sich Betreiber:innen, denen ihre Seite noch etwas bedeutet, vermutlich eher durch gezielte und verständlich formulierte Hinweise auf potentielle Schwachstellen zum Aktualisieren der Seiten bewegen“, so die Forscherin.
Ein weiteres Problem kann sich laut der Studie ergeben, wenn die Betreuung von Websites an Externe ausgelagert wird. „Die Übergabe der Websitebetreuung an eine erfahrenere Person sollte Vorteile bringen – kann aber auch Nachteile haben. Wir haben zum Beispiel in mehreren Fällen gesehen, dass es zu einer Verantwortungsdiffusion kommen kann, wenn die Betreuungsaufgaben nicht ganz klar geregelt, vergütet und vertraglich beschrieben sind. Niemand fühlt sich wirklich zuständig.“ Zudem sagte einer der Befragten, dass er oftmals überfordert war, wenn ein Externer ihm Plug-Ins eingebaut hat, mit denen er nicht umgehen konnte und die Systeme so plötzlich zu komplex wurden. „Und natürlich spielt Geld eine Rolle. Viele können sich keine Agentur leisten, die sich um die Aufgaben kümmert. Technik-affine Freunde werden in manchen Fällen nur gefragt, wenn es sich nicht vermeiden lässt“, erklärt Hellenthal.
Sicherheitswarnungen werden häufig ignoriert
Seit Langem versuchen Sicherheitsexpert:innen, Betreiber:innen mit Schwachstellen-Benachrichtigungen zu Updates zu bewegen – oft mit mäßigem Erfolg. „Es gibt Studien, die sich damit beschäftigen, warum die Benachrichtigungen so oft ignoriert werden und wie sie gestaltet werden müssen, um eine größere Wirkung zu erzielen. Unsere Studie zur Frage, warum die Sicherheit der Systeme überhaupt erst vernachlässigt wird, kann uns helfen, besser zu verstehen, wen wir mit den Benachrichtigungen überhaupt noch erreichen können“, sagt Hellenthal. Um das Sicherheitsniveau von Wordpress-basierten Websites nachhaltig zu verbessern, reicht es laut der Forscherin aber nicht aus, nur auf Sicherheitswarnungen zu setzen.
Wie lassen sich Risiken mindern?
Die Forscherin sieht auch Verantwortung bei den CMS-Anbieter:innen: „Sie könnten zum Beispiel Sicherheitslösungen wie Static-Site-Generatoren, in denen keine unnötigen sicherheitsrelevanten Komponenten enthalten sind, deutlich benutzerfreundlicher gestalten. Zudem sollten sie ihre Kund:innen besser und in einer für Laien verständlicheren Art über die Risiken aufklären, die sie eingehen, wenn sie automatische Sicherheitsupdates deaktivieren“, sagt Hellenthal. Ebenfalls hilfreich könnten laut der Forscherin auch öffentliche Anerkennungsprogramme für sichere Websites sein.
Qualitative Forschung liefert neue Einblicke
Für die Studie wurden 19 Personen interviewt. Wie aussagekräftig ist das? „Bei qualitativer Forschung geht es nicht um Generalisierbarkeit, sondern darum, Handlungsmuster zu identifizieren", erklärt Hellenthal. „Auf dieser Basis können wir Theorien entwickeln und sie in weiteren quantitativen Studien testen oder – wie in diesem Fall – unter Berücksichtigung der Gründe für ausbleibende Updates schon erste Verbesserungsstrategien erarbeiten.“ Das interdisziplinäre Projekt ist aus einer gemeinsamen Forschungsidee von IT-Sicherheitsforscher und CISPA-Faculty Dr. Ben Stock und dem Leiter der Abteilung Empirical Research Support, dem Psychologen Dr. Michael Schilling, entstanden. Die Forschungsarbeit stützt sich auf die Masterarbeiten von Lena Gotsche und Sarah Kugel, beide Psychologinnen. Soziologe Dr. Rafael Mrowczynski brachte seine Expertise in der qualitativen Forschungsmethodik ein. „Wir haben uns methodisch und technisch perfekt ergänzt", resümiert Hellenthal, die am CISPA im Team Empirical Research Support arbeitet und IT-Sicherheitsforschende in Methodikfragen und beim Design von Studien unterstützt. „Ich komme aus der experimentellen kognitiven Psychologie und mache schon immer eher angewandte Forschung. Damit war ich lange eher eine Außenseiterin an ihrer meiner ehemaligen Hochschule. Am CISPA kann ich meine Fähigkeiten in einem hoch interessanten Bereich einbringen.“
wissenschaftliche Ansprechpartner:
