Wer regelmässig Netzwerke von kleinen und mittelgrossen Unternehmen prüft, sieht bestimmte Schwachstellen immer wieder. Nicht weil die IT schlecht ist, sondern weil im Tagesgeschäft andere Prioritäten überwiegen.
Hier sind die 10 häufigsten Schwachstellen, die bei Security-Scans von Schweizer KMU auftauchen — und was Sie dagegen tun können.
1. Veraltete Software ohne Sicherheitsupdates
Das häufigste Problem überhaupt. Windows Server 2012, PHP 7.4, Exchange 2013 — Systeme, für die es keine Patches mehr gibt. Sie laufen oft zuverlässig weiter, sind aber für bekannte Angriffe offen.
Was tun: Inventar aller Systeme erstellen, End-of-Life-Daten prüfen, Migration planen.
2. Offene RDP-Zugänge am Internet
Remote Desktop Protocol (Port 3389) direkt aus dem Internet erreichbar — eines der beliebtesten Einfallstore für Ransomware-Angriffe.
Was tun: RDP nur über VPN zugänglich machen. Wenn nicht möglich, mindestens Network Level Authentication (NLA) aktivieren und starke Passwörter erzwingen.
3. Fehlende oder falsch konfigurierte SSL/TLS-Zertifikate
Abgelaufene Zertifikate, veraltete TLS-Versionen (TLS 1.0, 1.1), schwache Cipher Suites. Oft ist ein gültiges Zertifikat vorhanden, aber die Serverkonfiguration dahinter unsicher.
Was tun: Alle extern erreichbaren Dienste auf TLS 1.2+ konfigurieren. TLS 1.0 und 1.1 deaktivieren. Zertifikate automatisch erneuern (Let’s Encrypt).
4. Default-Passwörter auf Netzwerkgeräten
Router, Switches, Drucker, NAS-Systeme — viele Geräte werden mit Standardpasswörtern ausgeliefert und nie umkonfiguriert. admin/admin, admin/password oder root/root sind keine Seltenheit.
Was tun: Alle Netzwerkgeräte inventarisieren, Standardpasswörter ändern, wo möglich zentrale Authentifizierung (RADIUS/LDAP) einrichten.
5. SNMP mit Standard-Community-String
Simple Network Management Protocol mit dem Community String „public“ oder „private“ gibt Angreifern detaillierte Informationen über die gesamte Netzwerkinfrastruktur.
Was tun: SNMP v3 mit Authentifizierung verwenden. Falls SNMP v1/v2c nötig ist, mindestens den Community String ändern.
6. Fehlende E-Mail-Sicherheit (SPF, DKIM, DMARC)
Ohne diese DNS-Einträge kann jeder E-Mails in Ihrem Namen versenden. Das erleichtert Phishing-Angriffe gegen Ihre Kunden und Mitarbeitenden.
Was tun: SPF-Record erstellen, DKIM konfigurieren, DMARC-Policy setzen. Die meisten Hosting-Provider bieten dafür Anleitungen an.
7. Offene SMB-Shares im internen Netzwerk
Windows-Dateifreigaben ohne Zugriffsbeschränkung. Oft enthalten sie sensible Daten — Lohnlisten, Verträge, Zugangsdaten — die für jeden im Netzwerk sichtbar sind.
Was tun: Zugriffsrechte auf allen Shares prüfen. „Everyone/Jeder“ als Berechtigung entfernen. Regelmässig auditieren.
8. Veraltete WordPress-Installationen und Plugins
WordPress ist das meistverbreitete CMS in der Schweiz. Veraltete Plugins sind eine der häufigsten Ursachen für Website-Kompromittierungen.
Was tun: Automatische Updates aktivieren. Nicht genutzte Plugins löschen (nicht nur deaktivieren). Regelmässig auf bekannte Schwachstellen prüfen.
9. Fehlende HTTP-Security-Headers
Viele Webserver liefern keine Security-Header wie Content-Security-Policy, X-Frame-Options oder Strict-Transport-Security aus. Das erleichtert Cross-Site-Scripting (XSS) und Clickjacking-Angriffe.
Was tun: Security-Headers in der Webserver-Konfiguration setzen. Tools wie securityheaders.com helfen bei der Überprüfung.
10. Keine regelmässigen Vulnerability Scans
Die grundlegendste Schwachstelle: Es wird nie systematisch geprüft. Viele KMU verlassen sich auf den IT-Dienstleister oder die Firewall und gehen davon aus, dass alles in Ordnung ist.
Was tun: Regelmässige automatisierte Scans einrichten. Mindestens monatlich, idealerweise wöchentlich.
Fazit
Keine dieser Schwachstellen ist exotisch. Und keine ist schwer zu beheben. Das Problem ist fast immer dasselbe: Niemand hat nachgeschaut.
Ein automatisierter Vulnerability Scan findet diese Probleme in Minuten. Ohne Spezialkenntnisse, ohne teuren Berater, ohne grossen Aufwand.
ExposIQ prüft Ihre Systeme automatisch auf alle genannten Schwachstellen und über 64’000 weitere CVEs. Gehostet in der Schweiz, Berichte in Ihrer Sprache. Testen Sie es 14 Tage kostenlos.
