Codepurple Logo Codepurple Logo Codepurple Logo
  • Dienstleistungen
  • Blog
  • Über uns
  • Kontakt
  • de
  • /

  • en
  • Sprache:

  • de
  • /

  • en

State of the Swiss web Q1 2022

Veröffentlicht am: 28. März 2022
Autor: David Peyer

Wie ist der allgemeine Zustand der Schweizer Internet-Landschaft? In dieser Blogreihe analysiere ich meine Erfahrungen aus den letzten drei Monaten. Ziel ist es eine kurze Übersicht zu erhalten, wo die momentanen Probleme von Schweizer Webapplikationen und Mobilen Apps liegen.

Bei unserer täglichen Arbeit kommen wir laufend in Kontakt mit diversen Sicherheitslücken und Sicherheitsmängel. Diese Daten sammeln wir für interne Analysen und einen Teil davon fasse ich in diesem Bericht zusammen.

SOSW

Testsample 50 Webapplikationen

In den vergangenen drei Monaten haben wir 50 zufällig ausgewählte Webapplikationen von Schweizer KMUs kurz unter die Lupe genommen. Dabei fanden wir ohne grosse Anstrengung, innerhalb von 5 Minuten, mittlere bis schwerwiegende Probleme.

Alle Resultate sind hier anonymisiert aufgeführt. Die betroffenen Firmen wurden informiert.

Die Top 5 der Probleme werden einzeln beschrieben. Alle anderen sind am Schluss in der Zusammenfassung ersichtlich.

Top 5 Sicherheitslücken und Sicherheitsmängel

Firma I

KMU in der Lebensmittelbranche; ~250 Mitarbeiter; Umsatz ca. CHF 100Mio

Befund:

Kompletter Kundenstamm, Datenbank-Backups und Bestellungen konnten öffentlich eingesehen und verändert werden.


Firma II

KMU mit digitalem Service in der Mobilitätsbranche; mehr als 100k Downloads im Google Play Store

Befund:

Webapp: Interne Bestimmungen, Anleitungen und Sitzungsprotokolle konnten öffentlich eingesehen werden.

Mobile App / API IDOR: Auflistung von Kundendaten und Spezialbewilligungen.


Firma III

International tätiges Unternehmen aus der Schweiz in der Medizinalbranche; Umsatz ca. CHF 2Mia.

Befund:

Webseite: Lizenzierte Inhalte eines Lexikons öffentlich verfügbar.


Firma IV

KMU tätig in der Softwareentwicklung; 35 Mitarbeiter

Befund:

Webseite: Öffentlich zugängliche Analyticsdaten von Kundenwebseiten

Webseite: Öffentlich zugängliches Build-System mit Kundenlisten und Programm-Downloads


Firma V

Firma in der Tourismusbranche; Mitarbeiter ~1000; Umsatz CHF 90Mio

Befund:

Mobile App / API IDOR: Bewegungsprofile der Kunden, Auswertungen zu Kundenverhalten, Umsatz und Auslastung konnten mit frei zugänglichen Daten erstellt werden.

Wordcloud

Zusammenfassung

Veraltete oder falsche DNS-Einträge: 3 von 50 Stück
Abgelaufene oder falsche Zertifikate: Produktiv im Einsatz 2 von 50 Stück
Bei Testsystemen waren ca. 32% der Zertifikate falsch oder abgelaufen
Veraltete Server Software: 1 von 50 Stück (Windows 2008 R2)
Directory-Listing: 2 von 50 Stück
Sensitive Data Exposure: 6 von 50 Stück
API IDOR: 3 von 50 Stück
Codepurple KI-Scanner

Erkenntnisse aus KI-Scanner

Besucher unserer Webseite können mit Hilfe unserer eigens entwickelten künstlichen Intelligenz (KI) ihre Webapplikation gratis überprüfen. Dieses schnelle Review ergibt einen guten Überblick über den Stand der Applikation. Die Applikation wird von A-F bewertet.

Zusammengefasst können wir über alle Scans sagen, dass C die Durchschnittsnote ist. Über alle Scans sorgen fehlende Security-Header für den grössten Abzug.

Kontaktieren Sie uns unverbindlich:

Gerne beraten wir Sie zu Cybersecurity-Themen.

Weitere Blog-Beiträge

Folgende Blog-Beiträge könnten Sie interessieren:

  • 3/4 Passkeys: Sicherheit
  • Top 3 Findings unserer Cyber-Security-Reviews
  • "Technical Dept" und Cyber-Security

Ein 8-stelliges Passwort mit Nummern, Gross- und Kleinbuchstaben und Sonderzeichen kann in unter einer Stunde geknackt werden.

Quelle: Hive Systems

Guten Tag

X

Gerne beraten wir Sie zu Cybersecurity-Themen.

Kontaktieren Sie uns unverbindlich:

Sprechblase

Haben Sie Fragen oder wünschen Sie einen Termin?

Kathrin Müller freut sich auf Ihre Kontaktaufnahme und organisiert je nach Bedürfnis gerne ein Meeting.

Kontakt

nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon

+41 79 823 45 30
rhino@codepurple.ch

Folgen Sie uns

Linekdin

Impressum| Datenschutz| © Codepurple 2025. Alle Rechte vorbehalten