Web-Sicherheit: Zwei Drittel aller Apps greifen unnötig auf Nutzerdaten zu

Eine neue Studie enthüllt eine massive Sicherheitslücke: Fast zwei Drittel aller externen Tools auf großen Webseiten haben unnötigen Zugriff auf sensible Daten. Die Gefahr wächst rasant, besonders für kritische Infrastrukturen.

Die Untersuchung „2026 State of Web Exposure Research“ des Cybersicherheits-Unternehmens Reflectiz zeigt, dass 64 Prozent der Drittanbieter-Anwendungen unrechtmäßig auf Daten zugreifen. Das ist ein dramatischer Anstieg um 25 Prozentpunkte gegenüber dem Vorjahr. Die Studie analysierte über ein Jahr hinweg 4.700 führende Webseiten. Das Ergebnis: Die unkontrollierte Integration externer Software setzt Verbraucherdaten und Unternehmenssysteme einem enormen Risiko aus. Besonders alarmierend ist die Entwicklung bei öffentlichen Einrichtungen.

Marketing-Abteilungen als größtes Risiko

Hauptverantwortlich für die wachsende Gefahr sind Marketing- und Digital-Teams. Sie verantworten 43 Prozent des gesamten Risikos durch Drittanbieter. Tools wie Google Tag Manager (8 % der Verstöße), Shopify (5 %) und Facebook Pixel (4 %) gehören zu den Hauptübeltätern.

Passend zum Thema: 64 Prozent der Drittanbieter-Apps haben unnötigen Zugriff auf sensible Daten — eine ernstzunehmende Gefahr für Kunden und Unternehmen. Das kostenlose E‑Book “Cyber Security Awareness Trends” erklärt praxisnah, wie Sie Third‑Party‑Risiken erkennen, Mitarbeiter sensibilisieren und mit einfachen Kontrollen Angriffe verhindern – auch bei kleinen Budgets. Enthalten sind Checklisten, konkrete Maßnahmen und Umsetzungs‑Tipps, die IT‑ und Marketing‑Teams sofort nutzen können. Gratis E‑Book: Cyber‑Security‑Strategien jetzt herunterladen

Das Problem: Viele Anwendungen erhalten pauschal zu viele Rechte. Sie lesen sensible Informationen aus Datenfeldern, die sie für ihre Funktion gar nicht benötigen. Besonders kritisch sind Zahlungsseiten. Hier hatten 47 Prozent der Apps in den Checkout-Bereichen keine geschäftliche Berechtigung. Cyberkriminelle nutzen diese Schwachstelle gezielt aus. Kompromittieren sie einen einzigen Anbieter, können sie auf unzählige Webseiten zugreifen und Daten abgreifen.

Kritische Infrastrukturen im Visier

Die Sicherheitslage bei Behörden und Bildungseinrichtungen hat sich drastisch verschlechtert. Auf Regierungs-Webseiten stieg die bösartige Aktivität von 2 auf 12,9 Prozent. Im Bildungssektor zeigt jede siebte Seite (14,3 %) Anzeichen einer aktiven Kompromittierung – eine Vervierfachung innerhalb eines Jahres. Verantwortliche nennen knappe Budgets und Personalmangel als Hauptgründe für die mangelhafte Abwehr.

Die Versicherungsbranche macht dagegen vor, dass Verbesserungen möglich sind. Sie konnte die Rate bösartiger Aktivitäten um 60 Prozent auf nur noch 1,3 Prozent senken. Kompromittierte Seiten weisen klare Merkmale auf: Sie verbinden sich mit 2,7 Mal so vielen externen Domains und laden doppelt so viele Tracker wie sichere Seiten.

Die Kluft zwischen Wissen und Handeln

Trotz der akuten Bedrohung klafft eine große Lücke zwischen Problembewusstsein und konkreten Maßnahmen. Eine Befragung von über 120 Sicherheitsverantwortlichen ergab: Zwar sehen 81 Prozent webbasierte Angriffe als Top-Priorität, aber nur 39 Prozent haben wirksame Schutzmaßnahmen implementiert.

Viele Unternehmen evaluieren noch immer nur Tools oder verlassen sich auf allgemeine Sicherheitslösungen. Diese sind für die spezifischen Risiken durch Drittanbieter-Skripte jedoch ungeeignet. Mehr als die Hälfte aller Organisationen hat keinen ausreichenden Schutz vor client-seitigen Bedrohungen. Die größten Hindernisse sind Budgetgrenzen (34 %), regulatorische Komplexität (32 %) und Personalmangel (31 %).

Strengere Regularien und KI als Risikoverstärker

Die Studie erscheint in einer Zeit verschärfter Datenschutzregularien. Gesetze wie der California Consumer Privacy Act (CCPA) werden rigoroser durchgesetzt. Die finanziellen und reputativen Kosten eines Datenschutzvorfalls durch Drittanbieter steigen stetig. Die Abhängigkeit von externen Dienstleistern – von Zahlungsabwicklern bis zu Analyse-Tools – bedeutet: Die Angriffsfläche eines Unternehmens wird nicht mehr durch die eigenen Grenzen, sondern durch die Sicherheit des schwächsten Partners definiert.

Experten warnen zudem vor der künstlichen Intelligenz. Sie wird das Problem potenzieren, indem sie die Angriffsfläche vergrößert und gleichzeitig Angreifern mehr Geschwindigkeit und Skalierung ermöglicht. Ein robustes Third-Party Risk Management (TPRM) wird damit unverzichtbar.

Weg vom reagierenden zum proaktiven Schutz

Die Lösung erfordert einen grundlegenden Wandel. Unternehmen müssen von reaktiver Abwehr zu proaktiver Governance übergehen. Gefordert wird ein Zero-Trust-Modell für alle externen Integrationen und eine kontinuierliche Überwachung aller Drittanbieter-Tools.

Praktische Maßnahmen sind die Echtzeit-Überwachung des Anwendungsverhaltens und strengere technische Zugriffskontrollen. Entscheidend ist zudem eine Sicherheitskultur in allen Abteilungen – besonders im Marketing. Neue Apps müssen auf Sicherheit geprüft werden, bevor sie zum Einsatz kommen. In einer immer komplexeren digitalen Lieferkette ist eine Webseite nur so sicher wie ihr unsicherster externer Partner. Ohne entschlossenes Handeln bleiben Unternehmen und öffentliche Einrichtungen leichte Ziele für umfassende Datenlecks.

PS: Künstliche Intelligenz erhöht die Geschwindigkeit und Skalierung von Web‑Angriffen — jetzt proaktiv handeln. Der kostenlose Leitfaden “Cyber Security Awareness Trends” liefert schrittweise Sicherheitsmaßnahmen, einen Schulungsplan für Mitarbeitende und pragmatische Kontrollen, die Sie sofort umsetzen können. Ideal für Marketing‑, Digital‑ und Sicherheits‑Teams, die ihre Third‑Party‑Governance stärken und Datenlecks vorbeugen wollen. Jetzt kostenlosen Cyber‑Security‑Leitfaden anfordern