Viele Unternehen betreiben ihren eigenen Web-Server.
Ständig werden neue Sicherheitslöcher im Betriebssystem und Web-Server gefunden. Diese werden veröffentlicht und nach einiger Zeit folgen dann auch entsprechende Patches und Updates um diese Lücken zu schließen.

Die ständige Pflege der Systeme ist teilweise sehr zeitaufwendig und für den normalen User auch nicht immer leicht umzusetzen. Teilweise gibt es auch schon Programme um dies ein wenig zu vereinfachen.
Leider sehen die meisten Unternehmen diese Sicherheitsrisiken nicht als große Gefahr an:
"Wir haben ja eine gute Firewall die gepflegt wird".

In der Praxis sieht es oft so aus:
Web-Server, aber auch Firewalls, laufen in vielen Firmen in der Grundkonfiguration. Die von Herstellern empfohlenden Patches werden nicht immer, oder gar nicht, eingespielt.
Eine Firewall kann die Sicherheitslücken von einem Betriebssystem oder von dem Web-Server nicht erkennen!
Diese Nachlässigkeit kann den Unternehmen, und auch den Kunden, unter Umständen teuer zu stehen kommen. Denn ist erstmal ein Sicherheitsloch endeckt und veröffentlicht, dauert es nicht lange bis im Internet ein entsprechendes Programm zum dload bereit steht, das genau diese Lücken ausnutzt, um Zugang zu den Systemen zu bekommen.
Gelöschte Firmendaten können Tausende von Euro kosten, schlimmstenfalls die Existenz.

Aber auch als Kunde kann man auch den schwarzen Peter haben. Siehe Onlinebanking.
Es gibt immer wieder Firmen die Daten von Kunden auf ihren Web-Server speichern. Teilweise sogar unverschlüsselt. Angreifer freuen sich über solche Informationen.
Oft sieht man bei eingelogten Session im Web seine Kundennummer in der URL. Setzt man dort eine andere ein bekommt man in der Regel Daten eines anderen Kunden angezeigt. Das ist einfach eine schlampige Programierung. Solchen Firmen kann man seine persöhnlichen Daten nicht anvertrauen.
Und dann gibt es noch die ganz netten Programierer. Die bauen dann auf den Webseiten noch einen extra Button ein, um mit einer anderen Kundennummer Daten abzufragen. Das ist Service. Fragt sich nur ob diese Funktion so sinvoll ist. Die Hacker haben dann jedenfalls nichts mehr zu tun. Es ist dann ja sowieso nichts mehr versteckt.