Keine Sicherheit bei Onlineshop-Gütesiegel

Internationale Sicherheitskonferenz hinterfragt Qualität von Zertifizierungen für Online Shop

Internet-Shopper verlassen sich gerne auf Gütesiegel, die dem besuchten Online-Shop "Sicherheit" attestieren und Vertrauen vermitteln sollen. "Zur Sicherheit beim Online-Shoppen gehört mehr als ein einmalig verliehenes Gütesiegel, nämlich andauernde Sorgfaltspflicht des Shop-Betreibers und des Zertifizierers", warnt René Pfeiffer, Organisator der internationalen Sicherheitskonferenz DeepSec, die vom 17. bis 20. November in Wien stattfindet. Auf der DeepSec trifft sich bereits zum dritten Mal die Weltelite aus den Bereichen Network-Security und Hacking und widmet sich diesmal der Spionage und ihrer Abwehr.

Boomender Markt mit Sicherheitslücken …

Das Online-Shopping boomt: Laut dem Bundesverband des Deutschen Versandhandels e.V. wird der Versandhandel 2009 voraussichtlich, bei einem Online-Umsatz von 15,4 Mrd. Euro mit Waren, rund 53 Prozent seiner Erlöse im Internet erwirtschaften. Online-Shops werden deshalb – gerade weil sie erfolgreich sind – vermehrt Opfer von Angriffen.

"Aktuelle Fälle zeigen, dass Gütesiegel oft keinen wirklichen Schutz darstellen", sagt Sicherheitsexperte Pfeiffer. Viele Sicherheitslücken entstehen beispielsweise dann, wenn der Betreiber nach der erfolgreichen Zertifizierung noch Änderungen an seinem Shop vornimmt und ihn damit ungewollt angreifbar macht. Ebenso nachlässig ist es, wenn Gütesiegel-Anbieter Webshops nicht einmal auf die Existenz von Cross Site Scripting-Lücken (XSS) prüfen, die zum Angriff auf Kunden-Sessions führen können.

Sicherheitsexperte Pfeiffer resümiert: "Kundenschutz ist Existenzschutz". Das gelte sowohl für die Gütesiegel-Zertifizierer als auch für die Betreiber der Online-Shops hinsichtlich ihrer Endkunden.

Gütesiegel – Mehr Marketingtool als Sicherheitsvorkehrung?

"Hinter den sogenannten Gütesiegeln stecken bedauerlicherweise oft nichts weiter als automatische, von Software durchgeführte Sicherheitsscans, nach deren Bestehen ein falsches Gefühl der Sicherheit vermittelt wird", so Saumil Shah, CEO von Net-Square und Vortragender auf der DeepSec. Ein automatischer Scan sei dabei nur eine Grundlage und ersetze die regelmäßige Überprüfung durch einen Sicherheitsberater keinesfalls. Die hauptsächlichen Angriffspunkte bei Online-Shops sind laut Shah: Unsanitized Input, SQL Injection, Cross Site Scripting, Cross Site Request Forgery und Unhandled Exceptions. Diese Begriffe sollten zumindest Prüfern und Webshopentwicklern vertraut sein.

Was für Autos gilt, gilt auch für Webshops

Um die Sicherheit seines Shops sollte sich der Betreiber demnach ständig kümmern. Ein Gütesiegel, wie es momentan verbreitet ist, sei laut Pfeiffer nur eine oberflächliche Momentaufnahme mit wenig Aussagekraft. "Das wäre so, als würde man eine TÜV-Plakette für sein Auto nach Einsendung eines Fotos bekommen – und das für alle Zeiten, egal was man mit dem Wagen nach der Prüfung macht", mahnt Pfeiffer. "Richtig und selbstverständlich ist: Jeder Autofahrer muss regelmäßig bei einem Prüfer, der sich alles genau anschaut, beweisen, dass sein Fahrzeug verkehrstauglich und sicher ist. Nur dann macht ein Siegel wirklich Sinn. So ist das auch bei Online-Shops", meint Pfeiffer.

Von Exploits bis hin zu DoS-Attacken bei GSM-Netzen

In dem zweitägigen Workshop "The Exploit Laboratory" analysiert der Experte Saumil Shah wie Sicherheitsanalysen durchgeführt werden und wie Angriffe via Exploit, etwa bei Online-Shops, ablaufen können. Während der Konferenz, die unter anderem vom Microsoft Security Team, Sourcefire.com, British Bookshop, Global Knowledge, CERT.at und der Wirtschaftskammer Österreich unterstützt wird, geben Spezialisten Einblicke in heutige Sicherheitsrisiken und deren Abwehrmöglichkeiten. Weitere Themen sind DoS-Attacken auf GSM-Netze, Social Engineering, Datenklau über Twitter, eVoting, Stoned Bootkit, Cloud Computing, Datenbankangriffe, das Aushebeln von Smart Cards, angreifende USB-Treiber, Gefahr durch manipulierte Drucker-Firmware, und Sicherheitsaspekte von Software-Entwicklung.

Gedankenaustausch von Experten und Aufklärungsarbeit notwendig

Die DeepSec bringt als neutrale Plattform die Hacker-Community, IT-/Security-Unternehmen, Behördenvertreter sowie Forscher zum Gedanken- und Erfahrungsaustausch in Vorträgen und Workshops zusammen. Die Konferenz will aber auch dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind. "Vielen geht es eher darum, Sicherheitslücken aufzuzeigen und bekannt zu machen. Erst dann können sie geschlossen werden", so Pfeiffer.

Das volle Programm mit einer Zusammenfassung der Beiträge: https://deepsec.net/schedule

Anmeldung zur DeepSec unter: https://deepsec.net/register/
 

1 Comment for “Keine Sicherheit bei Onlineshop-Gütesiegel”

Marko Ennen

says:

Wir hoffen natürlich, bei unseren Kunden mit dem Trusted Shop Siegel  das Vertrauen herzustellen, was unsere Stammkunden uns auch ohne Gütesiegel entgegenbringen. Die Sicherheitsprobleme hat m.E. aber der Shopbetreiber, der sich ständig mit Sicherheitspatches herumschlagen muss. Der Kunde bekommt von dem in der Regel überhaupt nichts mit.