BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat sich in einer aktuellen Studie mit dem Sicherheitsniveau von Onlineshops beschäftigt. Dabei trat zutage, dass auch bei renommierten und hoch frequentierten Shops teilweise eklatante Sicherheitslücken zu beklagen sind. Gleichwohl sind die User, die in den Shops einkaufen, erstaunlich blauäugig, was den Umgang mit ihren personenbezogenen Daten angeht.

Online-Shopper kennen das Prozedere: Für einen erfolgreich abgeschlossenen Einkauf im Internet bedarf es einer Kontoerstellung beim Shopbetreiber. Hier sind ausschließlich Daten gefordert, die ohne Ausnahme besonders schützenswert gemäß der Datenschutzgrundverordnung sind. Name, Adresse, Geburtsdatum und selbstverständlich finanzielle Daten für die Kaufabwicklung sind Bestandteil des Kundenkontos, ebenso die Kaufhistorie sowie Bestelldetails wie Stornos oder Retouren. Diese Daten sind in den düsteren Bereichen des Internets sehr begehrt, folglich sind entsprechende Datenbanken höchst beliebte Ziele von Hackern und Cyberkriminellen.

Shopsoftware wurde unter die Lupe genommen: 78 eklatante Schwachstellen

Nachdem dem BSI in den vergangenen Jahren immer mehr Vorfälle von verunsicherten Verbrauchern vorgetragen worden waren, wollte die Sicherheitsbehörde nun mit wissenschaftlichen Methoden der Frage auf den Grund gehen, wie es um die Sicherheit beim Onlineshopping tatsächlich bestellt ist. Untersucht wurden die gängigsten Shop-Software-Lösungen, die die meisten Shopbetreiber als Grundlage für ihre Geschäft nutzen. Im Kern der Untersuchung ging es um den tatsächlichen Schutz der einzelnen Produkte vor sogenannten Datenleaks-Unfällen – Vorfällen also, bei denen dem Shopbetreiber unfreiwillig die Daten seiner Kunden entwendet werden.

Bei der Untersuchung der zufällig ausgewählten Shops wurden stattliche 78 eklatante Sicherheitsmängel festgestellt, die erheblichen Einfluss auf die Sicherheit der überprüften Systeme hatten. Die Verantwortlichkeit liegt dabei ganz klar bei den Hersteller-Firmen der Software-Module. Diese müssten schon vor der Marktreife ihrer Produkte durch permanente Sicherheitschecks dafür sorgen, dass ihre Kunden stets auf dem neuesten Sicherheitsstand sind – was viele Anbieter nach Ansicht der Autoren der Studie vernachlässigen. Denn, das hat die Studie spektakulär bestätigt: Eine Software, und sei sie für den Betrieb eines einfachen Shops gedacht, ist niemals fertig, geschweige denn sicher. Nur regelmäßig ausgeführte Sicherheitsupdates können dafür sorgen, dass das Schutzniveau gleichmäßig hoch bleibt.

Im Ergebnis wies ausnahmslos jede überprüfte Software Schwachstellen auf

Insgesamt konnten bei den Überprüfungen durch die IT-Experten 30 verschiedene Schwachstellen identifiziert werden, von denen etliche in mehreren Software-Paketen entdeckt wurden, so kam die Gesamtzahl von 78 Beanstandungen zusammen.

Die am häufigsten aufgetretenen Schwachstellen waren:

• Mögliche Übertragung von sensiblen Informationen aus Formularfeldern an Dritte:
  Hier wurde beanstandet, dass viele Formulare für die korrekte Eingabe mit cloudbasierten Rechtschreibprogrammen gekoppelt sind. Das birgt für die eingegebenen Daten ein hohes Risiko, dass diese in der Cloud für Dritte einsehbar sind.
• Unzureichende Passwortrichtlinie:
  Dieser Missstand beschreibt einen unzureichenden Passwortschutz, der cyberkriminellen die Passwortermittlung einfach macht.
• Verwundbare JavaScript-Bibliothek:
  Die Gefahr liegt hierbei in der Verwendung von Standard-Java-Bibliotheken, die Hackern Tür und Tor öffnen.
• Administrator kann Kundenlogin umgehen:
  Sollte der Shop-Administrator auf Kundenwunsch beispielsweise eine Bestellung aktivieren können, müsste dies protokolliert werden und für den Kunden einsehbar sein. Sieben Mal wurde dies als Missstand beanstandet.
• End-of-Life-Software im Einsatz:
  Dabei handelt es sich um Shop-Systeme, die nicht mehr durch Updates versorgt werden und entsprechend veraltete Schutzmechanismen verwenden.
• Dateien mit sensiblem Inhalt öffentlich erreichbar:
  In vier Fällen waren Informationen öffentlich zugreifbar, deren Inhalt als sensibel eingestuft werden musste.

Auch betroffenen Kunden befragt

Im Rahmen der Studie wurde auch erhoben, wie die Nutzer der Shops das Sicherheitsniveau bei ihrer Online-Shopping-Praxis erleben. Etwa 25 Prozent der Befragten gaben an, bereits negative Erfahrungen mit Datensicherheit beim Online-Shopping gemacht zu haben. Die meisten von Ihnen gaben an, daraufhin ihre Passwörter geändert zu haben. Immerhin 70 Prozent der Betroffenen gaben an, sich direkt mit dem Shopbetreiber in Verbindung gesetzt zu haben. Zwei Drittel der Befragten haben nach eigenen Angaben ihre Konten nach einer Datenpanne mit sofortiger Wirkung gelöscht.

Fazit

Die BSI-Sicherheitsstudie bescheinigt den Onlineshop-Betreibern in Deutschland großen Nachholbedarf in Sicherheitsbelangen. Wie wichtig dies für die Geschäftsentwicklung generell ist, belegen die Schilderungen betroffener Kunden. Bei immerhin zwei Drittel der Befragten führte ein Datenleck zur Beendigung der Kundenbeziehung. Daher sind sichere Systeme nicht nur ein Postulat der gesellschaftlichen Verantwortung im Sinne der CSR (Corporate Social Responsibility) eines jeden Unternehmens. Sie sind auch Garanten für stabile Kundenbeziehungen und damit für wirtschaftlichen Erfolg.