Online-Shops in Deutschland: Sicherheit lässt laut BSI zu wünschen übrig
von André Westphal | 19 Kommentare
Laut einer BSI-Studie ist es leider mit der IT-Sicherheit in vielen Online-Shops in Deutschland nicht sehr weit her. Das ist um so bedenklicher, da dort sensible Kundendaten wie die private Adresse, Telefonnummern und auch Zahlungsinformationen verarbeitet werden. In Untersuchungen fand die Behörde allerdings in der Software vieler Shops eklatante Sicherheitslücken.
Dies erregt Besorgnis, denn längst haben Cyberkriminelle Online-Shops für sich als attraktive Angriffsziele entdeckt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) fand bei seiner Untersuchung jedenfalls insgesamt 78 Sicherheitslücken – teilweise mit gravierenden Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucher. Weitere Datenleak-Vorfälle könnten damit nur eine Frage der Zeit sein.
Doch wo liegen denn die konkreten Schwächen? Fast alle im Rahmen der BSI-Studie untersuchten Produkte wiesen eine unzureichende Passwortrichtlinie auf. In sieben von zehn Shop-Softwareprodukten wurden JavaScript-Bibliotheken identifiziert, die verwundbar gegenüber bekannten Schwachstellen waren. In der Hälfte der untersuchten Produkte hat das BSI ebenfalls Software identifiziert, die das offizielle End-of-Life-Datum überschritten hatte und dementsprechend keine Sicherheits-Updates mehr erhält. Da regierte bei den Shop-Betreibern also wohl die Trägheit oder man wollte kein Geld für Umstellungen in die Hand nehmen.
Die identifizierten Schwachstellen behandelte das BSI im Rahmen des Coordinated-Vulnerability-Prozesses und sensibilisierte die betroffenen Software-Hersteller für die Problematik. Das BSI ruft Hersteller von Shop-Software dazu auf, Updates für identifizierte IT-Sicherheitslücken umgehend bereitzustellen, und appelliert an Betreiber von Online-Shops, diese ebenso zeitnah zu implementieren oder alternativ auf sichere Produkte auszuweichen.
Ergebnis: Die Entwickler der Software und die Betreiber der Online-Shops tragen zwar die Verantwortung für die Kundendaten, gehen aber zu lasch mit dieser Verantwortung um und machen Kriminellen das Leben zu leicht. Entwickler sollten ihre Schwachstellenanalysen verbessern und Shop-Betreiber schon bei der Auswahl ihrer Software mehr auf die Sicherheit und die langfristige Update-Unterstützung blicken.
Eine begleitend zur BSI-Studie durchgeführte Befragung von Verbrauchern ergab, dass rund ein Viertel aller Befragten bereits von Datenleaks beim Onlineshopping betroffen war. Schaut man sich die Ergebnisse der Studie an, dürften es eher mehr als weniger werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ganz witzig ist in der Hinsicht der Klett Verlag für Digitale Schulbücher, zwingen ein zu einem 20(!) stelligen PW, ich wette 100€ die denken dadurch das es „sicher“ ist, dafür liegt es Klartext auf einem billo IT made in DE server!? xD
Was ist ein billo IT?
Ist es wirklich so schwer, Google zu benutzen? Gleich das erste Ergebnis: „Billo ist ein abwertender Ausdruck der Jugendsprache. „Billo“ bedeutet als Adjektiv: billig, günstig oder einfach“.
Wie die Betrachtung auch hier zeigt interessiert das Thema IT-Sicherheit wohl die meisten Unternehmen nicht. Ich überspitze das jetzt mal: Was schert es das Management wenn die Daten der Kunden im Darknet für Identitätsdiebstahl kursieren. Hat der Kunde halt Pech gehabt.
Ich beobachte die Thematik der „EntscheiderInnen“ leider schon etliche Jahre und oft ist es so das die IT-Sicherheit am Ende der Entwicklung mal eben „dran geschweißt“ wird. Der Schaden dieser Einstellung, liegt bei Verbraucherin und Verbraucher, wenn deren Daten dann abhanden gekommen sind.
Ich befürchte mittlerweile das hier nur ein umdenken entstehen kann, wenn EntscheiderInnen (Vorstand/Geschäftsführer/Gesellschafter/…) persönlich in die Haftung genommen werden können. Dann geht es ans private Vermögen und dann werden die betroffene Personen hier wohl mehr Sorgfalt walten lassen.
Ich mache selber seit 20 Jahren beruflich IT-Security, allerdings habe ich fast nur mit Firmen in Konzerngröße zu tun. Das Thema wird schon sehr ernst genommen, allerdings habe ich die Erfahrung gemacht, dass sich auf höherer Managementebene alles nur über Risikomanagement kommunizieren lässt. Wenn am Ende ein $- oder €-Zeichen mit einer Summe dran steht, dann verstehen und akzeptieren sie es. Datenschutz würde keine Sau interessieren, wenn nicht in Europa das Damoklesschwert 4% des weltweiten Jahresumsatzes als Höchststrafe dabei stehen würde. Die Vorstände und Geschäftsführer in Unternehmen werden übrigens perönlich in Haftung genommen, das passiert heute schon.
Ich verstehe auch nicht, warum man bei Passwörtern die Zeichenauswahl einschränkt. Unicode sollten alle Programmiersprachen können und Code injection kann man auch anders verhindern (also dass die Zeichen des Passworts nicht als Programmcode interpretiert werden).
Das Beste ist dann, wenn die Fehler bei der Passwortvergabe erst Stück für Stück angezeigt werden, anstatt die Passwortkriterien komplett anzuzeigen.
Eine andere Unsitte sind SMS-TANs und Sicherheitsfragen. Warum es die immer noch gibt und nicht flächendeckend Fido (2) unterstützt wird (wenigstens optional), vor allem beim Online-Banking, ist mir schleierhaft.
Am lustigsten ist der zweite Faktor bei Visa: offenbar ist das optional. Ich hatte schon Onlineshops, bei der ich die Bezahlung nicht bestätigen musste.
>>Ich hatte schon Onlineshops, bei der ich die Bezahlung nicht bestätigen musste.
Möglicherweise waren diese Onlineshops irgendwie auf deiner Liste für „Vertrauenswürdige Händler“ gelandet. Dann muss die Zahlung nur in Ausnahmefällen, wenn sie merkwürdig erscheint, freigegeben werden.
Manche Dinge gibt es eben nicht umsonst. Wer die Bequemlichkeit von Onlineshops nutzt, der muss eben ein wenig auf den Datenschutz verzichten. Es ist sowieso recht fragwürdig, welche Daten als sensibel eingestuft werden.
Hier geht es nicht um den Datenschutz, den ich (oder der Shopbetreiber) aus Bequemlichkeit aufgebe. Oder um mangelndem Verständnis beim Tracking (d. h. was „technisch notwendig“ ist) oder Werbung. Hier geht es um Sicherheitslücken, die von Kriminellen ausgenutzt werden können, um an sensible Daten (Passwort, Zahlungsinformationen, …) zu kommen.
>>Hier geht es um Sicherheitslücken, die von Kriminellen ausgenutzt werden können, um an sensible Daten (Passwort, Zahlungsinformationen, …) zu kommen.
Ach, das nennt man dann nicht Datenschutz?
Ne, das ist Datensicherheit. Datenschutz Datensicherheit. Ganz andere Baustelle.
Spitze Klammern werden vom Kommentarsystem gefressen. Also nochmal anders: Datenschutz != Datensicherheit.
Jetzt könnten wir darüber debattieren, ob die hinterlegten Daten ungeschützt beim Betreiber des Onlineshops liegen und kriminelle Subjekte die Daten dort abfischen oder ob sie auf einem unsicheren Weg zum Onlineshop abgegriffen werden. Dann müssten wir wohl oder übel feststellen, dass die Grenzen zwischen Datenschutz und Datensicherheit arg verschwimmen. Was das BSI tatsächlich bemängelt, erschließt sich mir, anhand des Blogbeitrags nur unzureichend. Aber wer schlauer ist, kann das ja in seinen Kommentaren, oberlehrerhaft, unter Beweis stellen. 😉
Es gibt einen Unterschied, ob ich die Daten schütze, in dem ich nur die nötigsten Daten erhebe und die restlichen Daten nur mit den nötigsten Dienstleistern teile. Oder ob die Sicherheit der erhobenen Daten gewährleistet ist, also gegen unbefugten Zugriffen (aus der Sicht der Betreiber) geschützt ist.
Wie Du geschrieben hast, muss ich für die Bequemlichkeit akzeptieren, dass meine Daten für den Onlinekauf verarbeitet werden. Auch dass meine Daten dann zu anderen Zwecken wie Werbung genutzt werden, muss ich hinnehmen, wenn ich den Shop nutzen will.
Dass aber nach dem Kauf mein Konto leer ist, da Kriminelle meine Kontodaten aus dem Shopsystem geklaut haben, muss ich in keinem Fall hinnehmen. Und darum ging es in dem Blogbeitrag. Die DSGVO oder so etwas ist da nie gefallen, sondern Sicherheitslücken.
Da ich mich nur laienhaft mit den Themenbereichen Datenschutz und Datensicherheit beschäftige, habe ich die Gemeinsamkeiten in den Vordergrund gestellt und den Blogbeitrag bewertet. Sollte mir ein Fehler unterlaufen sein, dann bitte ich dies zu entschuldigen und etwas Nachsicht walten zu lassen. Danke für die aufklärenden Worte und die Hinweise auf meinen Fehler. So konnte ich wieder etwas dazu lernen. 😉
Ich weiß, ich bin spät dran. Aber mal ehrlich: Du sagst selbst, dass du dich nur laienhaft mit dem Datenschutz beschäftigst. Wieso wetterst du dann so dagegen? Meinungsfreiheit in allen ehren, ich will dir nicht verbieten dagegen zu sein. Aber damit machst du dich nur lächerlich.
Achtung, bewusst extrem blödes Beispiel: Ich fange doch auch nicht an, über die Sinnhaftigkeit von Airbags in Autos zu diskutieren, wenn ich keine Ahnung von Autos habe.
kannst ja überteuerten stationären Einzelhandel kaufen und hoffen dass sie das haben was du möchtest, und mit schlechten Kundenservice Leben, der Rest bestellt bei Amazon und verzichtet gerne auf etwas Datenschutz und bestellt nur im Notfall außerhalb in diesen besagten Shops.
Top Nummer eins die mir von bekannten Namen spontan einfällt ist das warenwirtschaftssystem von Media Markt, zweimal in kurzer Zeit gehackt und überhaupt nicht up to date der warenbestand, das wird gar nicht echtzeit angezeigt, dazu eine Webseiten Benutzung als wenn es ein Praktikant zusammengeklöppelt hat. 😀
Kann nur aus meiner eigenen Erfahrung berichten, in meinem Produkt (Webanwendung mit Kundendaten im Finanzsektor, Mittelstand) lassen wir jeden Monat einen OWASP Checker laufen und kritische Sicherheitslücken muss dies innerhalb von 14 Tagen gefixt werden.
Bei EoL Bibliotheken ist es schlichtweg nicht ganz so einfach, oft gibt es keinen Ersatz.
Einmal im Jahr wird dann noch entsprechend ein externes Audit durchgeführt.
Am Ende des Tages muss IT Sicherheit zu einem gewissen Rahmen in die Planung mit einfließen und Ressourcen und Geld dafür bereit gehalten werden.
Solange es keine Bußgelder oder ähnliches für offensichtlich unsichere Onlineshops gibt, passiert nichts. Dann ist es günstiger, es einfach so zu lassen, wie es ist. Klar, ein Risiko besteht, und ein paar Onlineshops wird’s auch treffen. Aber es passiert ja nur etwas, wenn das dann auch auffliegt, verfolgt wird usw.