Die Sicherheitskonferenz DeepSec beäugt die Qualität von Gütesiegeln für Onlineshops kritisch. »Automatische Softwarescans ersetzten nicht den Prüfer.«

Internetshopper verlassen sich gerne auf Gütesiegel, die dem besuchten Online-Shop ein gewisses Maß an Sicherheit attestieren und Vertrauen vermitteln sollen. »Zur Sicherheit beim Onlineshoppen gehört mehr als ein einmalig verliehenes Gütesiegel, nämlich andauernde Sorgfaltspflicht des Shop-Betreibers und des Zertifizierers«, warnt René Pfeiffer, Organisator der internationalen Sicherheitskonferenz DeepSec, die Ende November in Wien stattfindet.

Laut aktuellen Studien wird der Versandhandel heuer voraussichtlich mehr als die Hälfte seiner Erlöse bereits im Internet erwirtschaften. Online-Shops werden deshalb – gerade weil sie erfolgreich sind – vermehrt Opfer von Angriffen, warnt Pfeiffer. »Aktuelle Fälle zeigen, dass Gütesiegel oft keinen wirklichen Schutz darstellen«, sagt der Sicherheitsexperte. Viele Sicherheitslücken würden etwa erst dann entstehen, wenn der Betreiber nach der erfolgreichen Zertifizierung noch Änderungen an seinem Shop vornimmt und ihn damit ungewollt angreifbar macht. Ebenso nachlässig sei es, wenn Gütesiegel-Anbieter Webshops nicht einmal auf die Existenz von Cross-Site-Scripting-Lücken (XSS) prüfen, die zum Angriff auf Kundensessions führen können.

»Hinter den sogenannten Gütesiegeln stecken bedauerlicherweise oft nichts weiter als automatische, von Software durchgeführte Sicherheitsscans, nach deren Bestehen ein falsches Gefühl der Sicherheit vermittelt wird«, so der Sicherheitsexperte Saumil Shah. Ein automatischer Scan sei dabei nur eine Grundlage und ersetze die regelmäßige Überprüfung durch einen Sicherheitsberater keinesfalls. Die hauptsächlichen Angriffspunkte bei Online-Shops sind laut Shah: Unsanitized Input, SQL Injection, Cross Site Scripting, Cross Site Request Forgery und Unhandled Exceptions. Die­se Begriffe sollten zumindest Prüfern und Webshopentwicklern vertraut sein.

Um die Sicherheit seines Shops sollte sich der Betreiber demnach ständig kümmern. Ein Gütesiegel, wie es momentan verbreitet ist, sei laut Pfeiffer nur eine oberflächliche Momentaufnahme mit wenig Aussagekraft. »Das wäre so, als würde man eine TÜV-Plakette für sein Auto nach Einsendung eines Fotos bekommen – und das für alle Zeiten, egal was man mit dem Wagen nach der Prüfung macht«, mahnt Pfeiffer. »Richtig und selbstverständlich ist: Jeder Autofahrer muss regelmäßig bei einem Prüfer, der sich alles genau anschaut, beweisen, dass sein Fahrzeug verkehrstauglich und sicher ist. Nur dann macht ein Siegel wirklich Sinn. So ist das auch bei Online-Shops«, meint Pfeiffer.