Onlineshops laut BSI Studie mit eklatanten Sicherheitslücken

Das BSI führt regelmäßig Studien durch. Die aktuelle beschäftigt sich mit der Sicherheit von Onlineshops. Dabei trat zutage, dass auch bei renommierten und stark frequentierten Shops teilweise eklatante Sicherheitslücken zu beklagen sind. Gleichwohl sind die User, die in den Shops einkaufen, erstaunlich blauäugig, was den Umgang mit ihren personenbezogenen Daten angeht. Denn mit denen wird regelmäßig schludrig umgegangen.

Wer seine Einkäufe online erledigen will, muss sich bei den Shopbetreibern zunächst mit einer Menge personenbezogener Daten registrieren. Hier sind ausschließlich Daten einzugeben, die ohne Ausnahme besonders schützenswert gemäß der Datenschutzgrundverordnung sind. Name, Adresse, Geburtsdatum und selbstverständlich finanzielle Daten für die Kaufabwicklung sind Bestandteil des Kundenkontos, ebenso die Kaufhistorie sowie Bestelldetails wie Stornos oder Retouren. Da eine solche Fülle an personenbezogenen Daten von größtem Interesse für Internet-Gangster sind, sind Onlineshops höchst beliebte Ziele für Cyberangriffe und Hacker.

Die untersuchten Softwarelösungen sind alles andere als sicher

Beinahe jeder regelmäßige Online-Shopper weiß von Erlebnissen zu berichten, bei denen der Umgang mit persönlichen Daten zumindest für ein flaues Magengefühl gesorgt hat. Dubiose E-Mails, Rechnungen oder Phishing-Mails sind oftmals die Konsequenzen nach einem Online-Einkauf. Nachdem dem BSI in den vergangenen Jahren immer mehr Vorfälle von verunsicherten Verbrauchern vorgetragen worden waren, wollte die Sicherheitsbehörde nun mit wissenschaftlichen Methoden der Frage auf den Grund gehen, wie es um die Sicherheit beim Onlineshopping tatsächlich bestellt ist. Untersucht wurden die gängigsten Shop-Software-Lösungen, die die meisten Shopbetreiber als Grundlage für ihre Geschäft nutzen. Aufgespürt hat der BSI dabei die sogenannten Daten-Leaks, also den massenhaften Diebstahl von Userdaten durch Unbefugte.

Sage und schreibe 78 haarsträubende Sicherheitslücken sind den Ermittlern der Untersuchung bei ihren Kontrollen aufgefallen. Und auch die Ursachen lagen klar auf der Hand: Die Verantwortlichkeit liegt dabei eindeutig bei den Hersteller-Firmen der Software-Module. Diese müssten schon vor der Marktreife ihrer Produkte durch permanente Sicherheitschecks dafür sorgen, dass ihre Kunden stets auf dem neuesten Sicherheitsstand sind – was viele Anbieter nach Ansicht der Autoren der Studie vernachlässigen. Denn, das hat die Studie spektakulär bestätigt: Eine Software, und sei sie für den Betrieb eines einfachen Shops gedacht, ist niemals fertig, geschweige denn sicher. Es bedarf also mindestens der Durchführung sehr regelmäßiger Updates, um jeweils gegen aktuelle Hackermethoden gewappnet zu sein. Ohne diese Updates ist eine Shopsoftware bereits nach wenigen Monaten leichte Beute für professionelle Hacker.

Kein Anbieter konnte 100 Prozent Sicherheit garantieren

Jede der überprüften Softwarelösungen wies mangelhafte Features auf. Unterm Strich setzte sich die Zahl der 78 Beanstandungen allerdings aus einer Handvoll Haupt-Ursachen zusammen.

Die häufigsten Sicherheitsmängel auf einen Blick

• Mögliche Übertragung von sensiblen Informationen aus Formularfeldern an Dritte: Hier wurde beanstandet, dass viele Formulare für die korrekte Eingabe mit cloudbasierten Rechtschreibprogrammen gekoppelt sind. Das birgt für die eingegebenen Daten ein hohes Risiko, dass diese in der Cloud für Dritte einsehbar sind.
• Unzureichende Passwortrichtlinie: Dieser Missstand beschreibt einen unzureichenden Passwortschutz, der cyberkriminellen die Passwortermittlung einfach macht.
• Verwundbare JavaScript-Bibliothek: Die Gefahr liegt hierbei in der Verwendung von Standard-Java-Bibliotheken, die Hackern Tür und Tor öffnen.
• Administrator kann Kundenlogin umgehen: Sollte der Shop-Administrator auf Kundenwunsch beispielsweise eine Bestellung aktivieren können, müsste dies protokolliert werden und für den Kunden einsehbar sein. Sieben Mal wurde dies als Missstand beanstandet.
• End-of-Life-Software im Einsatz: Dabei handelt es sich um Shop-Systeme, die nicht mehr durch Updates versorgt werden und entsprechend veraltete Schutzmechanismen verwenden.
• Dateien mit sensiblem Inhalt öffentlich erreichbar: In vier Fällen waren Informationen öffentlich zugreifbar, deren Inhalt als sensibel eingestuft werden musste.

Onlineshopper wurden auch nach ihrer Einschätzung befragt

In einem zweiten Teil der Untersuchung kamen die Shop-Nutzer selbst zu Wort und konnten ihre Sicherheitserfahrungen beim Online-Shopping schildern. Etwa 25 Prozent der Befragten gaben an, bereits negative Erfahrungen mit Datensicherheit beim Online-Shopping gemacht zu haben. Die meisten von Ihnen gaben an, daraufhin ihre Passwörter geändert zu haben. Immerhin 70 Prozent der Betroffenen gaben an, sich direkt mit dem Shopbetreiber in Verbindung gesetzt zu haben. Knapp 70 Prozent der User verstehen wenig Spaß, wenn es wirklich zum Missbrauch persönlicher Daten kommt: Sie haben fragwürdige Konten sofort gelöscht, als sie merkten, dass hier Daten abfließen.

Fazit

Die Studie der Datenschutzexperten wirft kein gutes Licht auf die Shopbetreiber im Internet in puncto Sicherheit. Erschreckend ist die hohe Zahl an aufgedeckten Sicherheitsmängeln quer durch alle Softwarelösungen. Wie wichtig dies für die Geschäftsentwicklung generell ist, belegen die Schilderungen betroffener Kunden. Bei immerhin zwei Drittel der Befragten führte ein Datenleck zur Beendigung der Kundenbeziehung. Daher sind sichere Systeme nicht nur ein Postulat der gesellschaftlichen Verantwortung im Sinne der CSR (Corporate Social Responsibility) eines jeden Unternehmens. Sie sind auch Garanten für stabile Kundenbeziehungen und damit für wirtschaftlichen Erfolg. Seit Einführung und Inkrafttreten der DSGVO steigt das Bewusstsein von Kunden für den Umgang mit personenbezogenen Daten von Jahr zu Jahr. Erfolgreicher Online-Verkauf wird also nach und nach voraussetzen, dass absolute Datensicherheit gegeben ist.