Onlineshops stehen längst im Fokus von Cyber-Kriminellen, warnen die Verantwortlichen des Bundesamts für Sicherheit in der Informationstechnik (BSI). Über die Plattformen werde schließlich eine Vielzahl sensibler Daten von Verbraucherinnen und Verbrauchern verarbeitet, die für Hacker interessant sind. Dabei handelt es sich neben persönlichen Kontaktdaten in vielen Fällen auch um Bankverbindungen, Kreditkarten- und weitere Zahlungsdaten.
Das BSI hat im Rahmen einer Studie die Sicherheitseigenschaften von Onlineshopping-Plattformen untersucht. Im Speziellen wurden Software-Produkte, mit denen Onlinehändler ihre Webshops erstellen, auf den Prüfstand gestellt und auf Schwachstellen abgeklopft. Dabei fanden die Security-Experten insgesamt 78 Sicherheitslücken - teilweise mit gravierenden Auswirkungen auf das IT-Sicherheitsniveau von Kundendaten.
Viele bekannte Schwachstellen in Shop-Software
Fast alle im Rahmen der BSI-Studie untersuchten Produkte wiesen eine unzureichende Passwortrichtlinie auf. In sieben von zehn Shop-Softwarelösungen wurden JavaScript-Bibliotheken identifiziert, die verwundbar gegenüber bekannten Schwachstellen waren. In der Hälfte der untersuchten Produkte hat das BSI Software identifiziert, die das offizielle End-of-Life-Datum überschritten hatte und dementsprechend keine Sicherheits-Updates mehr erhält.
Das BSI hat die betroffenen Softwarehersteller im Rahmen eines so genannten Coordinated-Vulnerability-Prozesses auf die festgestellten Sicherheitsprobleme hingewiesen. In einigen Fällen hätten die Anbieter zeitnah Patches zur Verfügung gestellt, heißt es in der Studie. Einige Hersteller hätten zudem darauf hingewiesen, dass bestimmte Schwachstellen durch eine sichere Konfiguration des Onlineshops vermeidbar gewesen wären. Daraus schließt das BSI, dass die Hersteller die Betreiber von Onlineshops besser darüber informieren müssten, wie die Plattformen sicher zu installieren und einzurichten sind.
Grundsätzlich rief die Behörde die Hersteller von Shop-Software dazu auf, Updates für identifizierte IT-Sicherheitslücken umgehend bereitzustellen, und appellierte an die Betreiber von Onlineshops, diese ebenso zeitnah zu implementieren oder alternativ auf sichere Produkte auszuweichen.
Hersteller und Händler müssen mehr auf Sicherheit achten
"Die vorliegende Studie zeigt, dass die Verantwortung für sicheres Onlineshopping sowohl auf Hersteller- als auch auf Händlerseite liegt", betonte BSI-Vizepräsident Gerhard Schabhüser. Um die Gefahr künftiger Datenleak-Vorfälle zu senken und eine nachhaltige Steigerung des IT-Sicherheitsniveaus von Onlineshops zu erreichen, müssten Software-Hersteller regelmäßig Schwachstellenanalysen durchführen - aus Sicht des BSI bereits während der Produktentwicklung. Online-Händler wiederum sollten in ihrem eigenen Interesse bereits bei der Softwareauswahl verstärkt auf IT-Sicherheit achten, um die Daten der Konsumenten bestmöglich zu schützen, so Schabhüser.
Parallel hat das BSI Verbraucherinnen und Verbraucher über ihre Erfahrungen beim Online-Shopping befragt. Dabei kam heraus, dass rund ein Viertel aller Befragten bereits von Datenleaks betroffen war. Mehr als zwei Drittel der Befragten äußerten generell Bedenken beim Onlineshopping. Gefahren beim Onlineshopping sehen sie vor allem in Bezug auf den Diebstahl von Bank- beziehungsweise Kreditkartendaten, das Weiterreichen persönlicher Daten und einen möglichen Identitätsdiebstahl.
Konsumenten wünschen sich Security-Siegel für Onlineshops
Laut der Umfrage wünscht sich die Mehrheit der Konsumenten mehr Orientierung, beispielsweise ein Siegel von einer unabhängigen dritten Stelle, welches die Sicherheit von Onlineshops bewertet. Grundsätzlich seien die Betreiber der Onlineshops dafür verantwortlich, sich um die Sicherheit persönlicher Daten ihrer Kunden zu kümmern.
"Zusammenfassend kann konstatiert werden, dass Verbraucherinnen und Verbraucher nur ein eingeschränktes Bewusstsein für das Risiko beim Onlineshopping haben", heißt es in der Studie. Experten zufolge liege das aber auch an der technischen Komplexität des Themas. Konsumenten hätten kaum eine Chance zu erkennen, ob ihre Daten beim Onlineshopping sicher seien. Insofern müssten Maßnahmen, die die Datensicherheit für Konsumenten erhöhen, möglichst einfach anwendbar sein.