Montag, November 11, 2024

Sicherheitslücken entstehen oft erst dann, wenn ein Webshop-Betreiber nach der erfolgreichen Zertifizierung noch Änderungen vornimmt, warnt René Pfeiffer.Die Sicherheitskonferenz DeepSec beäugt die Qualität von Gütesiegeln für Onlineshops kritisch. »Automatische Softwarescans ersetzten nicht den Prüfer.«

Internetshopper verlassen sich gerne auf Gütesiegel, die dem besuchten Online-Shop ein gewisses Maß an Sicherheit attestieren und Vertrauen vermitteln sollen. »Zur Sicherheit beim Onlineshoppen gehört mehr als ein einmalig verliehenes Gütesiegel, nämlich andauernde Sorgfaltspflicht des Shop-Betreibers und des Zertifizierers«, warnt René Pfeiffer, Organisator der internationalen Sicherheitskonferenz DeepSec, die Ende November in Wien stattfindet.

Laut aktuellen Studien wird der Versandhandel heuer voraussichtlich mehr als die Hälfte seiner Erlöse bereits im Internet erwirtschaften. Online-Shops werden deshalb – gerade weil sie erfolgreich sind – vermehrt Opfer von Angriffen, warnt Pfeiffer. »Aktuelle Fälle zeigen, dass Gütesiegel oft keinen wirklichen Schutz darstellen«, sagt der Sicherheitsexperte. Viele Sicherheitslücken würden etwa erst dann entstehen, wenn der Betreiber nach der erfolgreichen Zertifizierung noch Änderungen an seinem Shop vornimmt und ihn damit ungewollt angreifbar macht. Ebenso nachlässig sei es, wenn Gütesiegel-Anbieter Webshops nicht einmal auf die Existenz von Cross-Site-Scripting-Lücken (XSS) prüfen, die zum Angriff auf Kundensessions führen können.

»Hinter den sogenannten Gütesiegeln stecken bedauerlicherweise oft nichts weiter als automatische, von Software durchgeführte Sicherheitsscans, nach deren Bestehen ein falsches Gefühl der Sicherheit vermittelt wird«, so der Sicherheitsexperte Saumil Shah. Ein automatischer Scan sei dabei nur eine Grundlage und ersetze die regelmäßige Überprüfung durch einen Sicherheitsberater keinesfalls. Die hauptsächlichen Angriffspunkte bei Online-Shops sind laut Shah: Unsanitized Input, SQL Injection, Cross Site Scripting, Cross Site Request Forgery und Unhandled Exceptions. Die­se Begriffe sollten zumindest Prüfern und Webshopentwicklern vertraut sein.

Um die Sicherheit seines Shops sollte sich der Betreiber demnach ständig kümmern. Ein Gütesiegel, wie es momentan verbreitet ist, sei laut Pfeiffer nur eine oberflächliche Momentaufnahme mit wenig Aussagekraft. »Das wäre so, als würde man eine TÜV-Plakette für sein Auto nach Einsendung eines Fotos bekommen – und das für alle Zeiten, egal was man mit dem Wagen nach der Prüfung macht«, mahnt Pfeiffer. »Richtig und selbstverständlich ist: Jeder Autofahrer muss regelmäßig bei einem Prüfer, der sich alles genau anschaut, beweisen, dass sein Fahrzeug verkehrstauglich und sicher ist. Nur dann macht ein Siegel wirklich Sinn. So ist das auch bei Online-Shops«, meint Pfeiffer.

Meistgelesene BLOGS

Mario Buchinger
07. August 2024
Der Ruf nach Resilienz in den Lieferketten wird lauter. Nach den Erfahrungen einer weltweiten Pandemie und den immer deutlicheren Auswirkungen der Klimakrise scheint das sinnvoll. Doch was macht eine ...
Nicole Mayer
19. August 2024
Am qualityaustria Excellence Day im Juni wurde nicht nur das AMS Kärnten mit dem Staatspreis Unternehmensqualität 2024 ausgezeichnet, sondern auch drei weitere exzellente Unternehmen zum Staatspreis n...
Marlene Buchinger
09. August 2024
CSRD, ESRS, CBAM – Nachhaltigkeitsbegriffe schnell erklärt. Nachhaltigkeit wird immer mehr Teil der Führungsarbeit. Daher lohnt ein Blick auf die wichtigsten Begriffe. Wie in jeder Fachdisziplin gibt ...
Firmen | News
24. September 2024
Konkrete Lösungen und relevante Technologien für eine klimaneutrale Industrie stehen im Mittelpunkt der dritten internationalen Konferenz am 24./25. Oktober in Wien Am 24. und 25. Oktober 2024 veranst...
Marlene Buchinger
07. August 2024
Schulungsangebote und ESG-Tools schießen wie Pilze aus dem Boden. Doch anstelle das Rad neu zu erfinden, sollten bestehende Strukturen neu gedacht werden. Die Anforderungen an Unternehmen punkto Verbe...
Marlene Buchinger
07. August 2024
Was bedeutet Nachhaltigkeit und warum ist das Thema so wichtig? Der Begriff Nachhaltigkeit und die damit verbundenen Veränderungen werfen bei vielen Führungskräften noch Fragen auf. Aus diesem Grund e...
Firmen | News
20. September 2024
Gemeinsam die Welle der Vorschriften meistern: Navigieren im Cybersecurity-Meer Donnerstag, 10. Oktober 2024, 09:00 Uhr bis 17:15 Uhr Austria Trend Hotel Savoyen WienRennweg 16, 1030 Wien Neue Regulie...
Marlene Buchinger
11. September 2024
Prozessverständnis und Bestandsaufnahme der Nachhaltigkeit Nachhaltigkeit ist wie das Thema Qualität – jede*r trägt dazu bei und die Betrachtung endet nicht am Werkstor oder der Bürotür. Daher sind Pr...

Log in or Sign up