Webshops: Gütesiegel garantieren keine Sicherheit Detail - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.11.2009 Rudolf Felser

Webshops: Gütesiegel garantieren keine Sicherheit

Online-Shopper verlassen sich gerne auf Gütesiegel, um die Sicherheit eines Anbieters einzuschätzen. Aber kann man sich darauf wirklich verlassen?

Zur Sicherheit beim Online-Shoppen gehört mehr als ein einmalig verliehenes Gütesiegel, nämlich andauernde Sorgfaltspflicht des Shop-Betreibers und des Zertifizierers, warnt René Pfeiffer, Organisator der internationalen Sicherheitskonferenz DeepSec, die vom 17. bis 20. November in Wien stattfindet. Auf der Veranstaltung treffen sich zum dritten Mal Experten aus den Bereichen Network-Security und Hacking und widmet sich diesmal hauptsächlich der digitalen Spionage und ihrer Abwehr.

"Aktuelle Fälle zeigen, dass Gütesiegel oft keinen wirklichen Schutz darstellen", sagt Sicherheitsexperte Pfeiffer. Viele Sicherheitslücken entstünden beispielsweise dann, wenn der Betreiber nach der erfolgreichen Zertifizierung noch Änderungen an seinem Shop vornimmt und ihn damit ungewollt angreifbar macht. Ebenso nachlässig sei es, wenn Gütesiegel-Anbieter Webshops nicht einmal auf die Existenz von Cross Site Scripting-Lücken (XSS) prüfen, die zum Angriff auf Kunden-Sessions führen können. Pfeiffer resümiert: "Kundenschutz ist Existenzschutz". Das gelte sowohl für die Gütesiegel-Zertifizierer als auch für die Betreiber der Online-Shops hinsichtlich ihrer Endkunden.

"Hinter den sogenannten Gütesiegeln stecken bedauerlicherweise oft nichts weiter als automatische, von Software durchgeführte Sicherheitsscans, nach deren Bestehen ein falsches Gefühl der Sicherheit vermittelt wird", so Saumil Shah, CEO von Net-Square und Vortragender auf der DeepSec. Ein automatischer Scan sei dabei nur eine Grundlage und ersetze die regelmäßige Überprüfung durch einen Sicherheitsberater keinesfalls. Die hauptsächlichen Angriffspunkte bei Online-Shops sind laut Shah: Unsanitized Input, SQL Injection, Cross Site Scripting, Cross Site Request Forgery und Unhandled Exceptions. Diese Begriffe sollten zumindest Prüfern und Webshopentwicklern vertraut sein.

TÜV FÜR WEBSHOPS Um die Sicherheit seines Shops sollte sich der Betreiber demnach ständig kümmern. Ein Gütesiegel, wie es momentan verbreitet ist, sei laut Pfeiffer nur eine oberflächliche Momentaufnahme mit wenig Aussagekraft. "Das wäre so, als würde man eine TÜV-Plakette für sein Auto nach Einsendung eines Fotos bekommen - und das für alle Zeiten, egal was man mit dem Wagen nach der Prüfung macht", mahnt Pfeiffer. "Richtig und selbstverständlich ist: Jeder Autofahrer muss regelmäßig bei einem Prüfer, der sich alles genau anschaut, beweisen, dass sein Fahrzeug verkehrstauglich und sicher ist. Nur dann macht ein Siegel wirklich Sinn. So ist das auch bei Online-Shops", meint Pfeiffer.

In dem zweitägigen Workshop "The Exploit Laboratory" analysiert der Experte Saumil Shah wie Sicherheitsanalysen durchgeführt werden und wie Angriffe via Exploit, etwa bei Online-Shops, ablaufen können. Während der Konferenz, die unter anderem vom Microsoft Security Team, Sourcefire.com, British Bookshop, Global Knowledge, CERT.at und der Wirtschaftskammer Österreich unterstützt wird, geben Spezialisten Einblicke in heutige Sicherheitsrisiken und deren Abwehrmöglichkeiten. Weitere Themen sind DoS-Attacken auf GSM-Netze, Social Engineering, Datenklau über Twitter, E-Voting, Stoned Bootkit, Cloud Computing, Datenbankangriffe, das Aushebeln von Smart Cards, angreifende USB-Treiber, Gefahr durch manipulierte Drucker-Firmware und Sicherheitsaspekte von Software-Entwicklung. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • SNP AUSTRIA GmbH

    SNP AUSTRIA GmbH Qualitätssicherung, Kaufmännische Software (ERP), Tools, Programmiersprachen, Datenkonvertierung, Übernahme von Softwareprojekten, Systempflege- und Wartung,... mehr
  • Dicom Computer VertriebsgesmbH

    Dicom Computer VertriebsgesmbH WLAN-Systeme, VPN, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Netzwerk-Diagnose-Systeme, Netzkomponenten, Mobile Lösungen und Applikationen,... mehr
  • Huawei Technologies Austria GmbH

    Huawei Technologies Austria GmbH mehr

Hosted by:    Security Monitoring by: