Über 90 Prozent aller Bundesbürger mit Internetzugang kaufen zumindest gelegentlich online ein, gut 55 Prozent ein- oder mehrmals pro Monat. Dabei geben sie in der Regel auch Bankverbindungen, Kreditkarten- und weitere Zahlungsdaten an. Die Plattformen, auf denen Online-Shops aufbauen, weisen aber zahlreiche, teils gravierende Sicherheitslücken auf. Dies hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei Penetrationstests herausgefunden. Die Experten konnten dabei bei jeder geprüften Software Schwachstellen identifizieren, was diverse Datenleaks und Hacks im E-Commerce-Bereich in jüngster Zeit begünstigt haben dürfte. Im Rahmen der Studie, die das BSI am Montag veröffentlicht hat, fühlten die Prüfer den zehn zufällig ausgewählten Software-Produkten Commerce:seo, Gambio, Magento, Merconis für Contao, Prestashop, Shopware, Sylius, WpShopGermany, Xonic und Zen Cart auf den Zahn. Dabei fanden sie insgesamt 78 Sicherheitslücken, von denen einige potenziell gravierende Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucher entfalten konnten. Bei einer Plattform identifizierten die Sicherheitstester „nur“ zwei Schwachstellen, in zwei anderen Fällen jeweils 17. Eine Sicherheitslücke trat in allen geprüften Produkten auf, während manche Probleme auf individuelle Entwicklungsfehler zurückzuführen waren. Konkret wiesen fast alle untersuchten Programme eine unzureichende Passwortrichtlinie auf. Oft war so schon eine sichere Inbetriebnahme eines Shops gar nicht möglich. Eine Zwei-Faktor-Authentisierung zum zusätzlichen Schutz des Verbraucherkontos konnte in der Regel nicht eingestellt werden. In sieben von zehn Plattformen stieß das Team auf JavaScript-Bibliotheken, die verwundbar gegenüber bekannten Schwachstellen waren. Dies vereinfacht gängige IT-Angriffe. Die Hälfte der begutachteten Produkte erhielt keine Sicherheitsupdates vom Hersteller mehr. In fünf Fällen konnte der Admin den Kundenlogin umgehen. In vier waren Informationen öffentlich zugänglich, deren Inhalt als sensibel gilt. Als Lücken mit dem höchsten Risikograd stuften die Prüfer neben „End-of-Life-Software“ ohne Patches sogenannte Cross-Site-Request-Forgery-Angriffe, Remote-Code-Execution, unsichere Dateiuploads und andauerndes Cross-Site Scripting aus. Das BSI übermittelte die Ergebnisse im Einklang mit dem Offenlegungsverfahren „Responsible Disclosure“ zunächst an die jeweiligen Hersteller. In einigen Fällen stellten diese daraufhin zeitnahe Sicherheitsupdates zur Verfügung. Im Zuge dieses Prozesses übermittelten einige Entwicklerfirmen auch Informationen darüber, dass bestimmte Lücken durch eine bessere Konfiguration des Online-Shops vermeidbar gewesen wären. Das BSI folgert daraus, dass die Herstellerseite den Betreibern eine Handreichung zur Verfügung stellen sollte, wie sie ihre Stores sicher installieren und einrichten können. Eine begleitend durchgeführte repräsentative Verbraucherbefragung hierzulande ergab, dass rund ein Viertel aller Bundesbürger bereits von Datenleaks beim Online-Shopping betroffen war. Die Hälfte der Teilnehmer zeigte sich besorgt mit Blick auf solche Abflüsse persönlicher Informationen. Insgesamt kennt die Mehrheit der Befragten eine oder mehrere Maßnahmen zum Schutz der eigenen Daten wie den Einsatz komplexer Passwörter oder den expliziten Logout nach dem Einkauf, ein Großteil davon wendet diese auch an. BSI-Vizepräsident Gerhard Schabhüser mahnte die Hersteller, möglichst schon während der Produktentwicklung und im Anschluss regelmäßig Schwachstellenanalysen durchzuführen und das Sicherheitsniveau zu steigern.
