Die Illusion von Safer-Shopping

Nach der Datenpanne im vom TÜV Süd zertifizierten Online-Shop-System von Libri.de fanden sich nun Sicherheitslücken auf weiteren Sites, die das Safer-Shopping-Siegel tragen – und sogar auf dessen eigener Homepage. Neben Safer-Shopping.de waren Audible.de, ReifenDirekt.de und weg.de betroffen.


Das Safer-Shopping-Zertifikat gilt für ein Jahr. Safer-Shopping ist ein Gütesiegel, das die Firma TÜV Süd an Online-Shops vergibt. Es soll dem Verbraucher signalisieren: Sie "können [...] beruhigt [...] einkaufen, da wir den Händler für Sie sorgfältig geprüft haben". Rainer Seidlitz, bei TÜV Süd verantwortlich für Safer-Shopping, erläutert auf Nachfragen von heise Security, dass das Gütesiegel sich weniger auf die technische Sicherheit als auf Dinge wie Prozessmanagement beziehe. Allerdings prüfe man die untersuchten Web-Shops unter anderem auch auf Cross-Site-Scripting-Lücken. Man sei damit sogar der einzige der von der Initiative D21 empfohlenen Gütesiegel-Anbieter, der so etwas prüfe.

Dabei ist eine Überprüfung auf Cross Site Scripting (XSS) durchaus kein verzichtbarer Luxus. "XSS ist ganz eindeutig ein echtes Sicherheitsrisiko und kein Kavaliersdelikt", betont Georg Hess, Leiter der deutschen Abteilung der auf Web-Applikationssicherheit spezialisierten OWASP. Es könne etwa zur Übernahme von User-Sessions führen. Unter anderem deshalb stehe es auch an der Spitze der aktuellen OWASP-Top-10-Liste der Schwachstellen in Web-Applikationen. Allerdings seien zumindest "einfache XSS-Lücken" gut auffindbar und sollten von einem guten Tester nur mit geringer Wahrscheinlichkeit  übersehen werden. Von geringer Wahrscheinlichkeit kann man jedoch bei TÜV Süd offensichtlich nicht mehr sprechen. Bereits vor einem halben Jahr hatte ein Blogger mehrere Sites mit Safer-Shopping-Siegel untersucht und dabei reihenweise Cross-Site-Scripting-Lücken entdeckt. 

TÜV Süd kämpft natürlich mit einem grundsätzlichen Problem, das alle Zertifizierungen betrifft: Ein Test ist immer nur ein Schnappschuss des Zustands zu einem bestimmten Zeitpunkt. Die geprüften Produkte sind jedoch ständigen Änderungen unterworfen, die die Sicherheit dramatisch beeinflussen können. So erklärte Seidlitz, dass nach aktuellem Kenntnisstand die bei Libri.de aufgetauchte Schwachstelle bei der letzten Untersuchung noch nicht vorhanden gewesen sei. Libri.de-Geschäftsführer Per Dalheimer bestätigt, dass man etwa alle 3 Monate neue Software-Versionen installiere, "so dass es auch Zwischenstände gibt, die nicht durch eine TÜV-Hauptprüfung gegangen sind".

Doch Serien von Lücken wie bei TÜV Süd sind damit kaum ausreichend zu erklären. Martin Freiss, der mit seiner Firma Secunomic selbst Zertifizierungen vorbereitet, beschreibt ein dabei auftretendes Dilemma: "Zertifizierungen sind ein Markt, in dem viel Geld verdient wird – und das natürlich auf Dauer nur, wenn die Kunden auch das Zertifikat bekommen. Keiner bezahlt auf Dauer dafür, dass er durchfällt." Außerdem gebe es neben den international anerkannten aber teuren Zertifikaten von ISO & Co, die zumindest versuchen, allgemein verbindliche Qualitätsstandards festzuschreiben, auch solche, die sich irgendwelche Unternehmen "ausdenken" – Safer-Shopping sei so eines. Und "da gelten dann die firmeneigenen Qualitätsgrundsätze", resümiert Freiss.

Den Verbraucher lässt das leider ziemlich ratlos zurück. Seinen verständlichen Wunsch nach einem verlässlichen "hier bist du beim Online-Einkauf sicher", kann wohl kein Gütesiegel erfüllen – das sicher nicht zufällig an die KFZ-TÜV-Plakette angelehnte Safer-Shopping-Siegel der Firma TÜV Süd offenbar schon gar nicht. 

Siehe dazu auch:

• Passwort-Klau für Dummies oder warum Cross Site Scripting wirklich ein Problem ist, auf heise Security