• IT-Karriere:
  • Services:

TÜV-Siegel trotz bekannter Sicherheitslücken

Sprich: In diesem Fall hatte der TÜV wohl die Lücke auch selbst gefunden. Wie der TÜV Süd uns später bestätigte, dürfen Webseiten das Safer-Shopping-Siegel oft auch dann weiter tragen, wenn Sicherheitslücken gefunden wurden. Der TÜV setzt lediglich eine Frist, bis wann diese geschlossen werden müssen. Für Kunden der betroffenen Webshops, die sich auf das Versprechen des Gütesiegels verlassen, dürfte das sicher überraschend sein.

Stellenmarkt
  1. Universitätsklinikum Würzburg - Servicezentrum Medizin-Informatik, Würzburg
  2. Stadt Paderborn, Paderborn

Zusätzlich haben wir stichprobenhaft einige Shops auf Cross-Site-Request-Forgery-Lücken geprüft. Bei dieser Art von Sicherheitslücke ist es möglich, dass andere Webseiten Aktionen auf einer Webseite mit den Rechten des jeweiligen Nutzers ausführen. Wir fanden relativ schnell zwei Shops, die es uns erlaubten, Produkte zu den virtuellen Einkaufswagen von Nutzern hinzuzufügen.

Der Bürowarenversand Otto Office hat die Lücke nach unserem Hinweis behoben. Beim ebenfalls betroffenen PC-Versand Alternate ist sie nach wie vor ausnutzbar. Informiert haben wir Alternate bereits vor einem Monat.

TÜV bestätigt Lücke auf seiner Seite

Wir haben den TÜV Süd sowie alle betroffenen Shopbetreiber über unsere Funde informiert. Die Lücke auf der TÜV-eigenen Seite wurde uns bestätigt: "Unsere IT-Abteilung konnte den von Ihnen geschilderten Vorgang auf unserer Webseite nachvollziehen und beheben, sodass hier mittlerweile keine Schwachstelle mehr vorliegt. Bei unserer in Kürze anstehenden internen Überprüfung wäre dies aller Voraussicht nach ebenfalls aufgefallen. Die Prüfung nach reflected/stored Cross-Site-Scripting (XSS) gehört hier zur Routine."

Eine Erklärung, warum wir gleich auf mehreren mit Safer-Shopping-Siegel ausgestatteten Webseiten relativ leicht zu findende Lücken entdeckten, hatte der TÜV Süd nicht. Er verwies aber darauf, dass das Prüfverfahren den Ansprüchen der Initiative D21 genüge. "In verschiedenen Aspekten geht das Safer-Shopping-Prüfverfahren sogar deutlich über diese Anforderungen hinaus", erklärte der TÜV. "Zwischen den Prüfungen kann es allerdings durch die Dynamik des Netzes natürlich zu Veränderungen kommen."

Safer-Shopping-Siegel stand schon 2009 in der Kritik

Das Safer-Shopping-Siegel wurde schon früher kritisiert. 2009 kam es zu einem Vorfall beim Onlineshop Libri.de, der ebenfalls mit dem Safer-Shopping-Siegel ausgestattet war. Netzpolitik.org hatte herausgefunden, dass man dort unberechtigt Rechnungen frei im Netz herunterladen konnte. Heise Online berichtete kurz darauf über zahlreiche TÜV-geprüfte Webshops, die von Cross-Site-Scripting-Lücken betroffen waren.

Die Vorfälle kommentierte der Hamburger Datenschutzbeauftragte Johannes Caspar laut älteren Medienberichten gegenüber dem SWR mit den Worten: "Da muss man sich fragen, was sind derartige Zertifizierungen letztlich wert?" Die Frage sollte man sich wohl knapp ein Jahrzehnt später weiterhin stellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Websicherheit: Onlineshops mit nutzlosem TÜV-Siegel
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Battlefield Promo mit Battlefield V Definitive Edition für 24,99€, Star Wars Battlefront...
  2. 382,69€ (Bestpreis!)
  3. 189,00€ (Bestpreis!)
  4. 72,90€

meinoriginaluse... 28. Okt 2018

Ich gehe davon aus, dass jedes Shopping-Sigel die Geschäftsprozesse des Shops prüft...

arthurdont 27. Okt 2018

Jeder, der einen PKW hat, weiß, was er von der "Marke" TÜV zu halten hat. Aber...

Eheran 27. Okt 2018

Wo soll denn der Gag sein? Diese Online-Plakette hat genau die gleichen Mankos wie die...

rocket_to_russia 26. Okt 2018

Um ein XSS Lücke auszunutzen, muss jemand dazu gebracht werden diese Seite zu besuchen...

User_x 26. Okt 2018

Die haften schon, nur es denen nachweisen wird schwierig.


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
    •  /