• IT-Karriere:
  • Services:

TÜV-Siegel trotz bekannter Sicherheitslücken

Sprich: In diesem Fall hatte der TÜV wohl die Lücke auch selbst gefunden. Wie der TÜV Süd uns später bestätigte, dürfen Webseiten das Safer-Shopping-Siegel oft auch dann weiter tragen, wenn Sicherheitslücken gefunden wurden. Der TÜV setzt lediglich eine Frist, bis wann diese geschlossen werden müssen. Für Kunden der betroffenen Webshops, die sich auf das Versprechen des Gütesiegels verlassen, dürfte das sicher überraschend sein.

Stellenmarkt
  1. Hays AG, Leipzig
  2. Felsomat GmbH & Co. KG, Königsbach-Stein

Zusätzlich haben wir stichprobenhaft einige Shops auf Cross-Site-Request-Forgery-Lücken geprüft. Bei dieser Art von Sicherheitslücke ist es möglich, dass andere Webseiten Aktionen auf einer Webseite mit den Rechten des jeweiligen Nutzers ausführen. Wir fanden relativ schnell zwei Shops, die es uns erlaubten, Produkte zu den virtuellen Einkaufswagen von Nutzern hinzuzufügen.

Der Bürowarenversand Otto Office hat die Lücke nach unserem Hinweis behoben. Beim ebenfalls betroffenen PC-Versand Alternate ist sie nach wie vor ausnutzbar. Informiert haben wir Alternate bereits vor einem Monat.

TÜV bestätigt Lücke auf seiner Seite

Wir haben den TÜV Süd sowie alle betroffenen Shopbetreiber über unsere Funde informiert. Die Lücke auf der TÜV-eigenen Seite wurde uns bestätigt: "Unsere IT-Abteilung konnte den von Ihnen geschilderten Vorgang auf unserer Webseite nachvollziehen und beheben, sodass hier mittlerweile keine Schwachstelle mehr vorliegt. Bei unserer in Kürze anstehenden internen Überprüfung wäre dies aller Voraussicht nach ebenfalls aufgefallen. Die Prüfung nach reflected/stored Cross-Site-Scripting (XSS) gehört hier zur Routine."

Eine Erklärung, warum wir gleich auf mehreren mit Safer-Shopping-Siegel ausgestatteten Webseiten relativ leicht zu findende Lücken entdeckten, hatte der TÜV Süd nicht. Er verwies aber darauf, dass das Prüfverfahren den Ansprüchen der Initiative D21 genüge. "In verschiedenen Aspekten geht das Safer-Shopping-Prüfverfahren sogar deutlich über diese Anforderungen hinaus", erklärte der TÜV. "Zwischen den Prüfungen kann es allerdings durch die Dynamik des Netzes natürlich zu Veränderungen kommen."

Safer-Shopping-Siegel stand schon 2009 in der Kritik

Das Safer-Shopping-Siegel wurde schon früher kritisiert. 2009 kam es zu einem Vorfall beim Onlineshop Libri.de, der ebenfalls mit dem Safer-Shopping-Siegel ausgestattet war. Netzpolitik.org hatte herausgefunden, dass man dort unberechtigt Rechnungen frei im Netz herunterladen konnte. Heise Online berichtete kurz darauf über zahlreiche TÜV-geprüfte Webshops, die von Cross-Site-Scripting-Lücken betroffen waren.

Die Vorfälle kommentierte der Hamburger Datenschutzbeauftragte Johannes Caspar laut älteren Medienberichten gegenüber dem SWR mit den Worten: "Da muss man sich fragen, was sind derartige Zertifizierungen letztlich wert?" Die Frage sollte man sich wohl knapp ein Jahrzehnt später weiterhin stellen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Websicherheit: Onlineshops mit nutzlosem TÜV-Siegel
  1.  
  2. 1
  3. 2


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 369,45€ (Bestpreis!)

meinoriginaluse... 28. Okt 2018

Ich gehe davon aus, dass jedes Shopping-Sigel die Geschäftsprozesse des Shops prüft...

arthurdont 27. Okt 2018

Jeder, der einen PKW hat, weiß, was er von der "Marke" TÜV zu halten hat. Aber...

Eheran 27. Okt 2018

Wo soll denn der Gag sein? Diese Online-Plakette hat genau die gleichen Mankos wie die...

rocket_to_russia 26. Okt 2018

Um ein XSS Lücke auszunutzen, muss jemand dazu gebracht werden diese Seite zu besuchen...

User_x 26. Okt 2018

Die haften schon, nur es denen nachweisen wird schwierig.


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
Alloy Elite 2 im Test: Voll programmierbare Tastatur mit Weihnachtsbaumbeleuchtung
Alloy Elite 2 im Test
Voll programmierbare Tastatur mit Weihnachtsbaumbeleuchtung

HyperX verbaut in seiner neuen Gaming-Tastatur erstmals eigene Schalter und lässt der RGB-Beleuchtung sehr viel Raum. Die Verarbeitungsqualität ist hoch, der Preis angemessen.
Ein Test von Tobias Költzsch

  1. Ergonomische Tastatur im Test Logitech erfüllt auch kleine Wünsche
  2. Keyboardio Atreus Programmierbare ergonomische Mini-Tastatur für unterwegs
  3. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches

Bluetooth-Hörstöpsel mit ANC im Test: Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen
Bluetooth-Hörstöpsel mit ANC im Test
Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen

Die Airpods Pro haben neue Maßstäbe bei Bluetooth-Hörstöpseln gesetzt. Sennheiser und Huawei ziehen mit True Wireless In-Ears mit ANC nach, ohne eine Antwort auf die besonderen Vorzüge des Apple-Produkts zu haben.
Ein Test von Ingo Pakalski

  1. Bluetooth-Hörstöpsel Google will Klangprobleme beseitigen, Microsoft nicht
  2. Bluetooth-Hörstöpsel Aldi bringt Airpods-Konkurrenz für 25 Euro
  3. Bluetooth-Hörstöpsel Oppos Airpods-Alternative kostet 80 Euro

Kumpan im Test: Aussehen von gestern, Technik von morgen
Kumpan im Test
Aussehen von gestern, Technik von morgen

Mit der Marke Kumpan Electric wollen drei Brüder aus Remagen den Markt für elektrische Roller erobern. Sie setzen auf den Look der deutschen Wirtschaftswunderjahre, wir haben ein Modell getestet.
Ein Praxistest von Dirk Kunde

  1. Venturi Wattman Rekordversuch mit elektrischem Motorrad mit Trockeneis
  2. Mobility Swapfiets testet Elektroroller im Abo
  3. Elektromobilität Volabo baut Niedrigspannungsmotor in Serie

    •  /