Original-URL des Artikels: https://www.golem.de/news/websicherheit-onlineshops-mit-nutzlosem-tuev-siegel-1810-137273.html    Veröffentlicht: 25.10.2018 09:08    Kurz-URL: https://glm.io/137273

Websicherheit

Onlineshops mit nutzlosem TÜV-Siegel

Ein Siegel des TÜV Süd soll sichere Shopping-Webseiten garantieren. Ein falsches Versprechen: Wir fanden mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel - und auf der TÜV-Webseite selbst - sehr banale Sicherheitslücken.

"Das TÜV Süd Safer-Shopping-Gütesiegel steht für mehr Sicherheit und Vertrauen in Ihrem Onlineshop." So kann man es zumindest auf der Webseite des TÜV Süd nachlesen. Mit dem Safer-Shopping-Siegel zeichnet der TÜV Süd Webseiten von Onlinehändlern aus, die eine Prüfung durchlaufen haben. Allerdings scheint es bei den Verantwortlichen an grundlegenden Kenntnissen über Web-Sicherheitslücken zu fehlen.

Ein Golem.de-Leser hatte uns darauf hingewiesen, dass er sowohl auf Webseiten des TÜV Rheinland als auch beim TÜV Süd relativ simple Cross-Site-Scripting-Sicherheitslücken gefunden hatte. Beide TÜV-Firmen versuchen sich auch in Sachen IT-Sicherheit: Der TÜV Rheinland führt diverse Sicherheitszertifizierungen durch und der TÜV Süd vergibt das bereits erwähnte Safer-Shopping-Siegel.

Triviale Cross-Site-Scripting-Lücke im Suchformular

Insbesondere die Lücke auf der TÜV-Süd-Webseite war geradezu trivial: Die Seite besitzt ein Suchfeld, die dort eingegebenen Begriffe werden bei den Suchresultaten wieder ausgegeben. HTML-Steuercodes und Anführungszeichen werden dabei nicht gefiltert oder als HTML-Entities codiert. Eigentlich ein absoluter Anfängerfehler. Eine detailierte Analyse der Fehler werden wir in einem späteren Artikel nachliefern.

Diese Funde veranlassten uns, die vom TÜV Süd zertifizierten Shops genauer zu überprüfen. Dort sah es in Sachen Websicherheit nicht viel besser aus. Innerhalb kurzer Zeit fanden wir ganz ähnliche Cross-Site-Scripting-Lücken im Shop von Baywa, einem Händler von Landwirtschaftsprodukten, und auf der Webseite der Deutschen Reiseversicherung. In beiden Fällen war die Ursache ähnlich: Die Eingaben im Suchfeld wurden ohne Filterung oder Escaping zurückgegeben.

Eine solche Lücke in einem Webshop könnte ein Angreifer dazu nutzen, die Kontrolle über den Account eines Nutzers zu erlangen. Dafür muss lediglich dafür gesorgt sein, dass der Nutzer zeitgleich eine vom Angreifer kontrollierte Webseite aufruft.

Baywa bestreitet Schwachstelle zunächst

Baywa bestritt auf Anfrage zunächst, dass die Sicherheitslücke ausnutzbar sei - obwohl wir Beispielcode mitgeschickt hatten: "Die von Ihnen angesprochene vermeintliche 'Schwachstelle' stellt nach unserem derzeitigen Kenntnisstand aufgrund bereits vorhandener Filtermechanismen keine effektiv ausnutzbare Sicherheitslücke dar." Einige Stunden später hatte man es sich aber offenbar anders überlegt: "Die Baywa hat in der besagten Angelegenheit ein entsprechendes Sicherheitsupdate installiert, um auch eventuell damit in Zusammenhang stehenden Risiken vorzubeugen."

Bei der Deutschen Reiseversicherung bestätigte man unseren Fund. "Die von Ihnen angesprochene Cross-Site-Scripting-Lücke besteht in der Tat. Sie wurde im Rahmen des aktuellen TÜV-Audit entsprechend identifiziert", erklärte eine Sprecherin der Reiseversicherung in einer E-Mail. "Der TÜV hat uns ein begrenztes Zeitfenster avisiert, um diese Lücke zu beheben, und dieses werden wir einhalten."



TÜV-Siegel trotz bekannter Sicherheitslücken

Sprich: In diesem Fall hatte der TÜV wohl die Lücke auch selbst gefunden. Wie der TÜV Süd uns später bestätigte, dürfen Webseiten das Safer-Shopping-Siegel oft auch dann weiter tragen, wenn Sicherheitslücken gefunden wurden. Der TÜV setzt lediglich eine Frist, bis wann diese geschlossen werden müssen. Für Kunden der betroffenen Webshops, die sich auf das Versprechen des Gütesiegels verlassen, dürfte das sicher überraschend sein.

Zusätzlich haben wir stichprobenhaft einige Shops auf Cross-Site-Request-Forgery-Lücken geprüft. Bei dieser Art von Sicherheitslücke ist es möglich, dass andere Webseiten Aktionen auf einer Webseite mit den Rechten des jeweiligen Nutzers ausführen. Wir fanden relativ schnell zwei Shops, die es uns erlaubten, Produkte zu den virtuellen Einkaufswagen von Nutzern hinzuzufügen.

Der Bürowarenversand Otto Office hat die Lücke nach unserem Hinweis behoben. Beim ebenfalls betroffenen PC-Versand Alternate ist sie nach wie vor ausnutzbar. Informiert haben wir Alternate bereits vor einem Monat.

TÜV bestätigt Lücke auf seiner Seite

Wir haben den TÜV Süd sowie alle betroffenen Shopbetreiber über unsere Funde informiert. Die Lücke auf der TÜV-eigenen Seite wurde uns bestätigt: "Unsere IT-Abteilung konnte den von Ihnen geschilderten Vorgang auf unserer Webseite nachvollziehen und beheben, sodass hier mittlerweile keine Schwachstelle mehr vorliegt. Bei unserer in Kürze anstehenden internen Überprüfung wäre dies aller Voraussicht nach ebenfalls aufgefallen. Die Prüfung nach reflected/stored Cross-Site-Scripting (XSS) gehört hier zur Routine."

Eine Erklärung, warum wir gleich auf mehreren mit Safer-Shopping-Siegel ausgestatteten Webseiten relativ leicht zu findende Lücken entdeckten, hatte der TÜV Süd nicht. Er verwies aber darauf, dass das Prüfverfahren den Ansprüchen der Initiative D21 genüge. "In verschiedenen Aspekten geht das Safer-Shopping-Prüfverfahren sogar deutlich über diese Anforderungen hinaus", erklärte der TÜV. "Zwischen den Prüfungen kann es allerdings durch die Dynamik des Netzes natürlich zu Veränderungen kommen."

Safer-Shopping-Siegel stand schon 2009 in der Kritik

Das Safer-Shopping-Siegel wurde schon früher kritisiert. 2009 kam es zu einem Vorfall beim Onlineshop Libri.de, der ebenfalls mit dem Safer-Shopping-Siegel ausgestattet war. Netzpolitik.org hatte herausgefunden, dass man dort unberechtigt Rechnungen frei im Netz herunterladen konnte. Heise Online berichtete kurz darauf über zahlreiche TÜV-geprüfte Webshops, die von Cross-Site-Scripting-Lücken betroffen waren.

Die Vorfälle kommentierte der Hamburger Datenschutzbeauftragte Johannes Caspar laut älteren Medienberichten gegenüber dem SWR mit den Worten: "Da muss man sich fragen, was sind derartige Zertifizierungen letztlich wert?" Die Frage sollte man sich wohl knapp ein Jahrzehnt später weiterhin stellen.  (hab)


Verwandte Artikel:
Remote Code Execution: Die löchrige Webseite des TÜV Süd   
(05.11.2018, https://glm.io/137500 )
IT-Sicherheit: TÜV Süd übernimmt Cloudspezialisten Uniscon   
(31.07.2017, https://glm.io/129224 )
MySQL-Frontend: Lücke in PhpMyAdmin erlaubt Datendiebstahl   
(11.12.2018, https://glm.io/138193 )
HEIST: Timing- und Kompressionsangriff auf TLS   
(04.08.2016, https://glm.io/122508 )
Onlinehandel: Mit dem Amazon Webstore zum eigenen Onlineshop   
(07.12.2012, https://glm.io/96220 )

© 1997–2019 Golem.de, https://www.golem.de/