Das BSI warnt vor erheblichen Sicherheitslücken in Software, mit der Händler ihre Onlineshops betreiben.
(Foto: imago images/imagebroker)
Berlin Deutschlands oberste Cybersicherheitsbehörde hat in Software-Produkten, mit denen Onlinehändler ihre Webshops erstellen, massive Sicherheitslücken entdeckt. Die Schwachstellen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Rahmen einer Studie ermittelt, deren Ergebnisse am Montag vorgestellt wurden. Gefunden wurden demnach insgesamt 78 Sicherheitslücken, „teilweise mit gravierenden Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucherinnen und Verbraucher“.
Der Befund ist brisant. Über Onlineshops wird eine Vielzahl sensibler Daten von Verbraucherinnen und Verbrauchern verarbeitet. Neben persönlichen Kontaktdaten handelt es sich dabei nach Angaben des BSI in vielen Fällen auch um Bankverbindungen, Kreditkarten- und weitere Zahlungsdaten. Deshalb stünden Onlineshops längst im Fokus von Cyber-Kriminellen, erklärte die Behörde.
Angesichts der ernüchternden Ergebnisse der Studie sieht BSI-Vizepräsident Gerhard Schabhüser dringenden Handlungsbedarf. „Um die Gefahr künftiger Datenleak-Vorfälle zu senken und eine nachhaltige Steigerung des IT-Sicherheitsniveaus von Onlineshops zu erreichen, müssen Software-Hersteller regelmäßig Schwachstellenanalysen durchführen – aus Sicht des BSI bereits während der Produktentwicklung“, sagte Schabhüser. Online-Händler sollten in eigenen Interesse bereits bei der Auswahl ihrer Shop-Software verstärkt auf IT-Sicherheit achten, um die Daten ihrer Kundinnen und Kunden bestmöglich zu schützen.
Die Forderung kommt nicht von ungefähr. Die Cyber-Sicherheitslage in Deutschland gilt als angespannt.
Nach Erkenntnissen des BSI betrifft dies auch den digitalen Verbrauchermarkt. In diesem Zusammenhang seien insbesondere Angriffe auf Kundendatenbanken von Onlineshops ein „wichtiges Thema“, betonte das BSI. Es handele sich dabei zumeist um „unbefugtes Abgreifen und die Offenlegung sensibler Verbraucherdaten – so genannte Datenleak-Vorfälle“.
Viele Verbraucher waren bereits von Datenleaks beim Onlineshopping betroffen
Fast alle im Rahmen der BSI-Studie untersuchten Produkte wiesen eine unzureichende Passwortrichtlinie auf. In sieben von zehn Shop-Softwareprodukten seien sogenannte JavaScript-Bibliotheken identifiziert worden, die verwundbar gegenüber bekannten Schwachstellen waren. Bei der Hälfte der untersuchten Produkte hat das BSI laut der Studie zudem Software identifiziert, die das offizielle „End-of-Life-Datum“ überschritten hatte und dementsprechend keine Sicherheits-Updates mehr erhält.
>> Lesen Sie auch: So groß ist die Cyberbedrohung aus Russland für Deutschland
Als Konsequenz informierte das BSI die betroffenen Software-Hersteller über die Schwachstellen. Zugleich rief die Behörde Hersteller von Shop-Software dazu auf, Updates für identifizierte IT-Sicherheitslücken „umgehend“ bereitzustellen, und appelliere an Betreiberinnen und Betreiber von Onlineshops, diese ebenso zeitnah zu implementieren oder alternativ auf sichere Produkte auszuweichen.
Das BSI hat Online-Kunden parallel zu ihrer Sicherheit im Netz befragt. Rund ein Viertel aller Befragten gab demnach an, bereits von Datenleaks beim Onlineshopping betroffen gewesen zu sein. Die Hälfte der Befragten habe sich zudem besorgt mit Blick auf mögliche Datenleaks gezeigt.
Allerdings sei das Onlineshopping für viele Menschen “ungebrochen attraktiv”, so das BSI. 91 Prozent der Befragten kauften demnach zumindest gelegentlich im Internet ein, 55 tun das nach eigener Angabe häufig.
Mehr: Kampf gegen das Ladensterben – „Viele kleine Händler haben eine erschreckende Digitalallergie“
