IT-Sicherheit von Onlineshopping-Plattformen
Onlineshopping erfreut sich einer zunehmenden Beliebtheit und wird immer häufiger in Anspruch genommen. Auch die COVID-19-Pandemie hat diese Entwicklung noch einmal verstärkt. Onlineshops sind aufgrund des immensen Umfangs an vorgehaltenen sensiblen Verbraucherdaten leider auch immer wieder im Fokus von Cyberkriminellen. Um Erkenntnisse bezüglich der Datensicherheit im Onlineshopping und um Empfehlungen für Betreiberinnen und Betreiber sowie Hersteller sammeln zu können, führte das Bundesamt für Sicherheit in der Informationstechnik (BSI) daher 2022 eine Marktanalyse und Untersuchung zu Onlineshopping-Plattformen durch.
Die Studie berücksichtigt dabei beide Perspektiven und Bedarfe: die der Verbraucherinnen und Verbraucher sowie der Hersteller und Betreiberinnen sowie Betreiber. Es wurden einerseits die Sicherheitseigenschaften ausgewählter Shop-Softwareprogramme sowie andererseits das Bewusstsein von Verbraucherinnen und Verbrauchern für Datensicherheit beim Onlineshopping im Rahmen einer repräsentativen Verbraucherbefragung untersucht.
In den nachfolgenden Grafiken finden Sie ausgewählte zentrale Ergebnisse.
Repräsentative Verbraucherbefragung: Etablierter Markt - wer Internet hat, kauft auch online ein
Die vorliegende Studie ergab, dass über 90 Prozent aller Personen, die generell über einen Internetzugang verfügen, zumindest gelegentlich bei Onlineshops einkaufen. Die Mehrheit davon kauft ein- oder mehrmals pro Monat im Internet ein.
Gefragt nach dem Gerät, das grundsätzlich von Verbraucherinnen und Verbrauchern für den Onlineeinkauf verwendet wird, zeigt sich, dass der Alltagsbegleiter Smartphone mit 80 Prozent für die deutliche Mehrheit der Befragten das Gerät der Wahl ist.
Repräsentative Verbraucherbefragung: Weit verbreitet – Käufe per App
Für 60 Prozent der Befragten, die mindestens gelegentlich online einkaufen, findet der Zugang zum Onlineshop für bestimmte Anbieterinnen und Anbieter über eine App statt. Die Altersgruppen unterscheiden sich hierbei klar: Befragte, die zwischen 16 und 59 Jahre alt sind, nutzen eine App jeweils deutlich eher als die 60-74-Jährigen.
Schwachstellenanalyse: Viele Software-Produkte für Onlineshops sind unsicher
Bei der Schwachstellenanalyse von Shop-Softwareprodukten wurden zehn zufällig ausgewählte Shop-Softwareprodukte einem Penetrationstest unterzogen. Insgesamt konnten 78 Schwachstellen identifiziert werden – teilweise mit gravierenden Auswirkungen auf das IT-Sicherheitsniveau von Daten der Verbraucherinnen und Verbraucher, wobei die Ergebnisse in Bezug auf die Risikograde sehr heterogen ausfielen.
Schwachstellenanalyse: Die TOP 3 - Schwachstellen
Am häufigsten traten Schwachstellen auf, die potenziell eine Übertragung sensibler Verbraucherdaten aus Formularfeldern an Dritte ermöglichten. Eine Passwortrichtlinie, die nicht oder nur unzureichend konfiguriert werden konnte, war die am zweithäufigsten identifizierte Schwachstelle. JavaScript-Bibliotheken von Drittanbietern, die verwundbar gegenüber bekannten Schwachstellen sind, waren ebenfalls häufig im Einsatz.
In Vorbereitung auf die Penetrationstests wurde jeweils ein Angriffs- und Durchführungskatalog auf Basis des Web Security Testing Guide der Open Worldwide Application Security Project (OWASP) erstellt. Es handelt sich hierbei um einen weit verbreiteten Standard. Die OWASP Top 10 ist eine Liste der größten Risiken von Webanwendungen. Die nachfolgende Grafik ordnet die identifizierten Schwachstellen entsprechend ihres Risikos den OWASP Top 10 zu.
Nachdem die Penetrationstests durchgeführt wurden, fand ein Austausch zu den identifizierten Schwachstellen mit den jeweiligen Anbietern der getesteten Shop-Software statt. Die Mehrheit der Hersteller hat auf die Schwachstellen reagiert und diese validiert. Durch den Austausch wurde deutlich, dass einige der Schwachstellen sich durch eine bessere Konfigurationsanleitung vermeiden ließen. Geeignete Handlungsempfehlungen für die Installation von Shop-Software, die Berücksichtigung von IT-Sicherheitsaspekten im Entwicklungsprozess sowie ein verantwortungsbewusster Reaktionsprozess im Falle des Auftretens von Schwachstellen leisten einen Beitrag zur Erhöhung der Datensicherheit der Verbraucherdaten im Onlineshopping.
Checkliste: IT-Sicherheit von Shop-Software
Betreiberinnen und Betreiber von Online-Shops, die Corporate Digital Responsibilty (CDR) übernehmen, machen damit deutlich, dass Ihnen die Datensicherheit ihrer Kundinnen und Kunden am Herzen liegt und positionieren sich als verantwortungsvolles Unternehmen auf dem Markt. Das zeigt sich u.a. an der Wahl der zugrundeliegenden Shop-Software. Anhand der folgenden Punkte ist vor der Produktauswahl ein verantwortungsvoller Umgang der Hersteller mit dem Thema IT-Sicherheit überprüfbar:
Welche Aussagen treffen die Hersteller selbst auf ihren Webseiten zum Thema IT-Sicherheit? Hersteller, welche sich nachhaltig um die IT-Sicherheit von Shop-Software sorgen, veröffentlichen zusätzliche Handreichungen, die eine Anleitung zur sicheren Installation und Konfiguration enthalten, wie beispielsweise Informationen über die Konfiguration einer sicheren Passwortrichtlinie oder
die Möglichkeit der Implementierung einer Zwei-Faktor-Authentisierung, um einen unberechtigten Zugriff auf Daten zu verhindern.
- Existieren Kontaktwege, wie beispielsweise eine E-Mailadresse, die in Fragen oder bei Auffälligkeiten im Kontext von IT-Sicherheit oder gefundenen Schwachstellen zur Verfügung stehen?
- Veröffentlicht der Hersteller regelmäßige Updates, inklusive Sicherheitsupdates auf seiner Homepage?
Die Auswertung der gesamten gewonnenen Erkenntnisse ist im Abschlussbericht festgehalten. Für die Reproduzierbarkeit und weiterführende Analyse der quantitativen Befragung stehen zusätzlich die bereinigten und anonymisierten Einzeldaten sowie die entsprechenden Codebooks bereit.