computerwoche.de

Web

Integralis warnt vor Sicherheitslücken in Online-Shops

27.09.2005

MÜNCHEN (COMPUTERWOCHE) - Die IT-Sicherheitsfirma Integralis warnt vor gravierenden Sicherheitslecks in Online-Shops. Nach Schätzungen des Unternehmens sind rund die Hälfte aller E-Business-Plattformen angreifbar. Zirka 20 Prozent weisen laut Integralis Sicherheitslücken auf, die das Auslesen oder eine Manipulation der Kundendaten ermöglichen.

Häufigste Gründe für die ungenügenden Sicherheitsmaßnahmen seien der stetige Kostendruck, mangelnde Ressourcen und Unwissenheit, so der IT-Security-Spezialist. "Die meisten Betreiber von Web-Shops unterschätzen die Bedrohung, der sie ausgesetzt sind, bei weitem", erklärt Matthias Straub, der E-Commerce-Experte von Integralis. In der Regel genügten fünf Minuten, um über einen gängigen Internet-Browser erste Sicherheitslücken eines Online-Shops auszuspähen. Außerdem scheuten viele Unternehmen die Kosten, um zusätzliche Sicherheitsmaßnahmen zu ergreifen. Die Vogel-Strauß-Mentalität sei hier weit verbreitet. "Tatsächlich bieten heute keine anderen IT-Systeme eine vergleichbar große Angriffsfläche auf niedrigstem Sicherheitsniveau", konstatiert Straub.

Viele Online-Shop-Betreiber stellten die Funktionalität in den Vordergrund, während die Sicherheit vernachlässigt werde, so Straub. Dabei würden insbesondere Fehler in der Verarbeitung von Benutzereingaben von Hackern gerne ausgenutzt, um den Web-Shop zu unterwandern. Wird beispielsweise bei der Eingabe einer Bestellmenge nicht vom Web-Shop überprüft, ob es sich bei der Eingabe tatsächlich um eine Zahl handelt, kann ein Hacker auf diesem Weg eigene Kommandos an die Datenbank des Web-Shops absetzen. "In vielen Fällen können dadurch extrem sensible Daten wie Kreditkarteninformationen in die Hände der Hacker gelangen und missbraucht werden", erklärte Straub.

Der E-Commerce-Experte empfiehlt, bereits bei der Entwicklung des Web-Shops auf eine korrekte Filterung der Eingaben zu achten. Darüber hinaus sei es ratsam, den Online-Shop mithilfe von Security-Audit-Tools auf Schwachstellen zu überprüfen und die Lücken anschließend zu schließen. (mb)