Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat über Penetrationstests herausgefunden, dass Plattformen, auf denen Online-Shops aufbauen, zahlreiche, teils gravierende Sicherheitslücken aufweisen. Bei jeder geprüften Software konnten die Experten dabei Schwachstellen identifizieren, was diverse Hacks und Datenleaks im E-Commerce-Bereich in jüngster Zeit begünstigt haben dürfte.

Das BSI hatte diesen Montag diese Studie veröffentlicht. Die Prüfer haben zehn zufällig ausgewählte Software-Produkte überprüft: Commerce:seo, Gambio, Magento, Merconis für Contao, Prestashop, Shopware, Sylius, WpShopGermany, Xonic und Zen Cart. Insgesamt haben sie 78 Sicherheitslücken gefunden, einige davon mit potenziell gravierenden Auswirkungen.

Fast alle untersuchten Programme wiesen dabei eine unzureichende Passwortrichtlinie auf. In der Regel konnte eine Zwei-Faktor-Authentisierung zum zusätzlichen Schutz des Nutzerkontos nicht eingestellt werden. Das Team stieß in sieben von zehn Plattformen auf JavaScript-Bibliotheken, die verwundbar gegenüber bekannten Schwachstellen waren. Weiterhin erhielt die Hälfte der geprüften Produkte vom Hersteller keine Sicherheitsupdates mehr.

Zunächst übermittelte das BSI die Ergebnisse im Einklang mit dem Offenlegungsverfahren "Responsible Disclosure" an die jeweiligen Hersteller. Diese stellten in einigen Fällen daraufhin zeitnahe Sicherheitsupdates zur Verfügung. Zudem sollten die Herstellerseiten den Betreibern eine Handreichung zur Verfügung stellen, wie sie ihre Stores sicher installieren und einrichten können. Gerhard Schabhüser, Vizepräsident des BSI, mahnte die Hersteller, möglichst schon während der Produktentwicklung und im Anschluss regelmäßig Schwachstellenanalysen durchzuführen und das Sicherheitsniveau zu steigern.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE