Studie zeigt schwere Lücken bei SSL-Verschlüsselung: Haftbar sind die Shop-Betreiber

Eine Studie zeigt, wie schlecht es um die Datensicherheit in deutschen Online-Shops bestellt ist. Und viele Shop-Betreiber sind sich der Risiken für ihre Kunden- und Transaktionsdaten gar nicht bewusst.
Ein schwerer Fehler wie Rechtsexperten meinen, denn alleine die Betreiber haften bei Missbrauch.

Manche Betreiber von Online-Shops machen es Hackern unwissentlich leicht, auf Kunden- und Transaktionsdaten zuzugreifen. Oftmals liegt dies an zu schwachen Web-Server-Zertifikaten. Auf diesen Missstand weißt das Computer-Magazin c't hin. "Erschreckend viele https-Zertifikate nutzen schwache Schlüssel und lassen sich demnach einfach fälschen", urteilen die IT-Experten des Blattes.

Die Gefahr droht betroffenen Shop-Betreibern gleich doppelt: Zum einen können Hacker diese schwachen Zertifikate leicht auslesen und die Kundendaten stehlen und zum anderen mit Hilfe der gehackten Zertifikate Kopien der Shop-Seiten erstellen und diese in betrügerischer Absicht einsetzen.

Das Magazin htte über 4.300 gültige Zertifikate untersucht, die im Browser keine Warnung erzeugten. Davon nutze etwa jedes dreißigste einen solchen schwachen Schlüssel. Darunter fanden sich auch Online-Shops, die zur Eingabe von Kreditkartennummern auffordern. Auf der Grundlage einer aktuellen SSL-Untersuchung durch den Sicherheits-Dienstleister Netcraft hat c't hochgerechnet, dass auf die über 800.000 mit SSL verschlüsselten Seiten rund 25.000 Seiten mit schwachen Zertifikaten kommen.

Daher empfiehlt ECommerce-Experte Ulrich Hafenbradl dringend den Betreibern von Online-Shops "ihre Zertifikate auf jeden Fall überprüfen zu lassen." Denn kommt es zum Schlimmsten, also werden Daten gestohlen oder die Seiten illegal genutzt, haftet der Shop-Betreiber.

Nach Einschätzung von IT-Rechts-Experte Arne Trautmann liege hier eine "Bananenfall-Situation" vor. Im Bananenfall geht es um eine achtlos fallengelassene Bananenschale in den Räumen eines Ladengeschäfts durch einen Kunden. Rutscht ein anderer Kunde darauf aus, so ist der Ladenbesitzer schadensersatzpflichtig, da er dafür Sorge zu tragen hat, dass der Geschäftsverkehr innerhalb seiner Räume sicher ablaufen kann. "Dies ist auch bei schwachen Web-Server-Zertifikaten der Fall", erklärt Trautmann. Der Shop-Betreiber hat sicherzustellen, dass die Daten seiner Kunden vor Diebstahl und Missbrauch geschützt werden. Denn schließlich suche sich der Shop-Betreiber oder ein von ihm beauftragter Webmaster oder Systemadministrator die auf dem Web-Server verwendete Software selber aus. Auch wenn der Shop-Betreiber seinen Shop bei Internetdienstleistern wie 1&1, Strato oder T-Online gehostet hat, "muss er im Schadensfall die Haftung übernehmen", macht Trautmann deutlich.

Zurück

Weitere News

Gemeinsam mit DiWiSH & KI.SH zum AI.SUMMIT 2024

Am 5. Dezember 2024 haben Sie die Gelegenheit, mit uns gemeinsam zum AI.SUMMIT in

...

Weiterlesen …

DiWiSH-Clusterleiter auf Delegationsreise in Japan

Im Rahmen einer Delegationsreise reiste Clustermanager Dr. Johannes Ripken mit rund

...

Weiterlesen …

Mitgliederversammlung und Wahl des neuen Vorstands

Am gestrigen Tag fand die jährliche Mitgliederversammlung der Digitalen Wirtschaft

...

Weiterlesen …

Minister Dirk Schrödter besucht Melting Mind in Lübeck

Neulich durften wir den Digitalisierungsminister Dirk Schrödter bei einem unserer

...

Weiterlesen …

Rückblick “KI und Digitalisierung in Logistik” in Neumünster

Unsere Veranstaltung vergangene Woche in Neumünster bot nicht nur spannende Einblicke

...

Weiterlesen …

Nichts mehr verpassen

Alle 14 Tage Neuigkeiten und regelmäßig Termine
aus der digitalen Szene Schleswig-Holsteins erhalten