SICHER?

WÄHLEN SIE VORHER GUT AUS, WO SIE KAUFEN!

Laut kancellár.hu variiert die Sicherheit der elektronischen Handelsplätze und ihre Konformität mit den verschiedenen gesetzlichen Regelungen in Ungarn sehr stark!

• Mehr als 90% der untersuchten Webseiten empfängt unverschlüsselte Benutzernamen, Passwörter und sonstige empfindliche Daten. Eine Ausnahme hiervon stellen nur die Daten von Kreditkartentransaktionen dar, die direkt auf die Bank-Server gelangen. Die Kaufvorgänge haben sich in mehreren Fällen als entwendbar erwiesen, was zum Heraussickern von Daten und zum Diebstahl der Identität des Benutzers führt.
• In den meisten Fällen mangelt es gänzlich oder zumindest teilweise an einer Informierung der Kunden bezüglich der Geltendmachung ihrer Interessen. Die Datenschutz-Policies sind unvollständig, ein Großteil der Datenverwalter versäumte es, seine Tätigkeit beim Datenschutzbeauftragten - zwecks Registrierung - anzumelden.
• Letztschließlich können wir feststellen, dass die Käufer darüber hinaus, dass sie selbst für eine aktualisierte und sichere Computerumgebung sorgen müssen (Firewall, Viren- und Spywareschutz etc.), der Wahl des Händlers mehr Aufmerksamkeit schenken sollten. Bei einem schlecht gewählten Webshop kann es vorkommen, dass ihre Daten Dritten zur Verfügung gestellt oder wegen einer unverschlüsselten Datenverbindung oder der Wahl eines schwachen Passwortes ihre ID-Nummern missbraucht werden.

Budapest, 8. Dezember 2008 - Vor dem Beginn des vorweihnachtlichen Runs haben die Sicherheitsexperten der kancellár.hu Zrt. die Informationssicherheit und die Datenschutzkonformität von einem Duzend elektronischer Handelsplätze (Webshops, Webgeschäfte, virtuelle Warenhäuser usw.) unter die Lupe genommen und kamen zu einem überraschenden Ergebnis.

Im Rahmen der in der 2. Novemberhälfte stattgefundenen Untersuchungen besuchten die Informations- und Datensicherheitsexperten 12 bedeutende virtuelle Warenhäuser, die durch eine unabhängige Organisation ausgewählt wurden und in den folgenden Bereichen tätig sind:

• Handel mit Büchern
• Unterhaltungselektronik, Informationstechnik
• Gastronomie
• Elektronische Zahlungslösungen
• Auktion
• Reisen
• Handel mit Lebensmitteln

Die Erhebungen erfolgten mit Hilfe von Probekäufen, bei denen die Experten den Kaufvorgang und die Sicherheit der sichtbaren Teile der Systeme analysierten.

„Die kancellár.hu sieht seit ihrer Gründung die Verbreitung der Informationssicherheitskultur als ihre Mission an und auch unsere vorliegende Erhebung dient diesem Zweck. Wir wollen die Betreiber von Webshops dazu anregen, solche Systeme aufzubauen, mit denen sie die Daten ihrer Kunden und ihre eigenen Daten schützen können. Außerdem wollen wir die Käufer darauf hinweisen, wie wichtig es ist, einen sicheren Händler zu wählen." - sagte Péter Papp, der Generaldirektor der Firma.

Unverschlüsselte Daten

Ziel der technologischen Analysen war es, Umsetzungsmängel zu erfassen, von denen die unverschlüsselte Datenkommunikation einer der kritischsten ist. „Von den untersuchten Systemen nutzt nur eins eine verschlüsselte (SSL - Secure Socket Layer) Datenverbindung bei der Registrierung der Kunden und beim Einloggen. Bei allen übrigen Warenhäusern sind die Käuferdaten, wie die Benutzer-ID, die Lieferadresse, die E-Mail-Adresse, das Passwort usw. im Internet leicht abhörbar unterwegs" - unterstich Attila Bártfai, der Direktor für Geschäftsentwicklung der Firma und Leiter der Erhebung. „Als Positivum kann herausgehoben werden, dass in den Fällen, wo sich der Käufer für die Zahlung mit Karte entschied, die finanzielle Transaktion auf dem durch die Bank betriebenen Server stattfindet, wohin die Daten verschlüsselt gelangen." - fügte er hinzu. Weitere Merkmale:

• Zur Komplexität von Passwörtern geben alles in allem 30% der Shops eine Empfehlung ab (wie viele und welche Zeichen das Passwort enthalten sollte).
• Die Webplätze für Auktionen sind in dieser Hinsicht sichtbar strenger, sie lassen keine zu kurzen oder leicht erratbare Passwörter zu.
• Die Shops schützen die Passwörter der Benutzer nicht gegen Wörterbuchangriffe, die Benutzer-ID wird nicht ausgeschlossen und es sind keine Warteschleifen bei 3-4 erfolglosen Anmeldeversuchen mit einem falschen Passwort eingebaut.
• Ein Teil der Shops reagiert empfindlich auf den Diebstahl eines Vorgangs, mit dessen Hilfe man an Berechtigungen und Daten anderer Benutzer gelangen kann. Gegen dieses Problem kann man sich durch Benutzereinträge im Forum des Betreibers und durch entsprechende Ausfilterung der Produktbewertungen schützen.
• Viele Webshops lassen gefährlich viele Anwendungen auf einem für den Verkauf aufgestellten Server laufen. Kancellár.hu empfiehlt, die zum Betrieb des Shops nicht unbedingt erforderlichen Anwendungen zu löschen oder auf einen anderen Netzwerkserver zu installieren, um äußere Angriffe erfolgreich zu vermeiden. Bei den Untersuchungen trafen wir auf den Shopservern Postfachserver, Namenserver, Dateitransfers, VPN, Fernmanagement, Zeitserver und leere Webserver an.

Gesetzeskonformität - schwache Ergebnisse

Der 2. Hauptfokus der Untersuchungen lag auf der Gesetzeskonformität der Web-Warenhäuser, d.h. der Einhaltung der folgenden Gesetze:

Gesetz Nr. CVIII von 2001 über einzelne Aspekte des elektronischen Geschäftsverkehrs sowie der Dienste der Informationsgesellschaft (im Weiteren: Eker-Gesetz)

• Jedes der untersuchten Web-Warenhäuser wird seiner im Eker-Gesetz vorgesehenen Veröffentlichungspflicht gerecht. Auf den untersuchten Webseiten sind die in diesem Gesetz vorgeschrieben inhaltlichen Elemente zu finden.

Regierungsverordnung Nr. 17/1999 (05.02.) über Vertragsabschlüsse im Fernabsatz (im Weiteren: Verordnung)

• Die laut Regierungsverordnung Nr. 17/1999 (05.02.) über Vertragsabschlüsse im Fernabsatz verbindliche Informierung wurde von den meisten Web-Warenhäusern zugänglich gemacht.
• Das Problem ist jedoch, dass es im Falle der Bestimmungen, die auf die Geltendmachung der Interessen der Verbraucher/Käufer zielen - wie das Rücktrittsrecht und die Bedingungen für seine Ausübung, die Geltendmachung von Mängel- und Gewährleistungsansprüchen, die Stelle für die Geltendmachung von Einwänden -, vorkommt, dass die Informationen entweder ganz fehlen, sehr lückenhaft sind oder nur nach längerem und zielgerichtetem Suchen auffindbar sind.

Gesetz LXIII von 1992 über den Schutz der persönlichen Daten und die Öffentlichkeit der Daten von öffentlichem Interesse (im Weiteren: DSG)

• Die Befolgung der Vorschriften des Datenschutzgesetzes zeigte bei den einzelnen Web-Warenhäusern den größten Unterschied. Allgemein ist feststellbar, dass die Anbieterkein besonders großes Gewicht auf die Einhaltung der Datenschutzvorschriften legen (Anmerkung: die Anwendung von Zwangsmaßnahmen und Sanktionen ist im Bereich des Datenschutzes nicht so stark und so allgemein ausgeprägt).
• Ein Drittel der untersuchten Web-Warenhäuser verfügt über keine Datenschutzinformationen, ein Drittel hat nur kurze (sog. „Muster-") Datenschutzrichtlinien erstellt (den Text der Rechtsvorschrift teilweise übernehmend, aber nichts konkretisierend) und lediglich ein Drittel hat unter Beachtung der Bestimmungen des Datenschutzgesetzes eine entsprechende, alle durch die Rechtsvorschrift vorgeschriebenen inhaltlichen Elemente regelnde Datenschutz-Policy erstellt.
• Nach dem Datenschutzgesetz muss im Datenschutzregister die Datenverwaltung angemeldet werden, die Daten von Personen enthält, die mit dem Datenverwalter in einem Arbeits-, Mitgliedschafts- oder Lehrverhältnis oder im Kundenkontakt stehen. Falls aber der Datenverwalter beispielsweise zum Versenden eines Newsletters oder beim Betrieb eines Forums persönliche Daten verwaltet, ist er verpflichtet, dies dem Datenschutzbeauftragten zwecks Registrierung anzumelden. Zwei Drittel der untersuchten Web-Warenhäuser hat dies im Datenschutzregister nicht angemeldet.

Erhebungsbedingungen und weitere Pläne

Die Mitarbeiter von kancellár.hu arbeiteten nach einer vorherigen Rechtsabstimmung in dem vom Gesetz festgelegten Rahmen. Die Untersuchungen konnten nicht gleichwertig sein mit einem professionell durchgeführten ethischen Hackingtest, da die Experten die vom System eingeräumten Befugnisgrenzen nicht überschreiten durften.

Die Untersuchung der elektronischen Handelsplätze bildet die erste Station einer Reihen von Untersuchungen. Kancellár.hu wird im nächsten Jahr ihre in verschiedenen Bereichen erstellten Erhebungen regelmäßig publizieren!