Ich bin mal wieder auf eine XSS-Lücke in einem Shop gestoßen, über die man beliebige Inhalte in den eigentlich vertrauenswürdigen Shop injizieren kann. Das Interessante (für mich) daran – der Shop hat das “bvh/EHI Gütesiegel“.

1. Der Händler wurde geprüft und ist zuverlässig
2. Die Geschäftsbedingungen sind klar geregelt und sind im Shop leicht zugänglich
3. Der Händler respektiert die Gesetze zum Datenschutz
4. Das gelieferte Produkt entspricht der Beschreibung im Internet
5. Sollte es zu Schwierigkeiten kommen, ist unser Beschwerdemanagement verfügbar

Quelle: https://www.versandhandel.org/
Bundesverband des Deutschen Versandhandels e.V. (bhv)

In Shops mit dem Siegel Geprüfter Online-Shop können Sie sicher einkaufen. Unsere Prüfung umfasst alle Aspekte, die für einen sicheren und verbraucherfreundlichen Einkauf wichtig sind. Dazu gehören insbesondere Testbestellungen, die Überprüfung der telefonischen Erreichbarkeit, alle gesetzlichen Informationspflichten und vieles mehr. Erst wenn ein Online-Shop alle geforderten Kriterien erfüllt, verleihen wir ihm das Siegel.

Quelle: http://www.shopinfo.net/
EHI Retail Institute GmbH (EHI)


Auf dem Siegel steht “Geprüfter Online-Shop”, was irgendwie nach Sicherheit klingt. Wenn man das vom bhv und der EHI liest ist dies aber nur die eine Seite der Medaille.

Das der Händler vertrauenswürdig ist und sich z.B. an den Datenschutz hält und ich auch wirklich das erhalte was im Shop angeboten wird, ist irgendwie selbstverständlich, dies erwarte ich auch von Versandhändlern die per gedrucktem Katalog ihre Ware feil bieten.

Die zweite Seite der Sicherheits-Medaille, welche das eigentliche Merkmal von Online-Versandhändlern ausmacht, ist die Sicherheit des Shops selber, also die Technik die mich dort erwartet. Zur Sicherheit im eCommerce zählt natürlich eine sichere Zahlungsmöglichkeit, eine verschlüsselte Datenübertragung und die Sicherheit, das man bei dem Besuch des Shops, per Link von einer WebSite oder aus einer E-Mail, nicht Opfer von Hackern wird.

Solche XSS-Lücken, wie in dem von mir besuchtem Shop, lassen sich sehr leicht ausnutzen um z.B. an Bankkonto-, Kreditkarten- oder Login-Daten zu gelangen. Der Hacker muß nur im Social Network, in denen Leute nach Empfehlungen für Produkte suchen, entsprechende Links streuen, dies könnten auch Links in Social-Bookmarks sein.


Ich habe wieder einen kleinen XSS-Test gemacht. Diesmal habe ich 249 Shops mit dem “bvh/EHI Gütesiegel” kurz untersucht. 107 (43%) der untersuchten Shops haben eine XSS-Lücke. Wenn man noch etwas tiefer gräbt findet man sicher weitere “bvh/EHI-geprüfte”-Shops die irgendwo eine XSS-Lücke aufweisen.

Ich behaupte mal, das viele Besucher der Shops, denen das Siegel überhaupt auffällt, annehmen das speziell auch die Themenbereiche die einen Online-Versandhändler ausmachen, geprüft werden. Leider ist dies nicht der Fall. Das Siegel bzw. die Prüfung berücksichtigt leider nicht den eigentlichen Knackpunkt und Unterschied eines “Geprüfter Online-Shop” zu einem “Geprüfter Shop in der Einkaufsmeile einer Stadt”.