Am Montag las ich das ein Webshop das TÜV-Zertifikat “s@afer shopping” erhalten hat. Gültig ist das Zertifikat seit dem 21. Januar, also kann die Prüfung die der TÜV durchgeführt hat nicht sehr lange zurück liegen.

Da ich mich für Sicherheit im Internet und Zertifikate/Siegel interessiere… nach nur wenigen Sekunden fand ich… ja <g> eine XSS-Lücke.

Auf der WebSite vom TÜV steht:

2. Security-Check

Um eine Übersicht über den Sicherheitsstatus zu erhalten, setzen wir Port-Scanner und Security-Scanner sowie weitere spezialisierte Werkzeuge und Scripts ein. Wir prüfen nicht nur den Webserver und die Webapplikationen, sondern auch online zugängliche Systeme wie Firewall, Router, Mail- und Nameserver.

Quelle: safer-shopping.de

Der TÜV setzt “Security-Scanner” ein und sie prüfen “die Webserver und die Webapplikationen”?! Auf was haben die TÜV-Menschen geprüft? Auf jeden Fall nicht nach den üblichen Lücken.


Ich habe den TÜV per E-Mail gefragt was da passiert ist, als Antwort kam dies:

trotz sorgfältiger und eingehender Überprüfung scheint noch eine offene Lücke vorhanden zu sein.

Da scheint nichts, die Lücken sind definitiv (auch jetzt noch) vorhanden! Kann es sein das der TÜV Sorgfalt anders definiert, als der Rest der Welt?

Sorgfalt ist das gründliche Vorgehen, wobei alle wesentliche Aspekte beachtet werden, z. B. alle Regeln der Kunst (Lege artis), der Stand der Technik oder der Stand der Wissenschaft. Das Gegenteil von Sorgfalt ist Fahrlässigkeit.

Quelle: de.wikipedia.org

Es könnte natürlich auch sein das der TÜV diese Definition wörtlich nimmt und gleichzeitig der Meinung ist, das XSS und SQL-Injection (ja, solche Lücken habe ich auch gefunden) kein wesentlicher Aspekt von Sicherheit in Webapplikationen ist.


Ok, ich will fair sein… es könnte ja sein… unter sonderbaren Bedingungen… evtl. war der “Security-Scanner” krank, vielleicht der Vogelgrippevirus HA MA NET, was weiß ich, möchlich is ja viel.

Ich habe mir die anderen “s@fer shopping”-Seiten angeschaut… Nach zehn WebSites mit zertifizierten Lücken habe ich aufgehört zu zählen und angefangen dem TÜV noch eine E-Mail zu schreiben. Also war das keine Ausnahmeerscheinung mit der ersten von mir gefundenen Lücke – der Wahnsinn hat Methode.

Mein Kurztest belegt eindeutig das die Prüfung die der TÜV bisher vorgenommen hat, nur sehr oberflächlich sein kann. Ich weiß natürlich nicht welche Software dort zum Einsatz kommt, ich weiß nur das der beste “Security-Scanner” offensichtlich nicht eingesetzt wird – ein Mensch mit offenen Augen und eingeschaltetem Hirn.


Ich bin sehr für Zertifikate/Siegel auf WebSites die den Otto-Normal-Surfer anzeigen: “Hier bin ich sicher, hier kann ich ohne Bedenken einkaufen, stöbern – mich wohl fühlen.”

Zertifikate die ihr Versprechen der Sicherheit nicht einlösen sind schlimmer als fehlende Zertifikate, denn beide Seiten wiegen sich in eine trügerischen Sicherheit: Der WebSite-Betreiber ist im festen Glauben das er alles mögliche für die Sicherheit seiner Kunden unternommen hat und der Besucher fühlt sich sicher und gibt ohne große Bedenken seine Daten preis.

Es ist an der Zeit das endlich ein Standard für Sicherheit in Webapplikationen definiert wird. Eine vertrauenswürdige Organisation führt Prüfungen durch und gibt den erfolgreich zertifizierten WebSites ein Web-Sicherheits-Siegel, welches seinen Namen auch verdient.


Das Bundesamt für Sicherheit in der Informationstechnik kommt leider für die Aufgabe etwas Sicherheit in die IT zu bringen nicht in Frage…

“Fingerabdruckscanner ist unsicher” (zdf.de)

Zuständig für die Zulassung der Fingerabdruckscanner, die zu Zehntausenden in deutschen Meldeämtern stehen, ist das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, in Bonn. Auf Nachfrage von WISO heißt es aber, es gehe bei der Prüfung nicht um Sicherheit, sondern nur um die Bildqualität: “Die Zertifizierung der Fingerabdruckscanner durch das BSI bezieht sich auf die Einhaltung (…) der notwendigen Bilderfassungseigenschaften.” Und: “Für den Schutz dieser Rechner sind die Meldebehörden verantwortlich.”

Kein Scherz! Da bleibt einem das Lachen im Halse stecken!