Nehmen wir uns noch einmal beispielhaft das Siegel vom TÜV-SÜD (s@fer shopping) vor, über das ich hier geschrieben hatte. Wie glaubhaft “kann” solch ein Siegel überhaupt sein?

Da kommt der Betreiber eines Shops und möchte das Siegel erwerben, um seiner Kundschaft zu signalisieren “Bei uns kauft man sicher ein!”. Er beauftragt den TÜV-SÜD mit der Zertifizierung. Bei den Tests fallen noch hier und da kleinere Lücken auf, die kompetent geschlossen werden können. Beide sind zufrieden: Der TÜV, weil alles safe ist und der Shop, weil er das Siegel bekommen hat. Solch ein Siegel wird für ein Jahr vergeben, bis eine Nachprüfung erfolgt.

Der Betreiber läßt wenige Wochen nach der erfolgreichen Zertifizierung eine neue Funktion in den Shop einbauen. Die neue Funktion enthält leider auch eine Lücke, mit der ein Angreifer, per SQL-Injection, alle Kundendaten aus der Datenbank des Shops auslesen kann. Der Shop ist nun ohne Zweifel unsicher geworden, besitzt aber noch immer das Gütesiegel.

Leider steht die nächste Überprüfung durch den TÜV erst in 10 Monaten an… tja, schlecht gelaufen. Der Shop ist unsicher und der TÜV sieht dabei auch sehr blass aus, vor allem wenn jemand (evtl. ein Korinthenkacker wie ich) nun diese Lücke findet. Der TÜV hat keinen Fehler gemacht, zum Zeitpunkt der Prüfungen war alles safe, das Fehlverhalten liegt bei dem Betreiber des Shops.


Wenn ich der TÜV wäre, so würde ich darauf bestehen das der Betreiber eines Shops, welchen ich zertifiziert habe und wofür ich meine Reputation aufs Spiel setze, Änderungen an den Web-Applikationen nur nach Absprache mit mir durchführen darf. Sollte der Betreiber dieses nicht beachten, so verliert er mit sofortiger Wirkung mein Siegel.

Um Änderungen zu Überwachen wäre es evtl. erforderlich, das nur von mir (als TÜV) autorisierte Entwickler Arbeiten vornehmen dürfen. Entwickler die wiederum selber zertifiziert sind und mit Schwachstellen in Web-Applikationen vertraut sind.

Vielleicht wäre es auch möglich eine Art Fingerabdruck des zertifizierten Shops zu erstellen, der mit einer geeigneten Software automatisiert erstellt wird und regelmäßig verglichen werden kann.

Ich habe noch keine Ahnung wie man das sinnvoll und kostengünstig überwachen könnte. Auf jeden Fall erscheint es mir erforderlich zu sein das Zertifizierungsstellen solche ständigen Prüfungen durchführen, alleine aus dem Grund, um nicht an Glaubwürdigkeit zu verlieren.

Mir ist schon klar das solche ständigen Prüfungen Geld kosten und die Betreiber gerne an allen Ecken und Enden sparen möchten – nur: Wer heute an der Sicherheit spart, der verliert morgen seine Kunden.