Vor einigen Monaten hatte ich einen Termin bei einem Unternehmen welches auch Zertifikate für Webshops ausstellt. Damals fragte ich den Geschäftsführer ob die zertifizierten Firmen Änderungen an ihren Seiten melden würden, damit eine erneute Prüfung durchgeführt werden kann, um den Status der Zertifizierung aufrechtzuerhalten. Er sagte, dies würde keine Firma machen, da jede Prüfung natürlich auch bezahlt werden muss. Ab und zu würde man zwar Hinweise zu Änderungen bekommen und auch nachprüfen, aber in der Regel warten die Unternehmen bis sie wieder zur jährlichen Prüfung antreten müssen. Es gäbe auch Firmen die diesen Termin schon fest in ihrer Planung für die Website verinnerlicht hätten und diesen geradezu herbeisehnen, damit sie wieder auf der sichereren Seite stehen. Ich fragte noch einmal nach, ob ich dies richtig verstehen würde, denn schließlich würde seine Firma ihren guten Namen 364 Tage im Jahr für etwas hergeben, worauf sie keinen Einfluss hat. Ja, ich hatte richtig verstanden.

Die Problematik bei solchen jährlichen Prüfungen liegt auf der Hand. Die zertifizierte Website besitzt zu dem geprüften Termin den, zu dem Zeitpunkt, korrekten Status einer zertifizierten Seite, aber bei der nächsten Änderung an den Seiten kann sofort eine Sicherheitslücke aufgerissen werden, die diesen Status augenblicklich aufhebt.


Eine Änderung die zu neuen Lücken führt, kann vielfältiger Natur sein.

Ein Update der verwendeten Software könnte zwar den eigentlichen Zweck haben, dass bekannte Sicherheitslücken geschlossen werden sollen, aber gleichzeitig tun sich u.U. neue, noch unbekannte, Lücken auf. Hierbei ist es unerheblich, welche Software ein Update erfährt. Es könnte das Betriebssystem des Servers sein, der Web- oder Datenbankserver oder auch die Shopsoftware selber.

Integriert man z.B. ein ein neues Widget, so wird meist nur eine Zeile Code in die Templates eingefügt, welche ab sofort ein JavaScript von einem externen Anbieter nachlädt. Ist der Code des Widgets nicht sorgfältig genug programmiert, so könnte es sein, dass man sich gerade eine Lücke in sein System eingebaut hat – ein Widget mit eher unerwünschten Features.


Ich würde nun zwar nicht behaupten, dass diese Zertifikate vollkommen wertlos sind – da nicht nur die Sicherheit aus technischer Sicht geprüft wird, sondern auch die Prozesse einer Bestellung, die nach dem letzten Klick im Shop folgen – aber die Zertifizierer sollten dem Endkunden klar machen, dass das Zertifikat, aus technischer Sicht, nur ein Schnappschuss, eine Zustandsbeschreibung für den Zeitpunkt der Prüfung sein kann.

Aus meiner Sicht gibt es nur zwei Möglichkeiten, um mit dieser unbefriedigenden Position, als Zertifikat ausstellende Stelle, umzugehen:

1. Man muss seine Kunden dazu zwingen, jegliche Änderungen an der Website mitzuteilen, damit eine Nachprüfung erfolgen kann. Jede Nachprüfung (Datum, evtl. kurze Beschreibung) wird auch für den Endkunden Dokumentiert, um auch hier Vertrauen zu schaffen. Wird festgestellt, das Änderungen nicht mitgeteilt wurden, so verfällt ein Zertifikat mit sofortiger Wirkung, was ebenfalls für den Endkunden dokumentier wird.
2. Dem Endkunden muss glasklar Mitgeteilt werden, dass das Zertifikat für das Datum gilt, an dem eine Prüfung abgeschlossen wurde und er sich darauf verlassen kann, dass zu diesem Datum eine relative Sicherheit bestand – denn 100% Sicherheit gibt es nicht. Dem Besucher der Website muss aber auch vermittelt werden, dass die nächste Prüfung erst in 12 Monaten erfolgt und bis dahin jederzeit Lücken entstehen könnten, die alleine im Verantwortungsbereich des Betreibers der Website liegen und nicht der Zertifikat ausstellenden Stelle anzulasten sind.

Die Betreiber der Websites wollen mit der Zertifizierung werben, um dadurch mehr Umsatz zu generieren – was durchaus legitim ist – aber, sie müssen sich dann auch mehr in die Pflicht nehmen lassen. Wenn eine Website eine Prüfung erfolgreich durchlaufen hat, so kann man nicht die nächsten 12 Monate fleissig neue Features einbauen oder Änderungen vornehmen und wirklich meinen, weiterhin mit einem Zertifikat glaubhaft werben zu können.


Als Zertifizierer könnte man aus dem Dilemma – zwischen 364 Tage Risiko und fortlaufender Prüfung nach jeder Änderung, welche angeblich kein Websitebetreiber will – auch entkommen, indem ein neues Produkt mit zwei Stufen angeboten wird.

1. Der Kunde bekommt das bisherige Zertifikat, allerdings mit dem für den Endkunden deutlich erkennbaren Hinweis, dass das Zertifikat nur für das Datum der Ausstellung des Zertifikats gilt und jegliche zukünftigen Lücken von dem Betreiber der Website zu verantworten sind. Sollte der Websitebetreiber eine angeforderte Nachprüfung erfolgreich durchlaufen, so wird natürlich auch das Datum des Zertifikats aktualisiert.
2. Jegliche Änderungen an der Website müssen dem Zertifizierer mitgeteilt werden, welche eine kostenpflichtige Nachprüfung erfordert. Nur bei dieser Variante kann der Websitebetreiber glaubhaft mit dem Zertifikat werben.

Die weiteren Details zu den zwei Varianten müssen genau erarbeitet werden, welche auch die juristischen Gesichtspunkte mit einbeziehen, wer wofür haftbar gemacht werden kann, etc.


Sollte an der aktuellen Vergabepraxis von Zertifikaten nichts geändert werden, so werden wir erleben, dass diese, von der technischen Seite her, vollkommen wertlos werden, da der Endkunde jegliches Vertrauen verloren hat.