Sicherheitssiegel für Webseiten taugen nichts

Eine aktuelle Studie [1] der belgischen Universität Leuven und der Stony Brook University in New York bestätigt: Sicherheitssiegel für Webseiten sind nicht nur wenig zielführend, sondern spielen sogar Cyberkriminellen in die Hände.

Lukas Grunwald, CTO von Greenbone Networks, beschäftigt sich seit vielen Jahren mit IT-Sicherheit und bestätigt die Ergebnisse der Studie: »Der Prüfungsprozess von Sicherheitssiegeln ist ein Fehldesign. Angreifer können darüber sofort und automatisch feststellen, wenn eine Webseite Schwachstellen aufweist – und beispielsweise einen Shop übernehmen. Dies ist möglich, so bald ein Siegel-Anbieter sein Sicherheitssiegel auf einer Webseite entfernt, weil diese die Anforderungen nicht erfüllt.

Wie die Studie zeigt, sind Web Services in der Cloud nicht als Sicherheits-Tools geeignet. Ein individuell programmierter Online-Shop erfordert ein umfassendes Schwachstellen-Management. Dazu gehören auch klar definierte, in die Geschäftsprozesse integrierte Eskalationsprozesse. Eine weitere Voraussetzung für sichere Online-Shops sind regelmäßige manuelle Web-Security-Audits. Für eine Cloud-Lösung oder eine günstige externe Lösung sind derartige Sicherheitschecks viel zu komplex. Bei ‚Standard Shop‘-Komponenten hingegen ist in der Regel ein automatisches internes Schwachstellen-Management ausreichend. Allerdings sollte auch dieses nicht Cloud-basiert sein.«

 

[1] https://securitee.org/files/seals_ccs2014.pdf

Weitere Artikel zu