Studie zeigt schwere Lücken bei SSL-Verschlüsselung: Haftbar sind die Shop-Betreiber

Eine Studie zeigt, wie schlecht es um die Datensicherheit in deutschen Online-Shops bestellt ist. Und viele Shop-Betreiber sind sich der Risiken für ihre Kunden- und Transaktionsdaten gar nicht bewusst.
Ein schwerer Fehler wie Rechtsexperten meinen, denn alleine die Betreiber haften bei Missbrauch.

Manche Betreiber von Online-Shops machen es Hackern unwissentlich leicht, auf Kunden- und Transaktionsdaten zuzugreifen. Oftmals liegt dies an zu schwachen Web-Server-Zertifikaten. Auf diesen Missstand weißt das Computer-Magazin c't hin. "Erschreckend viele https-Zertifikate nutzen schwache Schlüssel und lassen sich demnach einfach fälschen", urteilen die IT-Experten des Blattes.

Die Gefahr droht betroffenen Shop-Betreibern gleich doppelt: Zum einen können Hacker diese schwachen Zertifikate leicht auslesen und die Kundendaten stehlen und zum anderen mit Hilfe der gehackten Zertifikate Kopien der Shop-Seiten erstellen und diese in betrügerischer Absicht einsetzen.

Das Magazin htte über 4.300 gültige Zertifikate untersucht, die im Browser keine Warnung erzeugten. Davon nutze etwa jedes dreißigste einen solchen schwachen Schlüssel. Darunter fanden sich auch Online-Shops, die zur Eingabe von Kreditkartennummern auffordern. Auf der Grundlage einer aktuellen SSL-Untersuchung durch den Sicherheits-Dienstleister Netcraft hat c't hochgerechnet, dass auf die über 800.000 mit SSL verschlüsselten Seiten rund 25.000 Seiten mit schwachen Zertifikaten kommen.

Daher empfiehlt ECommerce-Experte Ulrich Hafenbradl dringend den Betreibern von Online-Shops "ihre Zertifikate auf jeden Fall überprüfen zu lassen." Denn kommt es zum Schlimmsten, also werden Daten gestohlen oder die Seiten illegal genutzt, haftet der Shop-Betreiber.

Nach Einschätzung von IT-Rechts-Experte Arne Trautmann liege hier eine "Bananenfall-Situation" vor. Im Bananenfall geht es um eine achtlos fallengelassene Bananenschale in den Räumen eines Ladengeschäfts durch einen Kunden. Rutscht ein anderer Kunde darauf aus, so ist der Ladenbesitzer schadensersatzpflichtig, da er dafür Sorge zu tragen hat, dass der Geschäftsverkehr innerhalb seiner Räume sicher ablaufen kann. "Dies ist auch bei schwachen Web-Server-Zertifikaten der Fall", erklärt Trautmann. Der Shop-Betreiber hat sicherzustellen, dass die Daten seiner Kunden vor Diebstahl und Missbrauch geschützt werden. Denn schließlich suche sich der Shop-Betreiber oder ein von ihm beauftragter Webmaster oder Systemadministrator die auf dem Web-Server verwendete Software selber aus. Auch wenn der Shop-Betreiber seinen Shop bei Internetdienstleistern wie 1&1, Strato oder T-Online gehostet hat, "muss er im Schadensfall die Haftung übernehmen", macht Trautmann deutlich.