Safer Shopping von TÜV Süd in der Kritik

Als ich gestern einen Flug gebucht habe und dabei Kreditkarteninformationen eingeben musste, führte plötzlich ein „s@fer shopping“-Zertifikat vom TÜV Süd zu einer kurzfristigen Verunsicherung. Heise Security berichtet nun über die Thematik, die in der Libri.de-Sache das letzte Mal aufkam und von uns thematisiert wurde: Welchen Nutzen hat das Zertifikat und wie sicher sind überhaupt die damit zertifizierten Seiten?

Safer-Shopping ist ein Gütesiegel, das die Firma TÜV Süd an Online-Shops vergibt. Es soll dem Verbraucher signalisieren: Sie „können […] beruhigt […] einkaufen, da wir den Händler für Sie sorgfältig geprüft haben“. Reiner Seidlitz, bei TÜV Süd verantwortlich für Safer-Shopping, erläutert auf Nachfragen von heise Security, dass das Gütesiegel sich weniger auf die technische Sicherheit als auf Dinge wie Prozessmanagement beziehe. Allerdings prüfe man die untersuchten Web-Shops unter anderem auch auf Cross-Site-Scripting-Lücken. Man sei damit sogar der einzige der von der Initiative D21 empfohlenen Gütesiegel-Anbieter, der so etwas prüfe.

Dumm nur, dass die eigene Seite zum „s@fer shopping“-Zertifikat ebenfalls Sicherheitslücken enthält. Heise kommt zum Fazit:

Den Verbraucher lässt das leider ziemlich ratlos zurück. Seinen verständlichen Wunsch nach einem verlässlichen „hier bist du beim Online-Einkauf sicher“, kann wohl kein Gütesiegel erfüllen – das sicher nicht zufällig an die KFZ-TÜV-Plakette angelehnte Safer-Shopping-Siegel der Firma TÜV Süd offenbar schon gar nicht.

Etwas verunsichert bin ich ebenfalls dadurch, dass der TÜV Süd anscheinend auch Atomkraftwerke untersucht und zertifiziert. Na denn.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Atomkraftwerke: sind wahrscheinlich leichter zu zertifizieren, da sie sich seltener strukturell oder im ablauf aendern.

    inb4 troll

  2. Wenn Du mit CC bezahlst achte auf die Zertifizierung: PCI DSS
    Das ist die einzig relevante Zertifizierung im Bereich Kreditkartenzahlung und wird von eine gemeinsame Organisation der Kreditkartenfirmen vergeben.
    https://www.pcisecuritystandards.org/
    Wer sichergehen will schaut sich auf den Listen für zertifizierte Händler um. Diese findet man bei MasterCard oder VISA auf der Homepage.
    Das ist zwar keine Garantie, jedoch kann man bei CCs die Buchung nach 6 Wochen zurückgehen lassen und der Händler ist in der Beweispflicht, dass der CC-Owner auch wirklich die Transaktion veranlasst hat.

    Gruß

  3. Wo liegt das Problem bei den Atomkraftwerken?
    Der Prozess ist sicher, aber um das, was am Ende durch den Prozess erzeugt wird, kuemmert sich niemand. Das ist doch schon so seid Jahren bekannt.

  4. @Soeren: Der Prozess ist nicht sicher, dass weiß man schon seit Jahren. Schon mal mitbekommen, dass das Menschen sind die da arbeiten und sterben?
    http://de.wikipedia.org/wiki/Atomunfall

    Die TÜV Zertifizierung hatte mir noch nie gefallen, ich achte eher auf Trusted Shops, auch wenn die sicherlich ebenfalls nicht einhundertprozentige Sicherheit bieten, so hat man ein besseres Gefühl bei diesem Zertifikat.

  5. Ich bin immer wieder enttäuscht über die Seitenbetreiber, mit wie wenig Sorgfalt hier auf die Kundendaten geachtet wird. Mein Lieblingsbeispiel in dem Fall: Gameforge GmbH. Bei den großen Browserspielen wie OGame wird das Passwort UNVERSCHLÜSSELT mit über die URL gesendet. Ein simpler Blick in die Browserhistorie reicht um die PW zu sehen. Und das bei einem Unternehmen mit dreistelligem Millionenumsatz und mehreren Millionen Kunden weltweit :(

  6. Nicht nur das. Der TÜV-Süd hat auch dem [sarkasmus ON]“Auktions-Portal“ Swoopo, welches eher mit einer Black-Box Tombola vergleichbar ist ein „Zertifikat“ verpasst![Sarkasmus OFF].
    Die Tüv-Leute sollten sich wirklich mal überlegen, wem sie alles ein (bezahltes) Zertifikat ausstellen. Diese Swoopo-Bude kann doch nach belieben und ohne jegliche Kontrolle die „Kunden“ abzocken, dazu müssen sie nur eigene Bietagenten mitlaufen lassen, so daß der Preis, bzw. die Anzahl der Gebotslose minimal den Break-Even erreicht. DAS wurde vom TÜV-Süd natürlich nicht geprüft.

  7. Solche Zertifikate sind nichts wert, wenn es um Sicherheit einer Website geht.
    Selbst wenn die alle XSS-Lücken finden sollte, was ist mit den Injections,den RFIs, Human Factors?
    Die sind wahrscheinlich nicht mehr so wichtig ;)

    Wer wenigstens ansatzweise technische Sicherheit haben will, sollte sich mal bei http://www.ose.at melden und nachfragen, was da gemacht wird!

    1. bitte nicht schon wieder die von ose:
      http://tinyurl.com/yhm2c5p

      wirklich sehr vertrauenserweckend…

      und bei den angeblich geprüften referenzen sieht es leider nicht viel besser aus.

      „O.S.E. ist Bestandteil der xiuk eMarketing Consulting“

      „eMarketing“ nicht security!

  8. Zu Trusted Shops: Auf Kundendatensicherheit wird da im Grunde gar nich geprüft. Bei diesem Siegel gehts primär um die Rechtssicherheit des Shops und des Bestellablaufes. Da werden keine Injection-, Xss-, Whateverlücken geprüft. Der einzige Vorteil für die Kunden bei diesem Siegel ist meiner Meinung nach nur die Geld Zurückgarantie und die Prüfung des Anbieters, ob es ihn auch wirklich gibt (Prüfung Kreditwürdigkeit wg. der GZG, Registerauskunft usw.)

    Einfach mal nach den Anforderungs/Prüfkatalog von TS googlen, findet man sicher.

  9. Am sichersten ist es natürlich wenn man zu Hause bleibt und nicht mehr am öffentlichen Leben teil nimmt. Das Leben birgt einfach zu viele Gefahren. Aber mal im Ernst: Die Zertifizierung von safershopping ist schon sehr umfangreich und deckt sowohl Verbraucherschutz, als auch Sicherheitslücken in Hardware und Programmierung voll ab. Allerdings nur zum Zeitpunkt der Zertifizierung. Wenn ein Auto vom TÜV geprüft wird, wird auch immer nur der Zustand während der Prüfung geprüft und nicht der Zustand, der innerhalb der nächsten Jahre eintreten wird. Genauso ist es beim Onlineshop: zum Zeitpunkt der Zertifikaterstellung und zum jährlichen Update der Zertifizierung passt alles. Dazwischen kann der Shopbetreiber jede Menge Sicherheitslücken einbauchen, ohne das der TÜV etwas mit bekommt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.