Händlerbund ignoriert Sicherheitslücke auf haendlerbund.de seit 2012

Mit Sätzen wie „Gemeinsam auf der sicheren Seite mit Europas größtem Onlinehandelsverband“ wirbt der Händlerbund für seine Angebote. Immer wieder werde ich gefragt, warum ich denn den Händlerbund nicht leiden kann. Heute möchte ich einen Grund dafür nennen und den Händlerbund gleichzeitig dazu animieren, etwas gegen die Gefahren für die eigenen Nutzer zu unternehmen. Da man Hinweise auf anderen Wegen scheinbar mit Fleiß ignoriert und sich quasi nicht für den Schutz der eigenen Besucher, Kunden und Partner interessiert (zumindest ist das meine persönliche Meinung/Feststellung), muss es eben auf diesem Weg passieren.

Bereits im September 2012 wurde ich auf eine Schwachstelle innerhalb der Internetpräsenz auf haendlerbund.de aufmerksam. Das Sicherheitsproblem ermöglicht einem Angreifer, Besucher der Website mit Schädlingen zu versorgen, sensible Daten der Nutzer abzugreifen oder gar eine interaktive Verbindung aufzubauen, um den Rechner des Besuchers für anderweitige Schandtaten zu verwenden. Schon vor einiger Zeit habe ich auf die meist vernachlässigten und belächelten Risiken von XSS-Schwachstellen hingewiesen. Bisher gab es viele Fälle in denen Administratoren oder gar Vorstände von namhaften Unternehmen, die Sicherheitsrisiken entdeckter XSS-Schwachstellen ignorierten. Erst bei direkten Demonstrationen der Problemstellen und einem direkten Angriff mit gefolgtem Takeover der Systeme durch XSS als Sprungbrett, hat es diesen Spezialisten meist die Sprache verschlagen. Warum das Risiko beim Händlerbund so wenig Aufmerksamkeit findet, ist mir daher nicht klar.

Auf meine Kontaktversuche im September 2012 und danach, gab es zumindest bis zum jetzigen Zeitpunkt keinerlei Rückmeldung. Auch das Sicherheitsproblem hat man sich bisher nicht zur Aufgabe gemacht. Erst am gestrigen Montag habe ich den Herrschaften beim Händlerbund, eine Botschaft in deren Facebook-Profil hinterlassen. Wie aus Geisterhand wurde die Nachricht natürlich wieder entfernt. Man hat sich aber auch nicht die Mühe gemacht, Kontakt aufzunehmen. Nein, es herrscht weiterhin Stille.

Da mir das ständige Hinterherlaufen bei solchen Dilettanten langsam zu doof wird und ich der Meinung bin, dass es ausreichend sein sollte, telefonischen Kontakt und den Kontakt per E-Mail, sowie über Direktnachrichten und Erwähnungen bei Twitter zu suchen, möchte ich eben öffentlich über die Gefahr informieren und Nutzern des Internetportals (haendlerbund.de) zur Vorsicht raten. Als User sollten Sie unbedingt vermeiden, Links zur Händlerbund-Website, direkt aufzurufen. Geben Sie die Adresse direkt in die Browserzeile ein und lassen Sie sich nicht von Lockangeboten täuschen.

Andernfalls könnte sich – neben einem Video oder lustigen Botschaften – auch ein Schädling hinter der aufgerufenen Adresse befinden.

In diesem Sinne…

Update 14.02.2014:

Tatsächlich habe ich durch meine öffentliche Berichterstattung nun entsprechende Aufmerksamkeit der Betreiber erreicht. Ich konnte kaum fassen, dass man sich nach vielen Monaten der Stille, nun doch noch bei mir meldet. Die E-Mail mit einer Reaktion auf den Beitrag, kam dann auch direkt vom Vorstandsvorsitzenden der Händlerbund Management AG. In der Nachricht wurde mit mitgeteilt, dass derartige Veröffentlichungen zwar wenig angenehm, aber dennoch ein Anlass sind, den aufgezeigten Problemen intensiver nachzugehen. Wie man mir mitteilte, arbeitet man dort bereits seit mehreren Monaten – offenbar mit einem externen Dienstleister – an einem umfangreichen Relaunch der Internetpräsenz(en).

Was mir an der Nachricht irgendwie nicht gefallen hat, war die folgende Aussage:

Wir haben nach den entsprechenden Hinweisen in der Vergangenheit ausdrücklich die Sicherheit der bei uns gespeicherten Daten prüfen lassen, auf die jedoch ein Zugriff durch Unberechtigte an keiner Stelle möglich ist. Ungeachtet dessen habe ich mich mit dem von Ihnen geschilderten Problem von XSS-Schwachstellen befasst. Wir würden gern bis zum Start unserer neuen Webseite allen eventuellen Risiken vorgreifen.

Ich persönlich interpretiere diese Aussage so, dass man beim Händlerbund sehr wohl meine Hinweise auf Sicherheitslücken erhalten, man es jedoch zu keinem Zeitpunkt als nötig empfunden hatte, sich beim Hinweisgeber zu melden oder die bereits ausgeführten Schwachstellen zu beseitigen. Man hat also – lediglich mit der Begründung, dass ja dort keine gespeicherten Daten mit den Schwachstellen abgegriffen werden können (was ich nicht unterschreiben würde) – bewusst und fahrlässig, die bekannten Sicherheitsprobleme nicht beseitigt und damit die eigenen Kunden und Geschäftspartner gefährdet. Sollte dies tatsächlich der Fall sein, dann bin ich doch ein wenig schockiert über diese Vorgehensweise. Gerade beim Händlerbund – der sich mit der Sicherheit (wenn auch Rechtssicherheit) von Onlinehändlern beschäftigt – sollte man eigentlich eine andere Reaktion erwarten.

Da ich ja ein netter Mensch bin, habe ich dem Vorstandsvorsitzenden dann auch gleich noch eine weitere Sicherheitslücke mitgeteilt. Diese ist dann auch noch ein klein wenig gravierender, da sie den internen Bereich der Mitarbeiter und auch den Mitgliederbereich betrifft und von einem Angreifer nach eigenem Belieben ausgenutzt werden kann. Verantwortlich dafür, ist eine mangelhafte Konfiguration des Servers bzw. der Webanwendung. Genauere Details möchte ich aber auch Sicherheitsgründen nicht bekannt geben.

Die Vorstandschaft der Händlerbund Management AG hat mir mit der oben genannten Reaktion auch mitgeteilt, dass man sich mit den geschilderten Problemen befassen wird. Bis zum Start der neuen Webseite, möchte man allen eventuellen Risiken vorgreifen. Was mich allerdings ein wenig stört ist die Tatsache, dass man es nun immernoch nicht geschafft hat, die bereits bekannten Schwachstellen zu beseitigen. Auch die erneute Rückmeldung auf meine Antwort zur Nachricht, in der man mir versicherte, dass die geschilderten Probleme an den Dienstleister weitergegeben wurden, war nicht unbedingt erfolgreich. Die Schwachstellen sind weiter vorhanden und eine versprochene Rückmeldung bis Donnerstag ist leider nicht erfolgt. Tatsächlich haben wir nun doch schon Freitag… Aber ich warte selbstverständlich noch weiter ab. Immerhin hat die erste Reaktion schon über ein Jahr gedauert. Da ist die bisherige Kommunikation eigentlich „top“! ;-)