Gier frisst Hirn – Volles Risiko für den Profit

Wenn Unternehmen über Sicherheitslücken informiert werden, erwartet man eigentlich, dass die jeweilig Zuständigen schnell reagieren und die Sicherheit der Kunden, Partner und natürlich die des eigenen Unternehmens wiederherstellen. Nun, dieser Gedanke trifft hin und wieder zu, jedoch gibt es auf Fälle, bei denen selbst mir die „Spucke wegbleibt“. Ich erlebe ja häufig, dass Betreiber größerer Internetportale eine gewisse Zeit benötigen, um auf Sicherheitswarnungen zu reagieren und Schwachstellen zu schließen. Es ist ja auch – in einigen Fällen – nachvollziehbar, da die Botschaft über mehrere Stellen, am Vorgesetzten vorbei zu den „Jungs/Damen aus der richtigen Abteilung“ muss.

Was ich in den vergangenen Tagen mit einem ganz bestimmten Unternehmen erleben musste, hat jedoch mit der normalen Realität und dem „guten Willen“ rein gar nichts mehr zu tun. Da ist ein deutscher Versandhandel, der einen recht großen Onlineshop betreibt und – laut eigenen Angaben – über 400.000 Geschäftskunden vorweisen kann. Man schreibt sich groß „Testsieger“ auf die Stirn und wirbt mit besten Konditionen, sowie mit einem „Trusted Shops“ Widget, auf das man ja bekanntlich nicht allzu viel Wert (siehe Beitrag) legen sollte.

Ich war selbst auf der Suche nach bestimmten Produkten für die neuen Geschäftsräume in der Stadt, da stieß ich auf das Angebot dieses Onlineshops. Ich habe den Shop durchsucht und musste dabei feststellen, dass Sonderzeichen nicht wirklich gefiltert werden. Da man in meiner Branche bei solchen Dingen sofort „hellhörig“ wird, habe ich sogleich ein paar bestimmte Sonderzeichen benutzt, um auf eine mögliche Anfälligkeit hin zu testen. Leider wurden dabei so einige Probleme sichtbar, wie ich sie bei Unternehmen dieser Größe nur sehr selten erlebe. Was ich entdeckt hatte, gefiel mir nicht. Ungefilterte Parameter erlauben den Eingriff in Datenbankabfragen und ggf. noch mehr.

Natürlich habe ich die Betreiber sofort über die Problematik informiert und gebeten, Kontakt mit mir aufzunehmen, damit ich Details über die Problemstellen mitteilen kann. Es nützt ja in der Regel nichts, wenn man gleich mit der Tür ins Haus fällt und ein ausführliches PoC überliefert. Meist landen derartige E-Mails umgehend im Spamordner oder werden gelöscht. Sollte dies passieren, zückt man hier in der Regel den Hörer und versucht einen kompetenten Menschen an den Draht zu bekommen. Man hat die Sicherheitswarnung allerdings erhalten, auch wenn es zunächst keine Antwort gab. Der erste Hinweis von mir wurde also am 27.08.2012 zugestellt.

Nachdem ich einige Tage später keine Reaktion feststellen konnte, die Schwachstellen weiter vorhanden und somit unzählige Kunden in Gefahr waren, habe ich erneut eine E-Mail verfasst und gebeten nunmehr zu handeln bzw. überhaupt zu reagieren. Ich habe auch angekündigt, die Angelegenheit an die zuständigen Datenschützer und Behörden, sowie an die Medien weiterzuleiten, sofern man meine Hinweise zu den höchst kritischen Sicherheitslücken ignorieren sollte. Der zweite Hinweis wurde von mir am 06.09.2012 übersandt. Na, wer hätte es gedacht – Auf diese E-Mail hat man dann doch gleich reagiert. Es scheint, als würde man die Begegnung mit Behörden und Datenschützern wohl eher meiden wollen. Ok, verständlich.

In der Antwort des Unternehmens, dessen Namen ich vorerst aus Sicherheitsgründen nicht veröffentlichen möchte, hat man sich für den freundlichen Hinweis bedankt. Auch hat man mir versichert, dass die Sicherheit der Kundendaten sehr wichtig für das Unternehmen sei. Bereits nach meiner ersten E-Mail habe man den Shop einer detaillierten Prüfung unterzogen und ein Sicherheitskonzept erstellt, welches in den nächsten Tagen implementiert werden sollte. Die Antwort kam am 07.09.2012 – also vor 11 Tagen. Ich habe mir für diesen Fall vorgenommen, einfach ein paar Tage zu warten. Nun ist mein erster Hinweis bereits 22 Tage alt und die Schwachstellen existieren weiterhin. Es könnte jede Sekunde passieren, dass ein böswilliger Angreifer diese Schwachstellen nutzt und ganze Datenbanken vom Server zieht, Inhalte manipuliert oder gar die Kontrolle über das System gewinnt.

Da – wie erwähnt – keine Änderung bezüglich der Sicherheitslücken feststellbar war und man auch keine Rückmeldung mehr gab, habe ich mit einer weiteren Nachricht, kurz nach dem Status gefragt und darum gebeten, Informationen über das weitere Vorgehen mitzuteilen. Schließlich stößt es bei mir nicht wirklich auf Symphatie und Verständnis, wenn ein Onlineshop mal eben mehrere Wochen braucht, um Lücken zu schließen, die man eigentlich mit einer oder wenigen Zeilen Code problemlos beseitigen könnte.

Man hat auch relativ schnell auf meine Anfrage geantwortet, was ich zunächst positiv beurteilen wollte. Da es sich allerdings wieder um eine sehr unpersönliche Mail, ohne Namen des Senders handelte und auch der Inhalt nicht wirklich erfreulich war, hielt sich meine Begeisterung in Grenzen. Was ich dann lesen musste, ließ meine Laune sogar in den Keller stürzen. Zwar ging man auf die Fragestellung ein und teilte mit, dass man an einer Lösung arbeitet, die SQL Injections möglichst abfangen sollte und auch die Integration von Application-Firewalls geplant sei, jedoch beschäftigte mich genau EIN Satz:

„Da alle diese Änderungen diverse Funktionalitäten unseres Online-Shops betreffen und diese teilweise zu Fehlern im Bestellvorgang führen können, werden Sie sicher verstehen, dass enorm umfangreiche Tests notwendig sind, welche bereits auf Hochtouren laufen.“

Ich musste den Satz zwei Mal lesen und dann im ersten Moment schlucken. Kann es denn tatsächlich sein, dass man bei diesem Unternehmen bewusst die Sicherheit von tausenden Geschäftskunden und Besuchern riskiert, nur um sicher zu sein, dass der Umsatz keinen „Kratzer“ abbekommt, weil es im Bestellvorgang klemmt? Natürlich sollte man bei globalen Änderungen – bezogen auf die Verarbeitung von Parametern und allgemeinen Funktionen der Anwendung – immer aufpassen, dass die Funktionalität fehlerfrei festgestellt werden kann. Aber – und das möchte ich betonen – die Sicherheit von tausenden Kunden geht meiner Ansicht nach absolut vor! Es kann doch nicht wahr sein, dass man mehrere Wochen an einer umfangreichen Lösung popelt und dabei das volle Risiko für die Kunden eingeht, während ein vorübergehendes Fixen der jeweiligen Schwachstellen nur wenige Minuten benötigen würde. Wie kann man behaupten, dass die Kundendaten sehr wichtig sind und gleichzeitig diese BEWUSST dem vollen Risiko eines Angriffes aussetzen?

Es ist grundsätzlich nur eine Frage der Zeit, bis ein Angreifer auf die Lücken stößt und diese mit strahlenen Augen ausnutzt. Da kann man doch nicht einfach locker ein paar Wochen Code-Schnipsel schubsen und an Script frickeln, während die Bombe tickt. Das würde ich bei kleinen Onlineshops erwarten, bei denen die Betreiber oft selbst am Editor sitzen und im Code pfuschen, aber doch nicht bei einer AG mit über 400.000 Geschäftskunden. Unfassbar, wie man dort mit Sicherheitslücken umgeht.

Was mich zusätzlich stutzig macht ist die Tatsache, dass man bisher keine Fragen bezüglich der von mir aufgedeckten Schwachstellen gestellt hat. Wäre tatsächlich Interesse an einer schnellen und effektiven Lösung da bzw. wäre die Sicherheit der Kunden wichtig, würde man sofort genauere Details anfragen. Zumindest ist das meine persönliche Meinung und Einstellung. Fehler können überall passieren und Sicherheitslücken gibt es überall dort, wo Programmcode verwendet wird. Absolut 100%ige Sicherheit gibt es nicht, aber es macht einen bedeutenden Unterschied, ob man vernünftig reagiert oder seiner eigenen, totalen Verantwortungslosikeit ausgesetzt ist.

Ich für meinen Teil, werde diesen Beitrag – zusammen mit Detailinformationen und natürlich dem Namen des Unternehmens – an die zuständigen Behörden weiterleiten und um möglichst zeitnahe Hilfe bitten. Es wäre absolut in meinem Interesse, wenn man die Verantwortlichen für diese Art der Geschäftshandlung sanktionieren würde. Es kann nicht wahr sein, dass man in der heutigen Zeit noch so dermaßen nachlässig mit Sicherheitsproblemen umgeht, die unter Umständen über 400.000 Geschäftsleuten einen Schaden bereiten können.

Es würde mich interessieren, was Leser über die Thematik denken. Kommentare sind natürlich willkommen.