Shops, die sich mit dem TÜV-Siegel schmücken, sind weniger sicher als erwartet: Heise.de berichtete diese Woche von Cross Site Scripting Test-Angriffen, die auch bei TÜV-geprüften Shops erfolgreich waren:
In seinem Blog weist Marcell Dietl darauf hin, dass das Sicherheitssiegel des TÜV keineswegs bedeutet, dass die betreffende Web-Seite vor Sicherheitsproblemen wie Cross Site Scripting gefeit sei.
Unter den erfolgreich angegriffenen Shopssites befanden sich Otto, L’Tur, Polo und KarstadtQuelle-Versicherungen. Insgesamt aber waren TÜV-besiegelte Sites schwerer anzugreifen als der "Onlineshop-Durchschnitt". Ganz in Sicherheit kann sich ganz offenbar aber kein Händler wissen, nicht einmal mit TÜV-Siegel.
Herzliche aus Hürth
Nicola Straub
Lädt...
Aktuell gehäufte DDoS-Erpressungen von deutschen Onlineshops
Fake-Shops auf Amazon: Was Händler tun können
Gravierende Sicherheitslücken in vielen Webshop-Plattformen
buntebank meint
Wie ich immer wieder gerne zu Shop-Siegeln anmerke:
„Wahrscheinlich mit die teuersten Pixel im Internet…“
ToXic meint
Internetsiegel gleich welcher Herkunft dienen doch m.E. nach nur dazu den Shopbetreiber dazu zu verleiten, seinen Kunden „Selbstverständlichkeiten“ mit den Begriffen Sicherheit, Geld zurück etc. zu suggerieren.
Würde man das ganze auf den Einzelhandel beziehen sieht das so aus: Beim auffahren auf den Parkplatz des Discounters wirbt ein Siegel mit „Sicherer Parkplatz“ weiter geht es mit „geprüfter Einkaufswagen“, im Laden selbst heisst es „Sie bleiben bei ihrem Einkauf anonym“, gefolgt von „hier kaufen Sie sicher“, und an der Kasse dann: „Wir geben ihre Daten nicht weiter, und innerhalb von x tagen dürfen Sie umtauschen und ihr geld zurückverlangen“!
Mit Siegeln wird in D mehr Umsatz gemacht als mit Shops selbst, könnte man glauben. Und sieht man hinter die Kulissen wird man bei vielen Shops die ein Siegel erhalten haben doch fündig. Denn ich frage mich allen Ernstes wie man ein Siegel im Bezug auf Datenschutz vergeben kann wenn der Shopbetreiber z.B. Google Analytics verwendet, dies aber in seiner Datenschutzerklärung auf dem Shop an seine Kunden vehement verschweigt. Wer hat da bitteschön wie geprüft?
Eigentlich müsste man die Anbieter von Shopsiegel (auch die grossen Kandidaten) im Vorfeld einmal einer Prüfung unterziehen, Fazit: Prüfsiegel für die Vergabe von Shopsiegeln!
So, und nun mal schauen ob es der Artikel durch die Zensur schafft 🙂
cu
T.
Sinn und Zweck von Prüfsiegeln... meint
Sicher ist es so eine Sache, Prüfsiegel sind heutzutage ja für den Shopbetreiber reine Marketingmaßnahmen.
Zudem werden einige Faktoren beim Onlineeinkauf auch überbewertet, beispielsweise die Datensicherheit bei kritischen Kundendaten und die Notwendigkeit hierfür ein SSL Zertifikat anzubieten.
Da bei den meisten Fällen entweder keine kritischen Daten übertragen werden und bei den meisten anderen Fällen Infrastrukturen von Drittanbietern, beispielsweise E-Paymentanbietern oder Kreditkartendienstleistern, benutzt werden die selbstverständlich über SSL Verschlüsselung verfügen gilt im Onlinehandel auch für ein SSL Zertifikat das man es fast immer als reine Marketingmaßnahme verstehen kann.
Selbst „E-Commerce Experten“ empfehlen aber immer auf SSL Zertifikat und Prüfsiegel zu achten.
Womit also die Prüfsiegel von einer breiten Masse als sinnvoll angesehen werden und die Anschaffung eines solchen sich mitunter tatsächlich lohnen kann, immerhin könnte die Konversionsrate steigen.
Einen echten Sinngäbe es nur wenn Verstöße gegen die Bedingungen des Prüfsiegels auch geahndet werden, hier trifft man aber auf wenig Information, schade eigentlich, schwarze Schafe müssten deutlich kenntlich gemacht werden. Zudem ist der Markt der Prüfsiegel ziemlich intransparent da jedes Prüfsiegelunternehmen eigene Vergabekriterien hat.
Somit lässt sich der Wert eines solchen Siegels für den Shopbesucher nur schwer ermessen, die bekanntesten Marken gewinnen hier, müssen aber mitnichten die beste Leistung bieten.
Insofern sind für mich persönlich Prüfsiegel mit keinerlei Mehrwert verbunden, anders wäre das erst wenn es einen (gesetzlichen?) Mindeststandard gäbe auf den man vertrauen könnte ohne die Vergabekriterien erst komplett durcharbeiten und auf mögliche Schlupflöcher hin überprüfen zu müssen.
Robert Z. meint
Zensur geschafft! 🙂
Wenn das hier einer der großen Siegelanbieter lesen sollte, wird er sicher das genaue Gegenteil behaupten.
Dass die Realität da draußen oft anders aussieht ist aber vielen Verbrauchern klar. Die Irreführungen durch berühmte Paymentanbieter, die Kaufsicherheiten suggerieren und diese dann schlichtweg durch trickreiches Kleingedruckte nicht einhalten, ist ein ähnliches Thema.
H.P. meint
Wobei Zahlen die von Anbietern selbst kommen immer so eine Sache sind.
Wer sich mit der Materie beschäftigt wird schnell feststellen das es beispielsweise beim Thema Payment eine Menge Marktführer gibt, Anteile bestimmter Verfahren erstaunlich hoch sind und angeblich noch weit erstaunlichere Effekte durch das Anbieten einer bestimmten Zahlungsart erreicht werden können.
Selbiges gilt auch für andere Themenbereiche, Payment ist nur ein besonders auffälliges Beispiel, gilt daher auch für en Bereich Prüfsiegel.
Interssanterweise bekommt man derart merkwürdiges Material auch von eigentlich seriösen Stellen wie Universitäten oder Verbänden untergejubelt.
Das Manko ist das dieses Zahlenmaterial offenbar nicht wirklich gegengeprüft wird/werden kann.
Woher die Zahlen bezogen werden ist meist unklar, die Stellen die in diesem Kontext tatsächlich Zahlenmaterial haben könnten (also die Shopsystemanbieter) werden offenbar nicht angesprochen. Zumindest ist an uns noch niemand herangetreten.
Fazit für mich, vertrau keinen Zahlen die Du nicht selbst überprüft hast.
Martin H. meint
Über Sinn oder Unsinn von SSL-Verschlüsselung für den Bestellprozess kann man streiten. Ich sehe nur eine ernsthafte Berechtigung: Die Sicherung des Passworts beim Login, weil viele nur ein Passwort für unterschiedliche Zwecke und auf unterschiedlichen Seiten benutzen. Die kompletten Bestelldaten stehen vielfach unverschlüsselt in der Bestätigungsemail.
Andererseits ist bei SSL die Leistung für den Kunden im Shop klar während bei einem Prüfsiegel stärker auf die Assoziationen der Kunden gebaut wird.