Freitag, 9. Juni 2017

Datensicherheit bei Onlinebestellungen in Seedshops

 

 

 

Jahr für Jahr steigt die Anzahl der Kunden, die über das Internet Waren bestellen. Doch wie sicher sind in Zeiten von Hackerangriffen und Datendiebstahl unsere persönlichen Daten, die wir beim Kauf hinterlassen?

Noch problematischer gestaltet sich das Thema Online Sicherheit, wenn sich Kunden bei der Warenbestellung in einer rechtlichen Grauzone befinden. Hier sollte man bei der Wahl des Onlineshops besonders genau hinsehen, um nicht später eine böse Überraschung zu erleben. Unser IT Sicherheitsexperte Mr. SaveShop hat für Euch die bekanntesten Seedshops getestet und leider bei den meisten Sicherheitslecks aufgedeckt.

 

Folgende Shops wurden getestet:
Amsterdamseedcenter.com, Cannapot.com, Hanf-hanf.at, Masterofseeds.com, Oaseeds.com, Samenwahl.com, Seeds24.at, Send-a-seed.net, Seedheaven.net, Unitedseedbanks.com, Weedseedshop.com

 

Auf folgend Kriterien und Sicherheitslücken wurden die Seedshops getestet:

 

1. Check auf Sicherheitslecks im Shop System
Seit dem 25. Juli 2015 gilt in Deutschland ein neues IT-Sicherheitsgesetz. Danach müssen Betreiber geschäftsmäßiger Telemedien, wie beispielsweise Webshop-Betreiber, Vorkehrungen treffen, um einen unerlaubten Zugriff auf ihre Webseite oder eine Störung – von innen wie von außen – zu verhindern. Zudem müssen die Kundendaten geschützt werden. Wenn das nicht geschieht, kann das dank der neuen EU-Datenschutz-Grundverordnung teuer werden, denn die Verordnung betrifft alle Unternehmen mit Sitz in der EU und führt zu erheblichen Strafen (bis zu 300 000 €), wenn personenbezogene Daten nicht ausreichend geschützt werden.

 

Besondere häufig werden Fehler in der Verarbeitung von Benutzereingaben von Hackern ausgenutzt, um den Webshop zu unterwandern. Zu den häufigsten Sicherheitslücken zählen das Cross Site Scripting (XSS). Hierbei werden vom Angreifer fehlerhafte Web-Applikationen ausgenutzt und dem Browser des Opfers vorgegaukelt, dass bestimmte Scripte von einer vertrauenswürdigen Seite stammen. Dazu gehören zum Beispiel manipulierte Login- oder Bestellformulare, bei denen dann die eingegeben Kundendaten ausgelesen werden können. Aber auch Session-Cookies, die einen Administrator authentifizieren, können entwendet werden und erlauben einem Angreifer den Administratorzugriff auf die betroffene Seite.

 

Auch die Wahl der verwendeten Shopsoftware kann sich auf die Sicherheit auswirken. Sogenannte OpenSource Systeme wie z.B. osCommerce oder Magento sind kostenlos und werden daher häufig verwendet. Aufgrund des offenen Codes können Hacker & Sicherheitsforscher leichter Schwachstellen aufdecken und sich zu Nutze machen. Das macht die Software nicht zwangsläufig sicherer oder unsicherer, denn es kommt immer darauf an, ob jemand den offenen Quellcode tatsächlich überprüft. Daher ist es bei Verwendung dieser Shopsysteme besonders wichtig, immer die aktuellsten Updates installiert zu haben.

 

2. Verschlüsselter Versand von Kundendaten in Rechnungs-Emails
Eine weiterer festgestellter Sicherheitsmangel ist das unverschlüsselte Versenden von Kundendaten in Rechnungs-Emails, die nach der Bestellung von den Shops generiert werden. Emails können ohne großen Aufwand abgefangen und ausgelesen werden. In Zusammenhang mit der Bestellung von Hanfsamen, könnte dies zu kritischen Fragen oder im schlimmsten Falle gar zu Hausdurchsuchungen führen. Gerade Kunden, die den „Tor-Browser“ nutzen, riskieren hier de-anonymisiert zu werden.

 

3. Verschlüsselung von Passwörtern bei der Anmeldung
Weitere Probleme können entstehen, wenn bei Anmeldung Passwörter im Klartext gespeichert werden. Wird die Kundendatenbank gehackt, gelangen somit gleichzeitig Adressdaten und Passwörter in fremde Hände. Da viele Kunden häufig ein und dasselbe Passwort für verschiedene Logins verwenden, können Angreifer sich auch dies zu Nutze machen.

 

4. HTTPS Verschlüsselung des gesamten Shops
Die Verwendung von HyperText Transfer Protocol Secure (https) bei der Datenübertragung gilt mittlerweile als Standard auf Seiten, wo sensible Kundendaten oder Kreditkartennummer abverlangt werden. Hierbei werden alle Daten verschlüsselt über eine sichere Datenleitung vom Kunden zum Shop übertragen. Man sollte darauf achten, ob sich vor den Namen des Onlineshops ein „https“ befindet – also „https://www.mein-shop.de – und ein Symbol eines geschlossenen Vorhängeschlosses in der Adressleiste zu sehen ist. Nach neuestem Erkenntnisstand sollte die gesamte Website HTTPS verschlüsselt werden, und nicht nur dann, wenn relevante Kundedaten abgefragt werden. Nur so kann eine 99,99% Sicherheit gewährt werden.

 

5. Verweis auf Verwendung von Cookies
Fast alle Webseiten verwenden Cookies, um die Bedienfähigkeit der Anwendungen zu verbessern. Dabei müssen aber bestimmte Daten des Kunden, der die Seite besucht, im Browser gespeichert werden (Cookies). Seit 2015 gilt europaweit eine Richtlinie, wobei der User der Verwendung von Cookies zustimmen muss, bevor diese auf Websites eingesetzt werden dürfen.

 

6. Verwendung eines Impressums
Vor dem Bestellen sollte man sicher sein, wem man seine persönlichen Daten anvertraut. Dabei reicht es sicher nicht aus, wenn der Shop-Betreiber mit Sicherheit wirbt, aber nicht klar ist, wer eigentlich der Eigentümer des Shops ist. Daher ist vom Gesetzgeber die Angabe eines Impressums vorgeschrieben, in dem der Name des Betreibers, Rechtsform, Anmeldung im Handelsregister und Umsatzsteuernummer angegeben werden muss. Zumindest sollte klar sein, an wen man sein Geld überweist und gegen wen man im Problemfalle klagen könnte.

 

Testergebnisse

Zu den Gewinnern gehören mit Abstand Samenwahl.com und Cannapot.com. Bis auf wenige Abstriche erfüllen beide Shops die aktuellen Anforderungen zur Datensicherheit. Leider kann dies von den anderen Shops kaum oder nicht gesagt werden. Eine Vielzahl haben entweder gravierende Sicherheitslücken oder berücksichtigten elementare Regeln nicht. Diese Shops konnten nur mit „befriedigend“ bewertet werden: Amsterdamseedcenter.com, Seeds24.at, Oaseeds.com, Send-a-seed.net, Seedheaven.net, Weedseedshop.com.

Zu den Verlieren unseres Tests gehören Unitedseedbanks.com und Masterofseeds.com. Hier werden zahlreiche Aspekte der Datensicherheit nicht in genügendem Maße berücksichtigt.
Die Gewinner

 

Samenwahl.com: 5 Pkt.

Positiv: Bei Samenwahl.com scheint die Datensicherheit oberste Priorität zu haben. Die Webseite basiert auf einem selbständig programmierten System und verwendet keine Shopsoftware „von der Stange“ wie z.B. das kostenlose Magento. Einen Kundenlogin gibt es erst gar nicht, Adressen,- und Kundendaten werden in den Emails anonymisiert. HTTPS Verschlüsselung findet sich auf der gesamten Website. Samenwahl benutzt nur sogenannte Session Cookies, welche nach Verlassen des Shops nicht auf dem Kundenrechner gespeichert werden.

Negativ: Einige kleine Abstriche beim Impressum.

 

Cannapot.com: 5 Pkt.

Positiv: Auch Cannapot.com hat keinerlei Sicherheitslecks im System. Bei der Anmeldung werden die Passwörter, in den Emails die Adressen,- und Kundendaten verschlüsselt. HTTPS Verschlüsselung findet sich auf der gesamten Website. Die Systemsoftware ist auf dem neuesten Stand. Das Impressum entspricht den Vorgaben.

Negativ: Nirgendwo wird auf die Verwendung von Cookies hingewiesen.

Das Mittelfeld
Folgende Shops konnten mit „befriedigend „bewertet werden:

2Pkt: Amsterdamseedcenter.com , Seeds24.at, Oaseeds.com, Send-a-seed.net
1Pkt: Seedheaven.net
0Pkt: Weedseedshop.com, Hanf-hanf.at

 

Amsterdamseedcenter.com: 2 Pkt.

Positiv: Der Shop hat keine gravierenden XSS oder CSRF Sicherheitslecks im System. Bei der Anmeldung werden die Passwörter, in den Emails die Adressen,- und Kundendaten verschlüsselt. HTTPS Verschlüsselung findet sich auf der gesamten Website. Das Impressum entspricht den Vorgaben.

Negativ: Die verwendete Software Magento befand sich nicht auf den aktuellsten Stand. Wichtige Sicherheitsupdates waren nicht eingespielt. Das vorhandene Sicherheitsleck ist schon länger bekannt. Über 1000 deutsche Online-Shops wurden infiziert und angezapft. Nirgendwo wird auf die Verwendung von Cookies hingewiesen.

 

Seeds24.at: 2 Pkt.

Positiv: Der Shop hat keine gravierenden XSS oder CSRF Sicherheitslecks im System. Bei der Anmeldung werden die Passwörter, in den Emails die Adressen,- und Kundendaten verschlüsselt. HTTPS Verschlüsselung findet sich auf der gesamten Website. Das Impressum entspricht den Vorgaben.

Negativ: Die verwendete Software Magento befand sich nicht auf den aktuellsten Stand. Wichtige Sicherheitsupdates waren nicht eingespielt. Das vorhandene Sicherheitsleck ist schon länger bekannt. Über 1000 deutsche Online-Shops wurden infiziert und angezapft. Nirgendwo wird auf die Verwendung von Cookies hingewiesen.

 

Oaseeds.com: 2 Pkt.

Positiv: Bei der Anmeldung werden die Passwörter, in den Emails die Adressen,- und Kundendaten verschlüsselt. HTTPS Verschlüsselung findet sich auf der gesamten Website. Das Impressum entspricht den Vorgaben.

Negativ: Eine „Self-XSS-Sicherheitslücke“ ermöglicht das Ausführen von schädlichem JavaScript-Code, was zum Verlust von Kundendaten führen kann. Auf die Verwendung von Cookies wird nicht hingewiesen.

 

Send-a-seed.net: 2 Pkt.

Positiv: Bei der Anmeldung werden die Passwörter, in den Emails die Adressen,- und Kundendaten verschlüsselt. HTTPS Verschlüsselung findet sich auf der gesamten Website. Das Impressum entspricht den Vorgaben.

Negativ: Ein vorhandenes Sicherheitsleck beim Anmeldeprozess ermöglicht es, die Seite mit Spam-Emails anzugreifen und unter Umständen lahmzulegen. Auf die Verwendung von Cookies wird nicht hingewiesen.

 

Seedheaven.net: 1 Pkt.

Positiv: Es sind keine gravierenden Sicherheitslecks vorhanden. Die Software befindet sich auf dem neuesten Stand. Bei der Anmeldung werden die Passwörter verschlüsselt. Bestellung ohne Anmeldung ist möglich. HTTPS Verschlüsselung findet sich auf der gesamten Website.

Negativ: In den Emails werden die Kundendaten unverschlüsselt versendet. Ein Impressum ist nicht vorhanden. Es ist nicht ersichtlich, wer der Eigentümer des Shops ist. Auf die Verwendung von Cookies wird nicht hingewiesen.

 

Weedseedshop.com: 0 Pkt.

Positiv: Bei der Anmeldung werden die Passwörter, in den Emails die Adressen,- und Kundendaten verschlüsselt. Auch eine Bestellung ohne Anmeldung ist möglich.

Negativ: „XSS-Schwachstellen“ ermöglichen das Einbetten von schädlichem JavaScript-Code. Ein Angreifer könnte die kompletten Webseite umschreiben und z.B. ein eigenes Login-Formular platzieren und somit die Kundendaten abfangen. Das Impressum ist nicht vollständig. Auf die Verwendung von Cookies wird nicht hingewiesen.
Die Verlierer

 

Zu den Verlieren des Testes zählen Masterofseeds.com (-1), Unitedseedbanks.com (-3) und Hanf-hanf.at (-5). Diese Online Shops weisen eine Reihe von Sicherheitsmängeln auf und entsprechen nicht den geforderten Sicherheitsbestimmungen.

 

Masterofseeds.com: -1 Pkt.

Positiv: Es wurde keine gravierenden Sicherheitslücken im Shopsystem gefunden. Auf die Verwendung von Cookies wird hingewiesen. Eine Bestellung ohne Anmeldung ist möglich.

Negativ: In den Emails werden die Kundendaten unverschlüsselt versendet. Auch die Eingabe von Passwörtern erfolgt unverschlüsselt. Darüber hinaus ist keine https-Verschlüsselung bei der Übertragung der Daten vorhanden. Das Impressum ist unvollständig.

 

Unitedseedbanks.com: -3 Pkt.

Positiv: Es wird eine neue Software verwendet. Damit konnten alte Sicherheitslücken geschlossen werden. Es kann alternativ auch ohne Anmeldung bestellt werden.

Negativ: In den Emails werden die Kundendaten unverschlüsselt versendet. Auch die Eingabe von Passwörtern erfolgt unverschlüsselt. Darüber hinaus ist keine https-Verschlüsselung bei der Übertragung der Daten vorhanden. Ein Impressum ist nicht vorhanden. Auf die Verwendung von Cookies wird nicht hingewiesen.

 

Hanf-Hanf.at: -5 Pkt.

Positiv: Passwörter werden bei der Eingabe verschlüsselt. Ein Impressum ist vorhanden.

Negativ: Vier Sicherheitslücken (XSS/CSRF) erlauben einem Angreifer die vollständige Übernahme der Webseite und der Kundendatenbank. Es kann schädlicher Code eingebunden werden. Der Shop verwendet die Software JTL Shop, die nicht auf dem aktuellsten Stand ist. Kundendaten werden unverschlüsselt versendet, eine HTTPS Verschlüsselung fehlt genauso wie der Hinweis auf die Verwendung von Cookies.
Fazit:
Zusammenfassend kann gesagt werden, dass ein Großteil der Samenshops nicht 100% sicher ist. Gerade bei dem sensiblen Thema sollten die Shop-Betreiber mehr Augenmerk auf die Datensicherheit der Kundendaten legen. Aber auch die Kunden selber sollten aufmerksamer bei der Wahl des Shops ihres Vertrauens auftreten, um böse Überraschungen weitestgehend auszuschließen.

 

 

 

 

Der Anbau von Hanf oder auch nur die Aufforderung zum Anbau sind eine Straftat, weshalb wir Euch dringend warnen müssen. Bei uns gilt: Nur anschauen, nicht nachmachen.

3 Antworten auf „Datensicherheit bei Onlinebestellungen in Seedshops

  1. Lars Rogg

    ok, ihr macht zwar Werbung für Zamnesia, doch der Versand taucht in der Bewertung nicht auf !!
    Gibt’s dafür einen Grund ???

  2. Michael Schwarz

    Angesehen habe ich mir nur samenwahl.com, weil dieser Shop als erste genannt wurde. Diesem Shop würde ich auch eine 5 geben, allerdings als Schulnote.

    Alle sicherheitsrelevanten Header fehlen, was securityheaders.io sehr gut zeigt:
    https://picload.org/image/riipdlrw/securityheaders_io.png

    Dem Session-Cookie fehlt der HttpOnly- und der Secure-Flag und die Session lässt sich sehr leicht vorgeben:
    https://picload.org/image/riipdlar/cookie-flags-session-fixation.png

    Und schließlich lässt sich der Shop sehr leicht manipulieren:
    https://picload.org/image/riipdldi/warenkorb-1.png
    https://picload.org/image/riipdldw/warenkorb-2.png
    Eine solche Bestellung würde sehr wahrscheinlich nicht ausgeführt werden, aber wo diese Art von Manipulation möglich ist, da findet man auch noch anderen grobe Fehler.

    Ein vertrauenswürdiger Shop sieht meiner Meinung nach anders aus.

  3. Martin

    Super Artikel, der dringend notwendig ist!
    Ich habe kurz Nachgefragt bei den genannten Seiten – sie haben sofort reagiert und sie werden sich darum kümmern:
    – Amsterdam Seed Center
    – Seed24.at
    – Seedheaven

    grüße

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.