Datensicherheit

Angriff auf den Online-Shop

24. Juli 2015
von Börsenblatt
Kürzlich auf 3sat: Ein Hacker manipuliert die Preise bei einer Buchbestellung. Für Sortimenter besteht dennoch kein Grund zur Sorge.
Er spürt Sicherheitslücken auf und greift im Auftrag von Kunden deren Netze an: Sebastian Schreiber von der Firma SySS ist seit zehn Jahren von Berufs wegen Hacker – korrekt bezeichnet: Penetrationstester. Am 4. Mai war er zu Gast in der 3sat-Sendung »Neues«, in der es um Hacker und die Sicherheit elektronischer Daten ging – und um Online-Bestellungen bei Buchhandlungen. Vor laufender Kamera suchte Schreiber über Google Shops aus, bei denen er ohne großen Aufwand in bestimmte Bereiche eindringen konnte. Dann wählte er die Website einer Buchhandlung aus, um zu demonstrieren, wie schnell man den Preis bei einer Bestellung manipulieren kann. Sinnigerweise entschied sich der Tester dafür, »Die Bücherdiebin« von Markus Zusak zu ordern. Um das Buch zu kaufen, musste der User auf die ISBN klicken, die mit einem Link unterlegt war. Der Inhalt des Links ist just noch einmal in der Fußzeile der Bildschirmseite zu sehen; auch der Preis von 19,90 Euro ist dort vermerkt. Schreiber manipulierte nun den Linkinhalt, indem er ihn kopierte, in die Adresszeile einfügte und dort die entsprechenden Veränderungen durchführte. So hätte der Pene-trationstester »Die Bücherdiebin« statt für 19,90 Euro für nur 1,90 Euro bestellen können. Könnte dieser Fall exemplarisch sein für Manipulationen in größerem Stil? Und wie groß kann der wirtschaftliche Schaden sein? »Es entsteht gar keiner«, sagt der Marburger Buchhändler Rudolph Braun-Elwert, der die Sendung gesehen hat. »Ähnlich wie bei einer Postkarte formuliert der Kunde mit dem Abschicken des Online-Warenkorbs einen Bestellwunsch. Durch die Manipulation kommt es nun an einer Stelle zu einer falschen Angabe, aber die gesamte Bestellung wird doch am Ende vom Sortimenter kontrolliert.« In der Buchhandlung Elwert etwa wird jede Online- Bestellung manuell nachbearbeitet. Bei den von Auslieferungen und Barsortimenten etikettierten Büchern würde ein Warenwirtschaftssystem die mangelnde Übereinstimmung zwischen Online-Bestellung und Buch bemerken. »Es ist unwahrscheinlich, dass ein Warenwirtschaftssystem einen Auftrag entgegennimmt, wenn der Preis nicht stimmt«, meint Carsten Meyke, IT-Leiter bei der MVB, der ebenfalls die 3sat-Sendung gesehen hat. Vergangene Woche habe er für die Plattform buchhandel.de eine Lösung erarbeitet, die eine Verifizierung des Preises durch den Händler mithilfe eines kostenfreien Webservice ermöglicht. Rudolph Braun-Elwert, der lange Zeit als Vorstand des Sortimenter-Ausschusses Deutschlands oberster Buchhändler war, hält Panik an dieser Stelle für verfehlt. »Bestellung und Buch kommen ja gar nicht mehr zusammen.« Und weist darauf hin, dass der Sortimenter für die Feststellung des korrekten Preises verantwortlich ist. Durch Verzögerungen in der Produktion etwa komme es auch sonst ab und an zu anderen Preisen als vom Verlag angekündigt. »Maßgebend ist aber nicht der Preis zum Zeitpunkt der Bestellung, sondern immer der Preis zum Zeitpunkt der Auslieferung des Buchs.«