«Heartbleed» ohne Konsequenzen für Onlinehändler
Artikel erschienen in Swiss IT Reseller 2014/05
Artikel erschienen in Swiss IT Reseller 2014/05
Mitte April sorgte eine Sicherheitslücke namens «Heartbleed» in OpenSSL für Aufruhr, die Angreifern den Zugang zum Speicher eines Servers und somit zu Nutzerdaten wie etwa Passwörtern ermöglichte. Betroffen waren unter anderem Mail Provider, Finanzinstitute und Webshops. Den Usern wurde daraufhin von der Melde- und Analysestelle Informationssicherung (Melani) geraten, für rund 48 Stunden keine Onlinetransaktionen und -geschäfte zu tätigen, für welche sensible Daten wie etwa Kreditkarteninformationen notwendig waren.
«Swiss IT Reseller» hat bei verschiedenen Schweizer Onlinehändlern nachgefragt, wie sich «Heartbleed» und die Melani-Warnung auf ihr Geschäft ausgewirkt hat. Dabei ist man sich bei Steg Electronics, Digitec und Competec Service einig, dass man trotz der Warnung vor Onlinegeschäften keine Umsatzeinbussen verzeichnet hat. So berichtet Daniel Schön, Teamleiter IT-Systeme bei Competec Service: «Es gab keine aussergewöhnlichen Umsatzfluktuationen. Der Umsatz in der Kalenderwoche 15 war sogar stärker als der von der Kalenderwoche 14; auf welche Faktoren genau dies zurückzuführen ist, wissen wir nicht. Es laufen diverse Marketingaktivitäten.» Und auch Stefanie Hynek, Leader PR & Marketing Services bei Digitec, meldet: «Wie konnten keine Änderung des Kaufverhaltens unserer Kunden verzeichnen.»
Verständnis für Verzichtsaufruf
Für den Rat von Melani, für 48 Stunden keinen Onlinehandel zu tätigen, haben die Unternehmen Verständnis. «Die Empfehlungen vom Melani für die Endbenutzer helfen, ins Gedächtnis zu rufen, wo überall schützenswerte Daten ausgetauscht werden und wo es vielleicht demnächst notwendig ist, wieder einmal das Passwort zu ändern. Für uns ist nachvollziehbar, dass Melani, anstatt ins Detail zu gehen, den Weg der Verallgemeinerung wählt und für einen kurzen Zeitraum den Verzicht auf alle Transaktionen empfiehlt», meint etwa Schön von Competec Service. Und Milton Rodrigues, IT-Verantwortlicher bei Steg Electronics, erklärt: «Wenn es um die Sicherheit der Enduser geht, ist es sicher verständlich, dass die Onlinebenutzer darauf sensibilisiert werden, welche Auswirkungen eine solche Sicherheitslücke haben kann. Da es aber nicht bekannt ist, seit wann diese Sicherheitslücke ausgenutzt wird, wäre es sinnvoller, die Onlinebenutzer zu informieren, wie man präventiv damit umgehen kann.»
Keine grossen Konsequenzen
Konsequenzen aus dem aktuellen Vorfall muss man bei Steg Electronics indes keine ziehen. Denn der Onlinehändler habe präventiv gehandelt, wodurch der eigene Shop nicht von «Heartbleed» betroffen gewesen sei, betont Milton Rodrigues. Und bei Digitec arbeitet man mit keiner der betroffenen OpenSSL-Versionen und war deshalb auch nicht von dem Problem betroffen, wie Stefanie Hynek zu Protokoll gibt.
Bei Competec Service bestand derweil praktisch keine Gefährdung der Kundendaten durch «Heartbleed», weil man bereits zuvor die OpenSSL-Komponenten frühzeitig aufdatiert hat. «Zusätzlich haben wir unsere Private Keys und Zertifikate generell erneuert. Weitere Massnahmen behalten wir uns vor. Generelle Konsequenzen wie
etwa ein Technologiewechsel sehen wir nicht vor, da auch mögliche Alternativen nie hundertprozentige Sicherheit bieten», ergänzt Schön. (abr)
Artikel kommentieren
