Digitale Kunden-Portale oft mit Sicherheitslücken

Energieversorger und andere Dienstleister stellen im Internet Kunden-Portale zur Verfügung. Doch die Daten der Kunden seien nicht immer sicher geschützt, warnen IT-Experten. Portale von 240 deutschen Energieversorgern wurden bezüglich Sicherheitslücken unter die Lupe genommen.

Wie das IT-Magazin iX in seiner März-Ausgabe schreibt, wurden Sicherheitsfeatures wie Captchas (Unterscheidung zwischen Menschen und Computern) oder Verschlüsselung gar nicht eingesetzt oder aber veraltete beziehungsweise unsichere Verfahren genutzt. "Die Absicherung muss auf dem Stand der Technik erfolgen", sagt Ute Roos vom iX-Magazin. "Dafür müssen die Informationen zur Authentifizierung so aufgebaut sein, dass man sie nicht durch simples Ausprobieren ermitteln oder durch geschicktes Analysieren ableiten kann."

Von den 240 untersuchten Energieversorger-Portalen hätten 109 Informationslecks bei Fehlermeldungen aufgewiesen. Dadurch könne ein Angreifer Rückschlüsse auf eines der beiden zur Authentifizierung erforderlichen Merkmale ziehen, was die Sicherheit des Freischaltungsverfahrens erheblich reduziere. Auch bei den Captchas gab es Mängel. Nur 39 Portale nutzten Captchas, von denen aber zwei falsch implementiert waren. Das legt nahe, dass 85 Prozent der Portale nicht gegen automatisierte Angriffe geschützt sind.

Wenn im Mai 2018 die Datenschutz-Grundverordnung der EU (DSGVO) in Kraft tritt, könnten solche Nachlässigkeiten und Versäumnisse als Verstoß gewertet werden und Strafen von Millionen Euro nach sich ziehen, warnt Roos und empfiehlt Betreibern von Online-Kundenportalen dringend Nachbesserung mittels korrekt implementierter und vor allem aktueller Schutzmechanismen.