Was der TÜV abgenommmen hat, ist sicher. Davon sind die meisten Deutschen überzeugt. Doch gilt dies auch fürs Internet? Eklatante Datenpannen bei zertifizierten Online-Shops lassen da berechtigte Zweifel aufkommen.

"Safer-Shopping" heißt das Prüfzeichen vom TÜV Süd. Und Kunden sollen "Sicherer Einkaufen" durchaus wörtlich nehmen. "Wenn Sie unser Prüfzeichen auf einer Website sehen ... können Sie beruhigt dort einkaufen, da wir den Händler für Sie sorgfältig geprüft haben", verspricht der TÜV. Bei der Prüfung vor Ort schaue man "auch an Stellen, die sonst nicht so viele zu Gesicht bekommen. Dabei interessieren uns Dinge wie: Ist die Bestellabwicklung zuverlässig? Werden Ihre Anfragen ernst genommen? Wie werden Ihre persönlichen Daten geschützt und ist die Zahlungsabwicklung sicher?"

Dickes Geschäft

Das klingt sehr seriös und die Kunden vertrauen darauf. Für zertifizierte Online-Shops zahlt sich das aus. Der TÜV selbst verweist auf eine Studie des E-Commerce-Center Handel, die zu dem Ergebnis kommt, "dass die Einbindung vertrauensbildender Maßnahmen beim Online-Vertrieb zu deutlichen Umsatzsteigerungen führen kann. Online-Händler sollten die sich ihnen bietenden Möglichkeiten, durch Dritte bereitgestellte vertrauensbildende Maßnahmen in ihren Online-Shop einzubinden, daher intensiv prüfen."

Es geht um sehr viel Geld - gerade jetzt, da das Weihnachtsgeschäft anläuft: Im vergangenen Jahr wurden in den Monaten November und Dezember Geschenke im Wert von 2,7 Milliarden Euro im Internet bestellt. Im Vergleich zu 2007 war dies ein Plus um satte 23 Prozent. Trotz Krise sind in auch in diesem Jahr kaum schlechtere Zahlen zu erwarten. Denn gerade wenn gespart werden muss, bietet sich der im Vergleich zu Ladengeschäften deutlich günstigere Online-Einkauf an.

Nur haltbar bis zum nächsten Update

Schlechte Nachrichten wie der Daten-Gau beim Online-Buchhändler Libri.de kommen da sehr ungelegen. 500.000 Kunden-Rechnungen waren durch einen simplen Trick für jederman online abrufbar. Und das trotz TÜV-Siegel. Was war passiert? Laut TÜV-Sprecher Frank Volk entstand das Leck erst nach der Prüfung durch ein Software-Update. Das bestätigt auch Libri.de. Etwa alle drei Monate werde aktualisiert, sagt Geschäftsführer Per Dalheimer. Dies sei ein grundsätzliches Problem, für das man nach Lösungen suche, im Moment aber keine anzubieten habe, sagt Volk. Das bedeutet: Auch wenn das TÜV-Siegel für ein Jahr vergeben wird, heißt dies noch lange nicht, dass sich Kunden zwölf Monate lang sicher fühlen dürfen. Im Prinzip nicht mal einen Tag nach der Prüfung.

Jetzt fragt sich Otto-Normal-Verbraucher, warum es der TÜV Süd nicht wie bei der Kfz-Prüfung handhabt: Wer nach der Abnahme Veränderungen vornimmt, muss diese vom TÜV abnehmen lassen. "Nicht praktikabel", sagt Volk. "Wer soll das bezahlen?"

Lücke auf Safer-Shopping-Seite

Sicherheit? Mehr als ein Vielleicht ist nicht drin. Und es kommt noch schlimmer: Denn offenbar ist auch die TÜV-Prüfung an sich alles andere als gründlich. Benjamin Flesch vom IT Services Blog hat den Libri-Skandal zum Anlasss genommen, einige vom TÜV Süd zertifizierte Shops unter die Lupe zu nehmen. Sein Ergebnis: "Auf der Hälfte der von mir 'überprüften' Seiten existieren Sicherheitslücken." Dabei handelt es sich in allen Fällen um so genannte Cross-Site-Scripting-Lücken (XXS-Lücken). Damit können Hacker beispielsweise falsche Eingabeformulare im Browser der Opfer anzeigen lassen, um Passwörter abzugreifen. Pikanterweise fand Flesch auch eine XSS-Lücke auf der Safer-Shopping-Seite. "Unter einer Sicherheitszertifizierung hätte ich mir zumindest einen groben Penetrationstest vorgestellt, der bei den aufgezeigten Homepages mit großer Wahrscheinlichkeit nicht durchgeführt wurde, da selbst ein Wald-und-Wiesen-Hacker wie ich Erfolg hatte", lautet sein Fazit.

Der Hobby-Hacker informierte seine "Opfer" mit Bananen-Botschaften über die Lücken. Einige haben sich bei ihm gemeldet und zugesichert, die Probleme zu beseitigen. "Der TÜV Süd war auch darunter", sagt Flesch. "Man hat mir sehr freundlich das Dilemma geschildert, dass durch häufige Updates entsteht."

Glaubwürdig heißt nicht sicher

Zur Ehrenrettung des TÜV Süd muss angeführt werden, dass sein Safer-Shopping noch zu den sichersten Gütesiegeln für Online-Shops zählt. Computerbild bewertete es in einem Test zusammen mit vier anderen Siegeln als "glaubwürdig". Aber glaubwürdig heißt eben nicht automatisch sicher. Und so lange der TÜV Süd und andere "glaubwürdige" Gütesiegel-Anbieter keine Lösung für das Update-Dilemma gefunden haben, sollten sie die Verbraucher wenigstens über das Problem informieren. Beim TÜV Süd sucht man nach einem entsprechenden Hinweis bisher vergeblich.