JTL Software kommuniziert heute um 17:29 Uhr – NACH Feierabend sämtlicher IT-ler – eine kritische Sicherheitslücke in seinem Shopsystem an deren Kunden und Dienstleister. Bemerkenswert, dass zum Zeitpunkt der Benachrichtigung bei JTL selbst gehosteten Shops die Lücke geschlossen worden ist. Das deutet darauf hin, dass die Lücke an diesem oder dem Vortag bereits im Unternehmen bekannt war. Der ungeschickt gewählte Zeitpunkt der Benachrichtigung bringt Händler nun in Gefahr. Mutmaßlich betroffen sind über 1.000 Shops, so ein Sicherheitsexperte.

JTL Shop Sicherheitslücke

(Quelle: JTL Software Benachrichtigung Mail an die Händler & Dienstleister)

Potenzielle Angreifer können die Nacht nutzen, um gezielt JTL-Shops abzuscannen und die Shops zu infiltrieren. Eine bedachte Kommunikation würde die Händler schützen. Denn welche Händler oder IT-Dienstleister sind um 17:29 Uhr noch reaktionsfähig? Die Wenigsten!

Das bedeutet also, dass böswillige Hacker nun die ganze Nacht Zeit haben, diese Lücke auszunutzen.

Eine bedachte und verantwortungsvolle Kommunikation hätte das verhindern können

Entweder hätte JTL Software ihre Kunden heute gegen Mittag oder Morgen früh über das Sicherheitsrisiko informieren sollen. Dadurch wäre ausgeschlossen, dass es einen gewichtigen Zeitraum gibt, in denen Angreifer den Shops und Unternehmen schaden können.

Kommentar

Es ist erschreckend, wie verantwortungslos und gefährlich JTL Software hier arbeitet. Unbedacht und nicht kundenzentriert. Jedem Praktikanten sollte es einleuchten, dass eine Information über eine Sicherheitslücke nach Feierabend den Betroffenen nicht hilft. Im Gegenteil, diese Information schafft doch gerade erst die Möglichkeit, dass bösartige Wettbewerber, aka Angreifer, die vorhandene Zeit nun nutzen und schaden.

„Ach ja, die JTL-Gehosteten Shops wurden schon gepatched. Das klingt danach, dass JTL schon früher davon wusste. Da hätte es nicht geschadet, bis morgen früh damit zu warten. Ein potenzieller Angreifer kann nun das Netz nach JTL-Shops abscannen und entsprechend Infiltrieren, bis die IT-Admins morgen den Patch eingespielt haben. Vermutlich geht das sogar erschreckend schnell auf Masse“, so die Einschätzung eines Dienstleisters.

Tja und da wäre jetzt die Berichterstattung. Ist sie gut? Zu früh? Potenziert sie die Gefahr oder erreicht sie Händler, die heute Nacht noch handeln? Eine schwierige Frage. Was meint ihr?