Onlineshops im Hacker-Fokus: So geht Sicherheit im E-Commerce
Sie häufen sich - die Meldungen über Hackerangriffe auf systemrelevante Unternehmen. Mit nerdigem Einzelkämpfertum hat das nichts mehr zu tun. Cyberkriminalität ist längst aus der Nische herausgetreten. Sie ist nicht nur Teil politischer Machtausübung, sondern gehört inzwischen zur Alltagskriminalität. Statistiken untermauern diesen Trend: Seit 2020 boomen Cyberattacken in allen Bereichen des digitalen Lebens. Dabei passen Shopbetreiber:innen extrem gut ins Beuteschema.
Online-Händler:innen im Visier
Hacker setzen Online-Händler:innen aus zwei Gründen in ihren Zielfokus: Zum einen sind sie Hüter wertvoller Kundendaten. Kaum eine andere Branche besitzt so viele sensible Daten, die schnell weiterverkauft oder leicht zu Gütern umgewandelt werden können, wie der Handel. Zudem sitzen die Angreifer:innen an einem sehr wirksamen Hebel. Ist ein Shop mal nicht erreichbar oder wird manipuliert, entstehen schnell riesige finanzielle Schäden und Imageverluste.
Dass Kundendaten zu stehlen, zu manipulieren und auszunutzen oder Onlineshops lahm zu legen, die zentralen Angriffsmotive sind, bestätigt auch die Statistik. So zielten laut Statista in Q3 2020 fast 20 Prozent aller Phishing-Attacken auf Onlineshops ab. Eine Rekordmenge an Onlineshops wurde zudem durch DDoS-Attacken außer Gefecht gesetzt. Die Angriffe konzentrierten sich dabei deutlich auf das Gesundheitswesen und den E-Commerce.
Bedrohungen können aus vielen verschiedenen Quellen kommen - und arbeiten enorm effektiv. Laut einer DataProt-Studie können 88 % der professionellen Hacker ein Unternehmen in nur 12 Stunden infiltrieren. Damit wird klar: Eine gute Sicherheitsstrategie für den elektronischen Handel ist überlebenswichtig. Genauso wie physische Geschäfte in Sicherheitspersonal oder Kameras investieren, um Diebstähle zu verhindern, müssen sich Onlineshops gegen Cyberangriffe schützen. Türsteher und Alarmanlagen, wie sie im stationären Handel Gang und Gäbe sind, helfen hier naturgemäß nicht weiter. Es reicht auch nicht, ein paar grundlegende Sicherheitsmaßnahmen anzuwenden und das Thema damit abzuhaken. Denn Hacker ändern ihre Angriffsmethoden ständig. Der Schlüssel zum Schutz der Daten liegt darin, ein grundsätzliches Verständnis zu Risiken und Sicherheitsmechanismen zu entwickeln. Es braucht eine kontinuierliche Wachsamkeit und Anpassung der “Alarmanlagen”.
Was genau heißt “sicher”?
Klar ist, es geht um die Daten im Shop. Doch was genau ist hier wichtig? Was steckt hinter dem Begriff Datensicherheit? Um das zu verstehen, helfen ein paar Schlüsselbegriffe. Sie sind für das Verständnis von Sicherheitsprotokollen im E-Commerce unerlässlich.
Datenschutz: Hier geht es darum, unbefugte interne und externe Bedrohungen am Zugriff auf Kundendaten zu hindern, beispielsweise durch Virenschutz oder Verschlüsselung. Die Störung des Datenschutzes von Kund:innen wird als Verletzung der Vertraulichkeit betrachtet und kann verheerende Folgen für die Privatsphäre der Kund:innen und den Ruf als Händler:in haben.
Integrität: Integrität bezieht sich darauf, wie genau die Kund.innendaten eines Unternehmens sind. Die Pflege eines sauberen, kuratierten Kund.innendatensatzes ist entscheidend für den Erfolg eines E-Commerce-Unternehmens. Die Verwendung fehlerhafter Kundendaten, beispielsweise falsche Telefonnummern oder Adressen, führt dazu, dass die Kund:innen das Vertrauen in die Shopbetreiber:innen verlieren - und zwar nicht nur in Bezug auf die Pflege der Daten, sondern umfassend.
Authentifizierung: Die Authentifizierung beweist, dass beide Seiten tun, was sie behaupten und sind, was sie vorgeben zu sein. Die Website sollte zumindest einen Beweis dafür liefern, dass das Unternehmen das verkauft, was es behauptet, und dass es die Waren entsprechend den Erwartungen liefert. Die Verwendung von Kundenzitaten auf der Website oder die Veröffentlichung von Fallstudien sind Strategien, um die Glaubwürdigkeit des Unternehmens zu erhöhen. Kund:innen sollten aufgefordert werden, ihre Identität zu überprüfen, bevor sie ihre Online-Transaktionen abwickeln. Beispiele für eine Kundenauthentifizierung sind die Zwei-Faktor-Authentifizierung oder die Verwendung magischer Links..
Unleugbarkeit: Hier geht es um Prozesssicherheit. Weder Kund:in noch Händler:in sollen die Transaktionen abstreiten können, an denen sie beteiligt waren. Maßnahmen wie digitale Signaturen stellen sicher, dass keine Partei einen Kauf bestreiten kann, nachdem er getätigt wurde.
Diese Risiken sollten Sie kennen
Es gibt eine Vielzahl von Cyberangriffen, die das Online-Geschäft bedrohen können. Um sich wirksam gegen Angriffe zu schützen, ist es entscheidend, die verschiedenen Sicherheitsbedrohungen zu kennen. Hier die sieben wichtigsten:
Phishing: Phishing ist eine Methode des Cyberangriffs, bei der die Opfer dazu verleitet werden, vertrauliche persönliche Daten - wie Passwörter oder Sozialversicherungsnummern - per E-Mail, SMS oder Telefon preiszugeben. Phishing-Nachrichten vermitteln den Eindruck von Dringlichkeit und stammen von Adressen oder Telefonnummern, die denen ähneln, mit denen die Zielpersonen häufig zu tun haben. Die Hacker ergreifen weitere Maßnahmen, um den Anschein zu erwecken, dass sie ein vertrauenswürdiges Unternehmen vertreten, wie z. B. Links zu Seiten, die das Opfer wiedererkennen würde. Phishing funktioniert jedoch nur, wenn die Kunden die von den Angreifern angeforderten Informationen bereitstellen. Wenn Händler:innen gegenüber Kund:innen kommunizieren, dass sie niemals per E-Mail oder SMS nach persönlichen Daten fragen werden, können sie ihnen helfen, wachsam zu bleiben.
Malware und Ransomware: Hier wird es richtig unangenehm. Malware, die Abkürzung für "bösartige Software", ist speziell darauf ausgerichtet, ein Computersystem zu stören, zu beschädigen oder sich unbefugten Zugriff darauf zu verschaffen. Daten werden beispielsweise verschlüsselt, bis die Opfer für die Freigabe bezahlen. Das Geschäft kommt zeitweise komplett zum Erliegen und die Beseitigung wird teuer. Die Installation von Antivirus- und Antispyware-Software, die ständige Aktualisierung der Systeme und die Verwendung einer sicheren Authentifizierung können diese Malware-Angriffe vereiteln. In diese Kategorie fallen auch sogenannte “Trojanische Pferde”. Sie sind als nützliche Programme getarnt und erscheinen harmlos. Doch durch das Herunterladen wird ein Malware-Code aktiviert.
SQL-Injektion: Die Speicherung von Daten in einer SQL-Server-Datenbank (Structured Query Language) ist zwar eine ganz normale Praxis, aber nicht automatisch sicher. SQL-Server speichern Daten in einer Reihe von Tabellen, die von Anwendungen über Anfragen abgerufen werden können. Wenn diese Server ungeschützt sind, können Angreifer:innen ihre eigenen Abfragen einschleusen, so dass sie alle Informationen in einer SQL-Datenbank einsehen und ändern können. Eine geschulte Wahrnehmung, Datenbankänderungen als nicht vertrauenswürdig zu erkennen, und der Einsatz moderner Web-Entwicklungstechnologien können SQL-Injection (SQLi) vermeiden.
Website-übergreifendes Skripting (XSS): Cross-Site-Scripting (XSS) tritt auf, wenn ein Angreifer ein Stück bösartigen Code in eine Webseite einfügt. Obwohl sich XSS nicht auf die gesamte Website auswirkt, setzt es Kund:innen Cyberangriffen wie Phishing und Malware aus. Durch regelmäßiges Scannen auf Schwachstellen im Code der Website oder in API-Integrationen und deren schnelle Behebung können XSS-Angriffe verhindert werden.
Brute-Force-Angriffe: Hier ist die Administratorkonsole Ziel des Angriffs. Sobald Hacker eine Verbindung zur Website hergestellt haben, führen sie automatisierte Programme, sogenannte Skripte, aus, um alle möglichen Kombinationen aus Buchstaben, Zahlen und Zeichen zu erraten, aus denen das Passwort bestehen könnte. Ein komplexes, sicheres Kennwort für die Verwaltungskonsole, das regelmäßig geändert wird, kann dem entgegenwirken.
E-Skimming: E-Skimming ist eine Methode zum Diebstahl von Kreditkarteninformationen und persönlichen Daten im Rahmen der Zahlungsabwicklung. Bei diesem Angriff verschaffen sich Hacker Zugang zu Kassenseiten und erfassen in Echtzeit Zahlungsinformationen, während Kund:innen diese eingeben. Einfallstore sind XSS-, Phishing- oder Brute-Force-Angriffe. Wenn Ihre Website von E-Skimming betroffen ist, sollten Händler:innen prüfen, ob ihre Cyber-Versicherung Verluste abdeckt, und die Einkaufswagenseite abschalten, um die Ursache zu untersuchen und zu beseitigen.
Spam: Spammer verwenden häufig E-Mails, um infizierte Links zu verbreiten, aber agieren auch in Blog-Kommentaren, sozialen Medien oder Kontaktformularen. Spam beeinträchtigt die Sicherheit einer Website und verlangsamt die Surfgeschwindigkeit. Das Löschen unerwünschter Kommentare und die Aktivierung von reCAPTCHA in Formularen können helfen, Spam-Angriffe zu vereiteln. Bei reCAPTCHAs müssen Benutzer:innen eine leicht verzerrte Reihe von Zahlen und Buchstaben eingeben, die Spambots nicht lesen können.
Speichern, Schulen und Verschlüsseln - so geht Sicherheit im Onlineshop
Shop-Betreiber:innen sollten bereits von Anfang an den Aspekt Sicherheit in ihre Planungen einbeziehen. Das stellt gleich zu Beginn die richtigen Weichen und erleichtert den weiteren Prozess. Eine gut funktionierende Sicherheitsstruktur ist auch relevant, um sich in Bezug auf gesetzliche Vorgaben für den Schutz sensibler Daten gut aufzustellen. Zu den wichtigsten Vorsorgemaßnahmen gehören:
Einen guten Hoster für den Onlineshop wählen. Hoster sollten nicht nur über ausreichende Kapazitäten für potenziell hohe Besucher:innenzahlen verfügen. Wichtig sind auch glaubwürdige Kapazitäten in puncto Sicherheitseinstellungen. Gute Hoster haben ihre Infrastruktur bewusst mit notwendigen Kapazitäten ausgestattet, um gegen DDoS-Attacken gut gerüstet zu sein. Häufige Sicherheitsupdates und das regelmäßige Zur-Verfügung-Stellen der neuesten Patches sind wichtige Indizien für eine gute Sicherheitsarchitektur.
Nur die nötigsten Daten speichern. Die sichersten Daten sind die, die gar nicht erst erhoben werden. Aus diesem Grund sollten Händler:innen nur die nötigsten Kundendaten speichern. Meint auch die DSGVO, die in puncto Datenschutz das Maß der Dinge ist. Darüber hinaus sollte die Speicherung der Daten auf einem externen System erfolgen, so dass Hacker keinen Zugriff darauf haben können. Ein weiterer wichtiger Punkt: Die Übertragung von Zahlungsdaten stets nur über verschlüsselte Verbindungen zulassen.
SSL-Zertifikate nutzen: Ein SSL-Zertifikat bietet die Möglichkeit, alle Daten zwischen Kund:innen und dem Onlineshop verschlüsselt über eine HTTPS-Verbindung zu übertragen. Diese erschwert es Dritten, bei der Übertragung mitzulesen.
Mitarbeitende schulen. Auch Mitarbeiter sollten in puncto Sicherheit geschult werden. Auf diesem Weg lassen sich große Einfallstore erfolgreich schließen.
Kund:innen informieren. Es kann sinnvoll sein, auch Kund:innen über wichtige Sicherheitsmaßnahmen zu informieren. So sollten diese beispielsweise sichere Passwörter verwenden.
Regelmäßiges Monitoring. Je eher Angriffe auf die eigene Shop-Infrastruktur erkannt werden, desto eher lassen sich Gegenmaßnahmen ergreifen. Zum Monitoring gehören ein Malware-Scan sowie die vorsorgliche Traffic-Überwachung in Echtzeit.
Regelmäßige Sicherheits-Updates: Entwickler:innen suchen ständig nach Lücken in ihren Systemen und bessern diese durch Updates und Patches aus. Es ist wichtig, dass Shop-Betreiber:innen eben diese Updates und Patches schnellstmöglich installieren. Auf diesem Weg lassen sich viele Attacken bereits im Keim ersticken. Ein aktuelles Shop-System tritt Angriffen deutlich robuster gegenüber als Systeme, bei denen viele Updates ausstehen.
Routine und Wachsamkeit helfen
Hacker-Attacken können Shop-Betreiber:innen in enorm kurzer Zeit stark schädigen und sogar handlungsunfähig machen. Um sich hier zu wappnen, darf es nicht bei einer einmaligen Sicherheitsmaßnahme bleiben. Einmal die Mauer hochziehen, reicht nicht aus. Vielmehr brauchen Händler:innen, inklusive sämtliche Mitarbeitende, ein grundsätzliches Verständnis zum Thema Datensicherheit. Wachsamkeit sollte ein wichtiger Punkt in der Unternehmens-DNA werden. Es braucht standardisierte Prozesse, die die Sicherheitsarchitektur des Shops aktuell halten und Lücken schnell schließen. Eine robuste Hosting-Plattform, regelmäßige Sicherheitschecks und -schulungen sowie stetige Updates lassen das Sicherheitslevel deutlich ansteigen. Dabei sollten Händler:innen grundsätzlich mit ihren Kund:innen zusammenarbeiten. Schließlich haben alle Beteiligten das gleiche Ziel.