Die größten Sicherheitslücken für Online-Shops – Stolperfallen und Gegenmaßnahmen

Der eigene Online-Shop ist heute keine Zauberei mehr: One-Click-Hoster bieten vorkonfigurierte Systeme an, die sich mit standardisierten Templates durch wenigen Klicks kostengünstig online bringen lassen. Der Shop im Web gilt als neuer Absatzkanal, mit dem sich unkompliziert und schnell Umsatz und Gewinn steigern lassen. Doch einfach heißt nicht automatisch gut: Ohne das notwendige Hintergrundwissen zu den verwendeten Technologien, möglichen Schwachstellen und deren Behebung wiegen sich unwissende Betreiber in einer trügerischen Sicherheit – der eigene Shop wird schon den geltenden Sicherheitsanforderungen unterliegen. Große und etablierte Anbieter, die ihre Systeme mit einem hohen jährlichen Aufwand betreuen lassen, sind von sicherheitsbedingten Ausfällen kaum betroffen. Für kleine und mittelständische Firmen hingegen kann selbst ein kurzer Ausfall der eigenen Plattform existenzbedrohend sein. Vor allem die erlebte und gefühlte Sicherheit führt erst zur gewünschten Bestellung und damit zum langfristigen Vertrauen in den Shop: Das positive Einkaufserlebnis vor und nach dem Bestellen, die Kommunikation mit dem Kunden, der Ablauf der Bezahlung – beispielsweise mit einer Einkaufsgarantie von „Trusted Shops“ – sorgen dafür, dass Käufer genau hier einkaufen, wiederkommen und das Erlebte in Facebook und Co. verbreiten.

Sicherer Startschuss: Shops schon in der Konzeptphase absichern

Ob ein Onlineshop sicher ist, entscheidet sich bereits in seiner Konzeption, denn es reicht nicht aus, das herkömmliche Verkaufskonzept nur ins Netz zu überführen. Online-Shops stellen keine alleinstehende Plattform dar. Durch die enge Einbindung der Prozessabläufe in das Gesamtunternehmen ergeben sich Schnittstellen, die zu Schwachstellen für die Sicherheit werden können. Ein Beispiel: Kundendaten werden in einer gemeinsamen Datenbank für den klassischen und den Online-Vertrieb von mehreren Personen verwendet. Die aus dem Verkaufsvorgang generierten Bestell-Listen und Kundenprofile sind wichtige Informationsquellen. Hier muss schon in der Konzeption ein Sicherheits- und Berechtigungskonzept erstellt werden, das die Zugriffswege und Berechtigungen, aber auch die Richtlinien für den Zugriff auf Transaktions- und Kundendaten, Kontoinformationen und Versanddetails eindeutig regelt.

Shop-Betreiber sollten die folgenden Fallstricke kennen und mit entsprechenden Maßnahmen rechtzeitig eindämmern

Sicherheitslücke Nr. 1: Keine Grundabsicherung: Online-Angebote müssen gegen eine Vielzahl von Bedrohungen abgesichert werden. Oft werden selbst grundlegende Sicherungsmaßnahmen nicht umgesetzt, etwa der Einsatz einer Firewall, die eine ein- und ausgehende Kommunikation auf die notwendigsten Protokolle (zum Beispiel ssh, hhtp und https) beschränkt, die Implementation strikter Passwortregeln für Käufer (Verwendung von Groß- und Kleinschreibung, Sonderzeichen und einer Mindestpasswortlänge) oder die Verschlüsselung des Kommunikationskanals mit Zertifikaten. Solche ungeschützten Angebote laden regelrecht zum Ausspähen von Kundendaten ein. Ebenso hoch ist auch die Zahl derer, die keine regelmäßige Datensicherung durchführen. Doch das Backup ist essenziell, denn bei Datenverlust kann durch ein fehlendes Backup sogar die Existenz gefährdet werden, wenn sich die Informationen zu Kunden und Transaktionen in kürzester Zeit nicht wieder herstellen lassen.

Sicherheitslücke Nr. 2: Datendiebstahl: Datendiebstahl lässt sich auf vielfältige Weise realisieren. Über einen langen Zeitraum können so unbemerkt tausende Datensätze für den Adresshandel abgegriffen werden. Zu den häufigsten Sicherheitslücken zählen das „Cross Site Scripting“ und die „SQL Injection“. „Cross Site Scripting“ (XSS) nutzt fehlerhafte Web-Applikationen aus. Normalerweise werden in einer Browser-Session nur Daten aus einem vertrauenswürdigen Kontext verarbeitet. XSS gaukelt dem Browser des Opfers vor, dass bestimmte Scripte aus einer vertrauenswürdigen Seite stammen. Auf diese Weise lassen sich durch geschicktes Einschmuggeln von Javascript-Code Webseiten so verändern, dass beispielsweise manipulierte Login- oder Bestellformulare im Browser des Nutzers angezeigt werden.  Gibt der Nutzer nun seine Daten ein, werden diese unbemerkt im Hintergrund umgeleitet. Dritte können sich jetzt  unter dieser Identität am Onlineshop anmelden, Bestellungen tätigen oder auf die im Kundenkonto hinterlegten Kreditkarteninformationen zugreifen.

„SQL Injections“ nutzen eine Schwachstelle beim Zugriff von Anwendungen auf eine Datenbank aus. Hierbei können bei Programmen, die zum Beispiel Inhalte oder E-Mail-Adressen in Datenbanken eintragen, durch gezielten Einsatz von Funktionszeichen (Apostroph, Backslash, Anführungszeichen oder Semikolon) SQL-Kommandos eingefügt werden, die an dieser Stelle eigentlich nichts verloren haben. Durch die Schwachstelle werden diese SQL-Kommandos ausgeführt. Angreifer können nun gezielt Daten auslesen, Datenbanken manipulieren oder in einzelnen Fällen die Kontrolle über den ganzen Server erhalten. Solchen Attacken sind keine Grenzen gesetzt: Vom stillen Datendiebstahl über das Verändern von Daten bis hin zum Lahmlegen eines ganzen Servers sind alle Szenarien denkbar.

Sicherheitslücke Nr. 3: Alte Software: Ist der Webshop einmal eingerichtet, wird in der nächsten Zeit kaum etwas verändert. Und oft nicht einmal die Basissoftware aktualisiert. Kein Wunder, die Wartung und auch der Betrieb erfordern erhöhte Aufmerksamkeit und kosten Zeit und Geld. Aus Gründen falscher Sparsamkeit verzichten viele Betreiber auf regelmäßige Updates. Sicherheitslücken werden so nicht oder nur mit erheblicher zeitlicher Verzögerung geschlossen. In dieser Zeit sind die Systeme deutlich anfälliger für Angriffe. So können Webserver mit den weit verbreiteten Apache-Versionen 2.2.0 bis 2.2.19 innerhalb kürzester Zeit von Angreifern lahmgelegt werden (Denial-of-Service-Attacken). Die damit verbundenen Shopsysteme sind nicht mehr erreichbar. Bei kontinuierlichen Attacken sind die Systeme so lange nicht mehr verfügbar, bis der Betreiber die Sicherheitslücken geschlossen hat.

Wird Software nicht aktualisiert, können die Shopsysteme selbst für die Verbreitung von Schadprogrammen genutzt werden. „Drive By Exploits“ versuchen dann, mit automatisierten Verfahren Schwachstellen im Browser oder Betriebssystem der Besucher auszunutzen.

Sicherheitslücke Nr. 4: Session Hijacking: Auch das gibt es immer noch: Webshops, die keine Sessions Cookies einsetzen – kleine Programmschnipsel, die während der Nutzung des Shops temporär auf dem Rechner des Benutzers gespeichert werden, sodass sich der Besucher nicht mehr neu am Server identifizieren muss. Die Session ID wird bei diesen Servern mit der URL mitgegeben. Meldet sich nun ein Nutzer am Shop an und leitet einen angeschauten Artikel an einen Freund weiter, so kann sich dieser nun nicht nur den Artikel anschauen, sondern unter falschem Namen Bestellungen aufgeben, Kontodaten einsehen und diese verändern.

Sicherheitslücke Nr. 5: unsichere Bezahlverfahren: Mit den oben genannten Sicherheitslücken steigt das Risiko, beim Bezahlen im Netz in Schwierigkeiten zu geraten. Dennoch bieten viele Unternehmen nur die klassischen Bezahlarten Überweisung, Kreditkarte oder Bankeinzug an. Schlimmstenfalls werden die Daten in einer Bestätigungsmail dann noch einmal unverschlüsselt an den Besteller gesandt. Standard ist heute jedoch, dass sensible Daten in der Bestätigungsmail unkenntlich gemacht werden, indem etwa bei Kontodaten nur die ersten und letzten Stellen übermittelt werden. Der Einsatz von sicheren und geprüften Bezahlverfahren wie PayPal oder ClickandBuy minimiert nicht nur das Risiko, sondern schafft für den Nutzer weitere Sicherheit.

Fazit

Die Idee, einen Onlineshop schnell nebenbei aufzusetzen, ist im Blick auf die eigene und die Sicherheit der Kunden sehr kurzfristig gedacht. Zu hoch sind die rechtlichen Anforderungen und die Erwartungen der künftigen Kunden an die Ausstattung und Sicherheit des Webauftritts. Auch das sichere Einbinden von Partnern und Dienstleistern, etwa Zahlungsanbietern, muss  berücksichtigt werden. Aus Besuchern der eigenen Website Kunden zu machen, ist die Paradedisziplin des E-Commerce: Haben potenzielle Käufer kein Vertrauen in das Angebot, werden sie auch nicht kaufen. Umso wichtiger ist, von Anfang an und durchweg auf die Sicherheit des eigenen Angebots zu achten.

Autor: Jochen Dedek, geboren 1968, ITIL v3 Expert, studierte Pädagogik und Informatik. Während seiner langjährigen Tätigkeit in der IT-Branche bekleidete er verschiedene Führungspositionen, vorrangig im Bereich IT Service Delivery. Als Business Development Manager beim SHD System-Haus-Dresden übernimmt er die Entwicklung von Managed Services für mittlere und große Kunden in den Bereichen E-Commerce, Communication & Collaboration sowie Internetportale.

Dieser Beitrag erschien erstmals im Schwerpunkt "Sicherheit in Onlineshops", e-commerce Magazin 06/2013

RSS Feed

Entdecken Sie die Printmagazine des WIN-Verlags