Sicherheit für eCommerce Systeme

1. Betrifft mich Sicherheit überhaupt?

Sicherheit für B2B eCommerce Lösungen, was heißt das eigentlich? Unser Eindruck ist, dass in der öffentlichen Wahrnehmung eher hilflos mit dem Thema umgegangen wird.

Häufig werden dazu von den Medien unverständliche Anglizismen verwendet, die, außer Angst zu verbreiten, der sachlichen Auseinandersetzung mit dem Thema nicht hilfreich sind.

Sicherheit im eCommerce beginnt aber schon sehr früh. Hosting, Webshop und Anbindung an Ihre hausinterne IT müssen erstmal auf einem soliden Fundament stehen.

Immer noch treffen wir z.B. auf Interessenten, bei deren Hosting daraus besteht, dass sie irgendwo einen Rechner, Strom und Internet gebucht haben. Das ist aus unserer Sicht, auch gerade in Hinblick auf das Thema Sicherheit, deutlich zu wenig.

1.1 Geeignete Partner sind wichtig

Unit M empfiehlt für das Hosting von eCommerce Lösungen z.B. den Provider Navigate IT Services GmbH aus Karlsruhe. Das Unternehmen Navigate IT hat eine sehr hohe Kompetenz bei den Themen Betriebssicherheit und Performance und ist deshalb ein idealer Partner für das Hosting von eCommerce Lösungen.

1.2 Der Einsatz von aktuellen Technologien ist eine Voraussetzung

Generellen sind keine Technologien einzusetzen, die deutlich veraltet sind und für die es keine Aktualisierungen (Patches) mehr gibt. Mitunter treffen wir auf Lösungen, die gar nicht mehr weiterentwickelt werden. Aus unserer Sicht gilt ein IT System, welches über das Internet erreichbar ist, allerspätestens nach 3 Jahren als veraltet. Hierbei ist zu berücksichtigen, dass nicht der Zeitpunkt der Livenahme, sondern der Projektstart den Startpunkt definiert. Regelmäßiges Aktualisieren der eigenen eCommerce Lösung ist somit dringend zu empfehlen.

Auch für die Anbindung an die hausinterne IT sollte z.B. eine IP Beschränkung nicht die einzige Hürde sein. Firewall, VPN und zertifikatbasierte Authentifizierung sollte heute von vorne herein genutzt werden.

Sollte aber trotz aller Sorgfalt dennoch einmal etwas passieren, so ist es empfehlenswert Reaktionen vorzubereiten und zu definieren, so dass im Falle eines Falles alle Beteiligten zielgerichtet und plangemäß reagieren.

Doch bevor wir das Thema weiter vertiefen, zunächst ein Überblick welchen Status das Thema Sicherheit zurzeit im E-Commerce hat.

2. Status der Informationssicherheit im e-Commerce

Wie stark im Bereich Sicherheit noch Handlungsbedarf besteht hat das ibi research der Universität Regensburg GmbH im Rahmen seiner Studie “Informationssicherheit im E-Commerce” festgestellt.

Die Studie von ibi research kommt zu folgenden Ergebnissen:

  • 12% der Unternehmen geben an, das es bereits Erpressungsversuche mit DDoS-Attacken gab.
  • 19% der Unternehmen erklären, das bei ihnen bereits sensible Daten entwendet worden sind.
  • 20% der Unternehmen geben zu, das bei Ihnen bereits die Online-Shops “gehackt” wurden.

Diese Zahlen sind aus unserer Sicht alarmierend und zeigen den Handlungsbedarf deutlich auf. Dramatischer wird es noch, wenn man sich folgende Zahlen vor Augen führt:

  • nur bei 51% der Unternehmen existieren Anweisungen zu den Themen Informationssicherheit und Datenschutz.
  • nur 44% der Unternehmen haben ihre Mitarbeiter in der Vergangenheit zu den Themen Informationssicherheit und Datenschutz geschult.

Damit sind die obigen Zahlen aus unserer Sicht auch schnell erklärt. Mangelndes Wissen und fehlende Regelungen sind der perfekte Nährboden um nicht nur im eCommerce schnell zum Opfer von Cyberkriminalität zu werden.

Die Studie lässt sich übrigens kostenfrei unter folgender Adresse herunterladen:
http://ibi.de/informationssicherheit-im-e-commerce-2014.html

Im Folgenden stellen wir die verschiedenen Bedrohungsszenarien kurz vor und zeigen auf, was Sie als eCommerce Betreiber dagegen tun sollten.

3. Schutz gegen “Hacken” der eCommerce Lösung

Beim Hacken wird versucht Schwachstellen des Betriebssystems, der Serverdienste, wie z.B. des Webservers, oder der Applikation, wie z.B. des Webshops, auszunutzen, um sich unbefugt Zugriff oder besondere Rechte zu verschaffen. Hier reicht es nicht aus, einmal das System gegen Angriffe von außen, z.B. durch eine Firewall etc. zu schützen, sondern Sicherheit ist eine permanente Aufgabe. Die wichtigsten Maßnahmen für Sicherheit sind, dass man immer für einen aktuellen Systemstand sorgt und z.B. regelmäßig Patches einspielen lässt, dass gute Passworte vergeben werden und das es eine regelmäßige Kontrolle der Server- und der Applikationslogdateien gibt, um Auffälligkeiten direkt zu erkennen.

In den meisten Fällen können dann noch rechtzeitig Gegenmaßnahmen ergriffen werden.

Unit M bietet zur Gewährleistung dieser Absicherungen einen Wartungsvertrag, der alle diese Aspekte berücksichtigt. Empfehlenswert sind aber auch Sicherheitsaudits von unabhängigen Dienstleistern, die sich auf die Analyse von eCommerce Lösungen konzentriert haben. Gerne stellen wir hier Kontakt zu entsprechenden Unternehmen her.

So wichtig es ist für eine permanente Betreuung des Systems zu sorgen, ist diese Art von Analyse und Reaktion immer vergangenheitsbezogen. Genauso wichtig ist die Echtzeitanalyse und das Abwehren von Angriffen. Hierfür sind leider immer noch zu wenig Lösungen auf dem Markt.

Unit M Sicherheitsmodul für den OXID eShop

Unit M Sicherheitsmodul für den OXID eShop

Unit M hat aus diesem Grund ein Modul für den OXID eShop für unsere Wartungsvertrag Kunden entwickelt, welches eine Reihe von Angriffen erkennen kann und Hinweise auf Attacken geben kann. So werden einige der am häufigsten vorkommenden Angriffe, wie z.B. SQL-Injection oder Cross-Site-Scripting direkt erkannt und vom Modul abgewehrt. In jedem Fall werden Sie als Shopbetreiber per Email darüber informiert, dass eine solche Attacke stattgefunden hat. Weiterhin sperren wir z.B. automatisch Benutzer nach einer konfigurierbaren Anzahl an falschen Logins. Dadurch sind sogenannte Wörterbuchattacken ausgeschlossen, bei denen jemand versucht ein Passwort zu “erraten”.

4. Datenschutz / Unbefugter Zugriff auf sensible Daten

Sehr unangenehm sind Zugriffe auf die persönlichen Daten Ihrer Kunden oder sonstiger sensibler Daten.  Abgesehen davon, dass eine Kundenliste immer sehr sensibel ist, ist ein unbefugter Zugriff auf Kundendaten beim jeweiligen Landesdatenschutzbeauftragten meldepflichtig und wer schon mal mit dem Landesdatenschutzbeauftragten zu tun hatten, weiß, dass dies kein Spaß ist. Wir empfehlen deshalb immer für den eCommerce Bereich ein entsprechendes Datenschutzkonzept zu entwickeln.

Ein häufiges Problem beim Datenschutz sind übrigens Gastbestellungen. In den meisten Datenschutzvereinbarungen steht, dass die Kundendaten bei Gastbestellungen nur zum Zwecke der Bestellbearbeitung verwendet und anschließend gelöscht werden. Das Löschen von Gastbestellungen ist aber in allen Onlineshops ein aktiver Vorgang, der vergessen wird. Wer hier nicht aufpasst verstößt schnell gegeben seinen eigenen Datenschutzvereinbarungen.

Weiterhin wird schnell vergessen, dass auch Ihre betreuende Agentur ein enormes Risiko für Sie darstellt. Schnell wird dort “mal eben” der letzte Stand Ihre Shopdatenbank zu Testzwecken heruntergeladen. Alle Ihre sensiblen Daten liegen mitunter möglicherweise völlig ungeschützt auf Rechnern von Entwickler, die, wie in Branche durchaus üblich, teilweise sogar im Homeoffice auf Ihrem privaten Equipment arbeiten. Entsprechende Vertraulichkeitsvereinbarungen schützen in solchen Situationen wenig.

Um dieses Problem zu lösen haben wir bei Unit M z.B. standardisierte Anonymisierungsverfahren entwickelt und sorgen dafür, dass möglichst keine sensiblen Kundendaten überhaupt auf Entwicklerrechner oder Testsysteme gelangen. Je nach Wunsch bieten wir unseren Kunden ebenfalls die Möglichkeit Ihre vertraulichen Daten auch in der Webshop Datenbank nur verschlüsselt zu speichern. Dies ist zwar kein 100% Schutz, aber stellt eine weitere Hürde dar, um den unbefugten Zugriff auf Kundendaten zu verhindern.

5. Denial of Service Attacken

Besonders unangenehm sind sogenannte Denial of Service Attacken, kurz DOS, bei denen Internetservice durch eine Flut, von zum Teil unsinnigen Anfragen, so überlastet werden, dass sie Ihren Service nicht mehr erbringen können. Bei dieser Art von Attacken macht man sich erst gar nicht die Mühe die Weblösung auf Schwachstellen zu scannen und zu analysieren, sondern sorgt mit der Holzhammermethode für Schaden.

Sofern hiervon eCommerce-Lösungen betroffen sind, bedeutet dies i.d.R. einen unmittelbaren wirtschaftlichen Schaden für den jeweiligen Betreiber. Aber auch wenn kein Onlinegeschäft betrieben wird, ist der Ausfall von Web- oder Mailserver durch solche Attacken für die Betroffenen immer unangenehm.

Wie häufig und verbreitet DOS Attacken stattfinden lässt sich übrigens auf der Website DigitalAttackMap.com gut erkennen.

Sicherheit - Screenshot Digital Attack Map

Sicherheit – Screenshot Digital Attack Map zum Zeitpunkt des Entstehens dieses Beitrages

Hier wird der DOS Datenverkehr weltweit in Form einer Echtzeitkarte dargestellt, so dass sich jederzeit das aktuelle Bedrohungszenario für jede Region erkennen lässt. Interessant ist auch, dass diese Daten z.T. historisch archiviert zur Verfügung stehen, so das auch Reisen in die Vergangenheit möglich sind.

Unit M arbeitet aus diesem Grund mit Cloudanbietern zusammen, die geeignete Schutzmaßnahmen für DOS Attacken anbieten. Gerne informieren wir Sie über diese Angebote im persönlichen Gespräch.

6. Fazit

Bei allen Bedrohungsszenarien sollte nicht der Eindruck entstehen, dass eCommerce zu gefährlich ist, als dass man es betreiben sollte. Entsprechende Schulungen und Wissen vorausgesetzt, gibt es genügend Möglichkeiten sich zu schützen. Wie beim Autofahren gilt, wer ein hinreichendes Fahrtraining absolviert hat, kann auch bei Eis und Schnee relativ sicher fahren. Für Fahranfänger ohne ausreichend Ausbildung und Praxis endet die Fahrt aber auch schnell mal im Graben.

Interessiert an einem kostenlosen Beratungsgespräch?

Dann sprechen Sie uns doch einfach an.