Software und Technik
von
onlineshop-basics

Sicherheit, Sicherheitslücken, Prävention, Hacker, Webserver

Onlineshop und Sicherheit

Das Thema Sicherheit sollte für Shopbetreiber einen hohen Stellenwert einnehmen. Es sind nämlich nicht nur die eigenen Daten zu sichern, sondern auch die der Kunden. Sicherheitslücken auf dem Webserver, im Shopsystem oder durch eigene Nachlässigkeit können sehr schnell viel Geld kosten und unter Umständen den guten Ruf ruinieren. Auch wenn das Thema eher unbeliebt ist, lohnt es sich, einige Grundkenntnisse zu haben.

Sicherheitslücken und Prävention

Es gibt zahlreiche Risiken, denen man beim Betrieb eines Onlineshops ausgesetzt ist. Es ist nahezu unmöglich alle Schwachstellen zu kennen, dennoch sollte man sich mit dem Thema befassen und erörtern wie sich die Sicherheit erhöhen lässt und wie man im Falle sich vor den größten Gefahren schützen kann.


Als größte Risiken, die für Onlinehändler zu erwarten sind, gelten:

  • unsichere Passwörter
  • Einsatz von Shopsystemen, die nicht auf dem aktuellen Stand sind
  • Einstellungen im Webserver
  • Viren und Trojaner auf dem Arbeitsrechner

Hacker und ihre Vorgehensweise

Will man das Thema Sicherheit, Hacking und Diebstahl von Daten begreifen, sollte man sich ein wenig in die Welt der Hacker versuchen hineinzuversetzen. Es gibt zwar nicht den einen Hacker und auch nicht die eine Vorgehensweise. Grundlage aller Angriffe ist jedoch das Ausloten von Schwachstellen. Um solche Sicherheitslücken aufzuspüren, haben Hacker sehr viele Möglichkeiten. Ein paar davon möchten wir Ihnen im folgenden kurz vorstellen.




Formulare in Onlineshops

Gern genutzte Einfallstore sind die im Shop enthaltenden Formulare. In der Regel gibt es davon auch eine ganze Menge. Hierzu gehören u.a.

  • Suchformular (Produktsuche)
  • Benutzerregistrierung
  • Warenkorb und Warenkorbaktualisierung
  • Kundenlogin
  • Administratorlogin
  • Kontaktformular

Wird ein Formular ausgefüllt und abgesendet, so gelangen die Daten zunächst an den Webserver, der es letztendlich verarbeitet. Häufig ist bei der Verarbeitung der Daten auch eine Datenbank beteiligt, bei der andere Daten ausgelesen, gespeichert oder gelöscht werden. Wie die Daten verarbeitet werden bzw. wie die Daten ausgelesen oder gespeichert werden, wird im Programmcode definiert. Wurden bei der Entwicklung des Codes bestimmte Algorithmen nicht beachtet, so ist es möglich Schadcode einzuschleusen, die Performance des Shops zu beeinträchtigen oder sich im ungünstigsten Fall sogar Zugriff zur Datenbank oder zum Webserver zu verschaffen.

Einsatz von Open-Source-Systemen

Die meisten Shopsysteme die heute im Einsatz sind, werden als Open-Source-Systeme zur Verfügung gestellt. Wir möchten an dieser Stelle kurz klar stellen, dass hierzu auch die meisten kommerziellen Systeme gehören, da sie häufig kostenlose Community-Versionen anbieten. Lädt man sich eine solche Version herunter, so verfügt man über den kompletten Quellcode der Shopanwendung. Für Hacker, die sich sehr gut mit der eingesetzten Programmiersprache auskennen, können potentielle Schwachstellen mit etwas Aufwand aufgedeckt werden.


Sind Open-Source-Shopsysteme deshalb schlecht? Kurz und knapp: Nein. Der Vorteil eines gut gepflegten Open-Source-Systems ist, dass es ständig weiterentwickelt wird und in relativ kurzen Zeitabständen aktualisiert werden kann. Werden Sicherheitslücken gefunden, so können diese meist sehr schnell geschlossen werden.


Verbundangriffe mittel DDOS

Der wohl gefürchtetste Angriff dürfte eine so genannte DDOS-Attacke (Distributed Denial of Service) sein. Darunter versteht man einen Angriff auf eine bestimmte Website, die durch einen Verbund mehrerer Rechner stattfindet. Dieser Rechnerverbund erzeugt für einen bestimmten Zeitraum durch tausendfaches Aufrufen der Seite eine so große Last, dass der Webserver an seine Grenzen gerät und die Webseiten sich nicht mehr richtig öffnen bzw. anzeigen lassen. Die in diesem Verbund angeschlossenen Rechner wissen dabei meist selbst nicht, dass sie Handlanger einer sehr perfiden Art von Angriff sind. Meist werden nämlich fremde Rechner mit Viren bzw. Trojanern so infiziert, dass Fremde Zugriff auf diesem Rechner haben und ihn für ihre Zwecke missbrauchen können.

Für Onlineshops ist diese Art der Angriffe meist dreifach schädlich. Es führt nicht nur unweigerlich dazu, dass Umsätze ausbleiben. Es führt auch dazu, dass bei wiederholten Attacken Rufschäden oder auch Rankingeinbußen in den Suchmaschinen hingenommen werden müssen.


Präventionsmaßnahmen

Grundsätzlich muss bedacht werden, dass es wohl nie einen 100-Prozentigen Schutz vor Angriffen geben wird. Hinzu kommt, dass die meisten Shopbetreiber in punkto Sicherheitsrisiken, Programmierung und Technik keine Profis sind. Dennoch lassen sich mit etwas Sorgfalt die häufigsten Sicherheitsrisiken vermeiden.


Sichere Passwörter verwenden

Häufig erwähnt, aber dennoch nicht immer beherzigt ist die Problematik der Passwörter. Die wichtigsten Passwörter für Shopbetreiber sind:

  • der Administrationszugriff auf das Shopsystem (Shop-Backend)
  • Zugangsdaten für den Webserver bzw. FTP-Zugang
  • Zugangsdaten für Datenbanken
  • Zugangsdaten für den Webhoster, Webserver sowie für Webinterfaces (z.B. Confixx)
  • eventuell Zugangsdaten für Marktplätze (Amazon, Ebay etc.)
  • Zugangsdaten für Online-Banking


Die Passwörter sollten natürlich eher kompliziert sein und nach Möglichkeit sowohl Buchstaben, Zahlen als auch Sonderzeichen enthalten. Zu kurze Passwörter oder zu einfache Passwörter können über so genannte Bruteforce-Attacken leicht ausgespäht werden. Außerdem sollten die Passwörter auf keinen Fall als Textdatei irgendwo auf dem Rechner abgelegt sein. Ist der Arbeitsrechner mit einem Virus oder Trojaner infiziert, so kann unter Umständen auch die Passwortdatei entwendet werden. Will man die vielen Passwörter dennoch gut verwalten, so eignen sich Tools wie Keepass oder eben die altmodische Methode mit Papier.


Schreibrechte auf dem Webserver

Wem die Begriffe FTP und chmod oder Dateiberechtigungen nicht fremd sind, der sollte in seinen Verzeichnissen und Dateien nur dort Schreibrechte setzen, wo sie tatsächlich benötigt werden. Enthalten alle Ordner und Dateien Schreibrechte, so besteht ein klares Sicherheitsrisiko, da im ungünstigsten Fall Schaddateien auf dem Webserver eingeschleust werden können. Diese Schaddateien können eher ungefährlicher Natur sein, in dem Sie das Nutzerverhalten der Besucher ausspionieren können oder im schlimmsten Falle sogar komplette Phishing-Seiten, die unter Umständen Haftungsansprüche zur Folge haben können. Unter Phishing versteht man den Diebstahl von z.B. fremden Daten, Passwörtern oder Bankdaten.




Virenscanner und Firewalls

Hacker schlafen nicht und suchen immer wieder nach Sicherheitslücken in Betriebssystemen und Servern oder nach unachtsamen Nutzern, die beispielsweise Programme oder andere Daten herunterladen ohne diese vorher genau zu prüfen. Viren und Trojaner gelangen heute vor allem durch die Nutzung von Internetseiten, Emails und Downloadportalen auf die jeweiligen Wirtsrechner. Der wirtschaftliche und auch persönliche Schaden, den die Viren und Trojaner verursachen können, kann immens sein. Es gibt Viren, die die Eingabe der Tastatur überwachen und somit alles mitlesen können. Das ist natürlich schlecht, wenn es sich hierbei um Bankdaten oder Passwörter handelt. Andere Viren können die Internetverbindung oder sogar den ganzen Rechner kontrollieren.


Da es viele Möglichkeiten gibt, wie sich Viren unbemerkt auf einen Rechner einschleusen können, sollten auch entsprechende Programme zur Gefahrenabwehr installiert sein. Hierzu gehört neben einem guten Virenscanner auch eine Firewall. Der eingesetzte Virenscanner sollte dabei in regelmäßigen Abständen aktualisiert werden, um auch die neuesten Viren und Trojaner erkennen zu können. Die Firewall hingegen sollte so konfiguriert werden, dass sich Programme nicht ohne ausdrückliche Genehmigung einfach installieren lassen.


Shopsysteme aktuell halten

Auch Shopsysteme enthalten wie jedes andere System Schwachstellen und Sicherheitslücken. Es ist daher dringend anzuraten, die Shopsoftware immer mit dem neuesten Update auszustatten. Dies gilt vor allem bei kostenlosen Community-Systemen, die eigenständig oder im Auftrag einer Agentur installiert werden. Die meisten Anbieter kommerziellen Systemen haben eine recht sorgfältige Kommunikation, die über bestehende Sicherheitslücken aufklärt und entsprechende Lösungen anbietet.


Fazit

Das Thema Sicherheit sollte für Onlineshop-Betreiber eine sehr große Rolle spielen. Als Onlinehändler trägt man nämlich nicht nur für seine eigene Daten Verantwortung, sondern auch für die der Kunden. Neben der Wahl sicherer Passwörter sollten die Shopsysteme immer auf dem aktuellen Stand sein und die Arbeitsrechner durch aktuelle Viren- und Firewallsoftware geschützt sein. In schwierigen Fällen, beispielsweise wenn man selbst einen Webserver administriert ohne tiefgreifende Kenntnisse zu haben, kann auch die Konsultation von Experten sinnvoll sein.



Kommentare zum Thema

Zu diesem Beitrag wurde noch kein Kommentar verfasst.


Kommentar verfassen

Shopsysteme vorgestellt

Wer einen Onlineshop erstellen will, braucht auch ein passendes Shopsystem. Wir helfen bei der Auswahl der passenden Shopsoftware und stellen die bekanntesten kurz vor.

Buchempfehlung
Das Buch bietet einen umfassenden Überblick über alle relevanten Schritte und Prozesse, die beim Betrieb eines Onlineshops zu beachten sind. Hanbduch für Onlineshop-Betreiber
Weitere Details zum Buch


Anzeige
Moderne Onlineshops mit CosmoShop
Zukunftsfähige und professionelle Shopsoftware von CosmoShop. Jetzt Demo anfordern unter cosmoshop.de