Der Super-GAU für jeden Shopbetreiber: Malware infiziert die Shopsoftware, stiehlt die Zahlungsinformationen Ihrer Kunden, verschlüsselt die Daten der Warenwirtschaft und/oder verwandelt Ihren Onlineshop in eine Virenschleuder, die auch noch die Rechner Ihrer Kunden verseucht. Das System fällt tage- oder wochenlang aus, die Umsätze brechen ein. Die gute Nachricht: Sie können einiges dafür tun, damit das nicht passiert. Wir sagen ihnen, was Sie dabei unbedingt beachten sollten. 

Das Folgende betrifft Shopbetreiber, die ihr Shopsystem selbst administrieren. Sollten Sie einen Mietshop wie den Online-Shop von Host Europe nutzen, sind Sie bereits auf der sicheren Seite. Denn dann kümmern sich Profis um die Sicherheit Ihres Shops, inklusive Malwareschutz und Backups. Aber Achtung: Auch dann sollten Sie auf starke Passwörter achten – wenn jemand für das Backend seine bekannte E-Mailadresse zusammen mit dem Passwort „123456“ benutzt (seit vielen Jahren das am häufigsten verwendete Passwort) ist jeder Profi machtlos.  

E-Commerce-Sicherheit ist mehr als Virenschutz 

Selbst wenn der beschriebene Virenbefall wie der Worst Case klingt: Auch andere Bedrohungen können Ihre Website und Ihre Nutzer beeinträchtigen (mehr dazu steht im nächsten Abschnitt). 

Maßnahmen zur Informationssicherheit verfolgen immer drei klassische Schutzziele: Verfügbarkeit, Vertraulichkeit und Integrität (Korrektheit von Informationen und Funktionen). Alle drei sind auch für Onlineshops von Bedeutung. „Verfügbarkeit“ bezieht sich darauf, dass (autorisierte) Benutzer auf Systeme und Daten wie vorgesehen zugreifen können. Im Falle eines Webshops: Potenzielle Kunden müssen ihre Shop-Website erreichen und alle wesentlichen Funktionalitäten (Produktauswahl, Warenkorb, Bezahlvorgang) nutzen können, Sie als Betreiber müssen auf das Backend zugreifen können.  

Aber auch wenn alles funktioniert, heißt das nicht, das alles in Ordnung ist. Vielleicht hat ein Hacker das System so manipuliert (Verletzung der „Integrität“), dass es unbemerkt die Nutzer ausspioniert (Verletzung der „Vertraulichkeit“)? Kurz: Betrachten Sie Sicherheit ganzheitlich und machen Sie sich Gedanken über mögliche Risiken und ihre Auswirkungen. 

Know your enemy 

Das setzt allerdings voraus, dass Sie die möglichen Risiken kennen – in einem so schnelllebigen Umfeld wie der Onlinesicherheit kein leichtes Unterfangen. Cyberkriminelle finden immer neue Wege, um fremde Systeme zu kompromittieren. Security-Dienstleister wie Avast und auch Behörden wie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) oder die EU veröffentlichen regelmäßig aktuelle Infos. Zu den wichtigsten Cyberbedrohungen, die für Onlineshops relevant sind, gehören gegenwärtig Ransomware- und DDoS-Attacken sowie automatisierte oder gezielte Hackerangriffe. 

  • Ransomware sind Viren, die wichtige Daten verschlüsseln und nur gegen Zahlung eines Lösegeldes (engl. ransom) wieder freigeben – wenn überhaupt. Sie gelangen auf verschiedenen Wegen ins System: etwa als Trojaner (als nützliche Software getarnte Malware), über Mailanhänge, die aus Unkenntnis angeklickt werden, durch einen Lieferkettenangriff (meist Updates von einem gehackten Server eines Herstellers) oder als Ergebnis eines erfolgreichen Hackerangriffs. Aber auch andere Schadsoftware stellt immer noch eine ernst zu nehmende Bedrohung dar. 
  • Mit DDoS-Angriffen (Distributed Denial of Service) versuchen Kriminelle durch massenhafte Anfragen Webserver in die Knie zu zwingen. Ziel ist es, entweder den Betreibern Schaden zuzufügen oder aber sie zu erpressen. Mehr Infos finden Sie beispielsweise beim BSI. 
  • Hackerangriffe zielen darauf ab, Sicherheitslücken (zum Beispiel Schwachstellen in Ihrer Shopsoftware oder in WordPress, aber auch ungenügend geschützte Logins) auszunutzen, um in das System einzudringen. Das erfolgt gezielt oder zunehmend auch automatisiert durch Bots – vor allem beim E-Commerce, wo 2021 bereits knapp 60 Prozent aller Angriffe durch Bots erfolgten. 

Virenschutz 

Virenschutz ist heute auch für Websites lebenswichtig. Host Europe stellt für seine/viele Shared-Hosting-Pakete eine kostenlose Antivirus-Lösung zur Verfügung. Für Serverpakete bieten die Verwaltungstools Plesk bzw. cPanel ebenfalls Virenschutz und andere Sicherheitstools an. Darüber hinaus können Shopbetreiber für den Virenschutz auch auf eine cloudbasierte SaaS-Lösung (Software as a Service) wie Sucuri Website Security zurückgreifen. Der beste Schutz gegen Ransomware ist aber ein aktuelles Back-up Ihrer geschäftskritischen Daten – machen Sie sich gar nicht erst erpressbar! 

Schwachstellen schließen 

Jede einigermaßen komplexe Software enthält potenzielle Schwachstellen, die Hacker ausnutzen können, um Schaden anzurichten. Dabei kann man Fehler im Code (Sicherheitslücken) und Fehler bei der Konfiguration (z. B. ungesichert geöffnete Ports, schwache Passwörter) unterscheiden. Die meisten Angriffe auf Websites laufen automatisiert ab: Skripte („Bad Bots“) scannen die Systeme auf offene Ports und Schwachstellen oder führen sogenannte Brute-Force-Angriffe durch, bei denen zahlreiche Username-Passwort-Kombinationen ausprobiert werden (oft unterstützt durch Listen mit Millionen von gestohlenen echten Zugangsdaten).  

Bei Erfolg folgen, meist ebenfalls automatisch, weitere Aktionen: Die Angreifer versuchen, das System zu erkunden, Malware zu installieren, auf relevante Daten zuzugreifen oder Zugang zu weiteren Systemen zu erlangen. Vor allem populäre Websites und Shopsysteme sind zunehmend auch gezielten Angriffen ausgesetzt. Prominentes Beispiel sind sogenannte Magecart-Angriffe auf Warenkorbsysteme, bei denen Hacker mit eingeschleustem Javascript-Code versuchen, direkt beim Bezahlprozess Kundendaten und Zahlungsinformationen abzugreifen. 

Neu entdeckte Sicherheitslücken werden in der Regel bald nach Bekanntwerden vom Entwickler geschlossen – aber genauso schnell oder sogar noch schneller von Hackern ausgenutzt. Halten Sie deshalb Ihr System stets aktuell und spielen Sie Sicherheitsupdates für alle Komponenten sofort ein. Wie Sie wichtige Seiten, z. B. Login-Seiten, besonders absichern können, lesen Sie in diesem Beitrag. Investieren Sie vor dem Launch oder nach größeren Änderungen Ihres Systems ruhig einmal in einen Sicherheitsexperten, der Ihr System prüft und auch Penetration Tests (simulierte Angriffe) durchführt. Ein hohes Maß an Sicherheit erhalten Sie auch mit einer Web Application Firewall (WAF): ein Proxy, die den Datenverkehr zwischen Shop und den anfragenden Systemen überwacht. Es gibt WAFs beispielsweise als Server-Plugins, separate Appliances oder auch als Service, etwa bei der schon erwähnten Security-Suite Sucuri. 

DDoS-Angriffe abwehren 

DDoS-Angriffe sind besonders tückisch: Sie können im Extremfall Ihren Shop komplett lahmlegen, was insbesondere in Spitzenzeiten wie Black Friday oder vor Weihnachten zu großen Umsatzeinbußen führt. Und es ist schwer, sich dagegen zu wehren. Das BSI empfiehlt, Webserver so zu konfigurieren, dass die Angriffsfläche möglichst gering ist und nicht unbedingt nötige oder potenziell gefährliche TCP-Pakete von vornherein verworfen werden (Filterung, Protokollierung von IP-Adressen etc.), die Abwehr-Services der Provider in Anspruch zu nehmen und sich entsprechend vorzubereiten, um die Folgen erfolgreicher DDoS-Attacken zu mildern. Auch das Caching von statischen Inhalten in verteilten Servern von Content Delivery Networks (CDN), wie es Sucuri ebenfalls mitbringt, kann DDoS-Attacken entschärfen und die Performance steigern.  

E-Commerce-Sicherheit! – Der Faktor Mensch 

Website-Security kann durch Sicherheitslösungen wie Sucuri Website Security erheblich verbessert werden, vor allem für Shopbetreiber ohne technische und Security-Kenntnisse oder Zugang zur Serverkonfiguration. Aber Technik ist nicht alles – als die größte Schwachstelle gilt bei Security-Experten nach wie vor der Mensch. Dass Hersteller ihre Systeme mit unsicheren Standardeinstellungen ausliefern und Admins Konfigurationsfehler machen können, ist das eine. Noch viel gravierender aber ist die Unwissenheit bei den Nutzern.  

Immer wieder fallen Mitarbeiter auf Phishing-Mails, Anrufe von angeblichen Admins oder Microsoft-Mitarbeitern und andere Social-Engineering-Tricks herein, geben kritische Informationen preis oder klicken auf virenverseuchte Anhänge. Deshalb sollten Sie dafür sorgen, dass alle Mitarbeiter in Ihrem Unternehmen und möglichst auch Ihre Partner diese Bedrohungen kennen. Und weil Sie gerade dabei sind: Erklären Sie ihnen auch gleich die Absicherung von Onlinezugängen: möglichst lange, aber leicht zu merkende Passwörter und optimalerweise ein zweiter Faktor, etwa ein USB-Stick oder ein Smartphone mit Authenticator-App. 

E-Commerce-Tipp: Mit den E-Commerce-Lösungen können Sie nicht nur schnell und einfach Ihren eigenen Online Shop erstellen, sondern damit auch sorgenfrei und rechtskonform verkaufen. Profitieren Sie von rechtssicheren Lösungen nach EU-Recht, gesetzeskonformen Coookie-Zustimmungsbannern und rechtssicheren Zahlungsarten. Erfahren Sie mehr über die Online-Shops von Host Europe

Titelmotiv: Unsplash

Host Europe

Große Auswahl an günstigen Domain-Endungen – schon ab 0,08 € /Monat
Jetzt Domain-Check starten