Mit Hilfe eines Shops im Web wird ein neuer Absatzkanal erschlossen, der gerade in den Zeiten der Corona-Pandemie Umsätze ermöglicht, ohne die Risiken eines traditionellen Geschäftes. Durch vorkonfigurierte Systeme kann ein solcher Shop kostengünstig erstellt werden, jedoch können Betreiber ohne entsprechendes Hintergrundwissen Schwachstellen des Systems übersehen und der Shop genügt dadurch nicht den notwendigen Sicherheitsanforderungen.
Die Sicherheit eines Online-Shops ist vor allem für kleine und mittlere Unternehmen von großer Bedeutung, denn auch ein kurzer Ausfall der Plattform kann große wirtschaftliche Folgen für das Unternehmen haben. Da größere Shops in der Lage sind, ihre Systeme mit hohem Aufwand betreuen zu lassen, sind sie von Ausfällen weniger oft betroffen.
Eine aktuelle IDC Studie zeigt den Handlungsbedarf der Unternehmen auf:
- 78 Prozent der befragten Unternehmen in Deutschland wurden erfolgreich attackiert
- 63 Prozent betonen, dass Cyber-Risiken eine veränderte Security-Architektur erfordern
- Netzwerk-Security, Data Protection und Cloud Security sind die Top-Themen im Bereich IT- Security
Dabei ist der Schutz eines Online-Shops umfassender als die Absicherung einer Webseite selbst. Der Shop stellt keine alleinstehende Plattform dar, sondern ist in die Prozessabläufe des Unternehmens eingebunden. Die dadurch entstehenden Schnittstellen können zu weitreichenden Schwachstellen in der Sicherheit des Unternehmens führen.
Sind Warenwirtschafts- und Buchhaltungssysteme angebunden, gilt es auch diese Bereiche zu schützen. Die dort gespeicherten Daten sind heikle Informationen, die nicht in fremde Hände geraten dürfen. Bereits beim Aufbau des Shops ist ein Sicherheitskonzept mit eindeutigen Vorgaben für den Datenzugriff erforderlich.
Die Sicherheit eines Online-Shops kann durch den Einsatz einer Web-Application-Firewall (WAF), die tiefgreifend ein- und ausgehende Daten überwacht und z.B. auf bestimmte Protokolle beschränkt (z. B. https), erhöht werden. Daneben sind natürlich immer noch grundlegende Absicherungsmaßnahmen notwendig: z.B. Verschlüsselung der Kommunikationskanäle, Implementieren von geeigneten Passwortregeln, Zugriffsüberwachung. Eine WAF allein kann nicht alle Angriffsszenarien abdecken.
Es gibt viele Möglichkeiten eine Webseite anzugreifen, wovon hier zwei exemplarisch kurz beschrieben werden, die mithilfe einer WAF mitigiert werden können:
- Code-Injections – speziell auch SQL-Injections – schleusen Code in Abfragen z.B. an Datenbanken ein und ermöglichen das Auslesen und sogar das Verändern von Informationen, jenseits der gewünschten Funktionalität. Das Einschleusen erfolgt dabei gemeinhin in der Payload der Requests. Eine WAF kann die Payload auf Muster überprüfen und unzulässige Strukturen oder Inhalte blockieren.
- Cross Site Scripting (XSS) ist eine weitere Angriffsvariante. Hierbei werden Schadskripte in einen vertrauenswürdigen Kontext eingebunden. Der User gibt seine Daten ein, die dann insgeheim an eine andere Seite weitergeleitet werden. Dritte können mit diesen Informationen im schlimmsten Fall unter Nutzung des Users im Shop tätig werden. Cross Site Scripting ist möglich, wenn Nutzerdaten ohne auf vorhandenen Skriptcode zu prüfen an den Webbrowser weitergeleitet werden. Eine WAF kann durch Validierung von entsprechende Anfragen und Antworten XSS-Angriffe unterbinden.
Ein weiterer Punkt ist die Pflege und Wartung des Online-Shops. Dazu gehört die regelmäßige Aktualisierung der Software und die Sicherung der Daten, damit diese im Ernstfall schnell wieder hergestellt werden können. Auch sollte jeder Händler regelmäßig prüfen, ob oder welche rechtlichen Anforderungen sich geändert haben und was das für Änderungen im Shop zur Folge hat.