Onlineshop-Security: Wirksame Maßnahmen gegen die Cybercrime-Pandemie im E-Commerce
Cyberkriminelle sind im E-Commerce immer aktiver – und immer häufiger erfolgreich. Aktuellen Studien zufolge sind viele Onlineshops aber noch nicht ausreichend gegen Hackerangriffe gewappnet. Wer sich als Shopbetreiber nicht laufend um potenzielle Sicherheitslücken kümmert und wirksam gegen gängige Angriffsmuster absichert, fährt ein sehr hohes Risiko. Mit der Zahl der erfolgreichen Angriffe im Online-Bereich wachsen auch die dabei verursachten Schadenssummen – 2021 allein in Deutschland auf mehr als 220 Milliarden Euro. Gerade für kleinere und mittelgroße Shops können die finanziellen Folgen eines Hacks schnell existenzbedrohend werden. Wir erklären, was Händler tun können, um ihren Onlineshop wirksam vor Angreifern zu schützen.
Inhaltsverzeichnis
Cybercrime-Pandemie: Die wachsende Bedrohung
Mittlerweile gehören Cybercrime-Meldungen zu den üblichen Tagesnachrichten. Laut Handelsblatt (9. Juni 2022) „hat Cyberkriminalität Platz eins der häufigsten Verbrechen gegenüber Unternehmen erreicht“. Dem Wirtschaftsschutzbericht 2021 des Bitkom zufolge beliefen sich die 2021 durch Cyberkriminalität in Deutschland entstandenen Schäden auf 223,5 Milliarden Euro – und haben sich damit im Vergleich zu 2019 mehr als verdoppelt. Mit Blick auf die Akteure hinter den Attacken fällt laut Bitkom auf, dass in den von der Pandemie geprägten Jahren besonders das organisierte Verbrechen seine Aktivitäten im Bereich Cybercrime deutlich ausbaut.
Aktuell ist aber zu beobachten, dass ein immer breiter angelegtes Bild von der allgemeinen Bedrohungslage gezeichnet wird. So nennen Analysten immer häufiger nicht mehr ausschließlich herausragende Akteure wie Regierungen, öffentliche Institutionen, Nichtregierungsorganisationen, international operierende Konzerne und kritische Infrastruktur als Ziele von massiven – und immer wieder erfolgreichen – Hackerangriffen. Konstantin von Notz, Vorsitzender des Geheimdienstgremiums im Bundestag, spricht von der „Ausweitung von Attacken auch auf andere Bereiche“ (Handelsblatt). Cyberkriminelle nehmen offenbar immer häufiger auch kleinere und mittelständische Unternehmen (KMU) ins Visier.
Deutscher Mittelstand im Visier von Hackern
Die Ergebnisse der CyberDirekt Risikolage 2022, die auf einer repräsentativen Studie zur Cybersicherheit im deutschen Mittelstand beruht, sind beunruhigend: Knapp 27 Prozent der befragten Unternehmen sind im Lauf der vergangenen zwei Jahre mindestens einmal Opfer eines erfolgreichen Angriffs durch Hacker gewesen. Die durchschnittliche Schadenshöhe lag bei 193.697 Euro.
Wenn in nur zwei Jahren mehr als jedes vierte Unternehmen im Durchschnitt einen sechsstelligen Betrag durch Cyberkriminelle verloren hat, sollten bei allen Mittelständlern die Alarmglocken schrillen. Der Bundesgeschäftsführer des Mittelstandsverbands BVMW, Markus Jerger gibt zu bedenken: „Für Unternehmen mit weniger als 50 Beschäftigten hat eine von vier Cyberattacken sehr schwere oder sogar existenzbedrohende Folgen“ (Handelsblatt).
Schwerwiegende Versäumnisse mit potenziell verheerenden Folgen
Diesem umfassenden Bedrohungsszenario gegenüber stehen zwei weitere Zahlen aus der CyberDirekt Risikolage 2022: Mehr als 40 Prozent der Unternehmen haben sich im Hinblick auf Cyberkriminalität noch nicht ausreichend mit dem eigenen Risiko befasst. Und fast 70 Prozent der Unternehmen fühlen sich aktuell nicht bedroht. Das ist – gelinde gesagt – erstaunlich. Während die Gefahr, ins Visier von Hackern zu geraten, zunächst für alle gleichermaßen besteht, scheinen sich vor allem diejenigen bedroht zu fühlen, die in der jüngeren Vergangenheit selbst Opfer von erfolgreichen Attacken waren. Die Mehrzahl der Unternehmen wähnt sich derweil augenscheinlich in trügerischer Sicherheit. Möglicherweise bis es auch sie eines Tages erwischt?
Wie sehr der Schein im Licht der Devise „Es ist ja noch immer gut gegangen!“ trügt, kann von einem Augenblick auf den anderen sichtbar und direkt erfahrbar werden – durch einen Einbruch in die eigenen Systeme – und das jeden Tag und rund um die Uhr. Laut Infopoint Security sind die häufigsten gegen kleine und mittelständische Unternehmen angewandten Angriffsmuster Phishing, der Diebstahl von Zugangsdaten und der Einsatz von Ransomware – also die Verschlüsselung von Systemen und anschließende Lösegelderpressung. Den Aufbau einer eigenen Sicherheitsarchitektur erschweren „das oft knappe Budget und der Mangel an Fachkräften, was dazu führt, dass viele KMU keine eigene IT-Abteilung oder IT-Mitarbeiter beschäftigen“. Und vor genau dieser Problematik stehen auch zahlreiche Onlinehändler.
E-Commerce: Besondere Bedrohungslage
Der durch die weitreichenden Kontaktbeschränkungen zur Eindämmung der Corona-Pandemie befeuerte Boom im E-Commerce hat eine tiefgreifende Digitalisierung des Konsumverhaltens bewirkt und damit laut Bundeslagebild Cybercrime 2021 des Bundeskriminalamts zu einem Anstieg krimineller Machenschaften im digitalen Raum geführt. Je mehr Geld im Onlinehandel zirkuliert, desto interessanter wird der E-Commerce als Betätigungsfeld für – immer professioneller agierende – Hacker. Besonders deutlich wurde das 2021 in der Zunahme von Angriffen während des Online-Weihnachtsgeschäfts – laut BKA nicht zuletzt mit ausgeklügelten DDoS-Attacken von Crime-as-a-Service-Anbietern.
Onlineshops sind ideale Ziele für professionelle Hacker. In Shops lassen sich Kunden- und Kreditkartendaten erbeuten und – oftmals unbemerkt – können Angreifer die Infrastruktur des Shops für ihre eigenen Zwecke nutzen (weitere Angriffe, illegale Streaming-Angebote und anderes mehr). Und wenn Hacker einen Shop mit Ransomware verschlüsselt haben, ist das für den Händler schnell existenzbedrohend.
Immer wieder werden Sicherheitslücken in den großen Shopsystemen wie Magento oder Shopware entdeckt. Zwar erscheinen für die Systeme jeweils umgehend Updates und Patches, aber wer in seinem Shop die jüngste Sicherheitsaktualisierung nicht einspielt, hält damit Einfallstore für Hacker offen. Und auch jenseits von sicherheitsrelevanten Updates können fehlerhafte Einstellungen im Backend, versteckte Sicherheitsmängel in der Konfiguration von Software-Infrastruktur und Dateisystem auf dem Server oder unterlassene Vorsichtsmaßnahmen im laufenden Betrieb Schwachstellen verursachen, die Angreifer im Handumdrehen für ihre Zwecke zu nutzen wissen. Für Onlineshop-Security gibt es kein Plugin zum Download. Shopbetreiber müssen selbst aktiv für den sicheren Betrieb ihres Shops sorgen.
Wirksame Maßnahmen zum Schutz von Onlineshops
Shopbetreiber sollten unbedingt das umfangreiche Informations- und Beratungsangebot des Bundesamts für Sicherheit in der Informationstechnik (BSI) nutzen. Allerdings genügen Wissen um Sicherheitsrisiken und allgemeine Best Practices für den Umgang mit Zugangsdaten selbstverständlich nicht. Es kommt vielmehr darauf an, den eigenen Shop durch geeignete praktische Maßnahmen abzusichern, die Sicherheitsarchitektur laufend zu überprüfen und zu optimieren. Die dabei entstehenden Kosten sind – je nach Lösung – auch für kleinere und mittelgroße Shops gut zu stemmen. Und ein erfolgreicher Hackerangriff kostet demgegenüber schnell ein Vielfaches.
Security Check
Im Rahmen eines intensiven Security Checks wird die Sicherheitsarchitektur eines Onlineshops einer intensiven Prüfung unterzogen und auf den aktuellsten Stand gebracht. Gecheckt und bei bedarf abgesichert werden sensible Ressourcen, kritische Pfade, bekannte Schwachstellen und problematische Module. Zusätzlich zur Durchführung und Auswertung einer umfassenden Überprüfung des Systems und der Software-Infrastruktur auf dem Server werden auch Log-Dateien nach Auffälligkeiten durchsucht, verdächtige PHP-Dateien aufgespürt und das Dateisystem auf Viren gescannt. Zu den Maßnahmen für die Absicherung des Shops gehört selbstverständlich auch die Installation aller relevanten Security-Patches.
Um langfristig abgesichert zu sein, ist es empfehlenswert, nach dem „großen“, einmalig durchgeführten Security Check den frisch abgesicherten Shop im Rahmen eines Security-Servicevertrags bei sehr überschaubaren laufenden Kosten regelmäßig überprüfen und absichern zu lassen.
Jetzt informieren: Magento Security-Check und Security-Service
Pentest
Ein Penetrationstest (kurz: Pentest) unterscheidet sich von anderen Security-Tests durch die besonders intensive und gezielte Auseinandersetzung mit dem System, potenziellen Schwachstellen und konkreten Möglichkeiten für das unbefugte Eindringen. Dabei legen Experten selbst Hand an und versuchen unter Realbedingungen, Wege zu finden, um von außen in den Shop einzubrechen.
Im Zuge eines Pentests wird das grundlegende Setup im DNS und auf dem Server analysiert, um möglicherweise veraltete Software-Komponenten ausfindig zu machen. Zudem wird nach offenen Ports oder Logins gesucht und überprüft, ob Testsysteme oder Administrationsoberflächen ausgespäht werden können. Ein umsichtig durchgeführter Pentest liefert am Ende neben dem Ergebnis, ob und welche Möglichkeiten zum Eindringen in das System bestehen, auch Aufschluss darüber, ob die Scans im Rahmen der Angriffs-Simulation zu Performance-Einbrüchen im laufenden Betrieb des Shops geführt haben.
Pentest für Ihren Onlineshop? Jetzt beraten lassen!
Web-Application-Firewall (WAF)
Ein absolut integraler Bestandteil der Sicherheitsarchitektur für einen Onlineshop im Livebetrieb ist eine Web-Application-Firewall (WAF). Im Hinblick auf den jeweiligen Leistungsumfang unterscheiden sich die angebotenen Systeme teilweise sehr deutlich voneinander. Für die Preise gilt das allerdings auch.
Eine WAF prüft alle Anfragen, die auf dem Webserver eingehen, sowie dessen Antworten. Sobald darin verdächtige Muster erkannt werden, unterbindet sie den Zugriff. Um die Funktionsweise der WAF zu verbessern und ihre Fähigkeiten an neue Angriffsvektoren anzupassen, ist bei herkömmlichen Lösungen die Interaktion mit dem Nutzer notwendig. Ein Administrator kann beispielsweise von der WAF bereitgestellte Berichte oder Logdateien auswerten und auf dieser Grundlage die Entscheidungsarchitektur des Systems anpassen. Technisch komplexere Lösungen optimieren sich durch maschinelles Lernen auf der Grundlage von aktuellen KI-Technologien fortwährend selbst.
Unseren Hosting-Kunden bieten wir die sehr bewährte, auch gegen massive DDoS-Attacken gewappnete WAF von Cloudflare in den Varianten „Pro“ und „Business“ an. Für größere Onlineshops empfehlen wir die vom BSI zertifizierte, auch von Regierungen, Banken und Einrichtungen der kritischen Infrastruktur eingesetzte Security-as-a-Service-Plattform von Myra Security. Ebenfalls uneingeschränkt empfehlen können wir den bereits mehrfach preisgekrönten Web Application Protector des WAF-Marktführers Akamai, der sich dank KI-getriebener Machine-Learning-Systeme permanent selbst verbessert.
Jetzt über Web-Application-Firewalls informieren!
Brauchen Sie Unterstützung?
Security im E-Commerce ist ein komplexes und extrem wichtiges Thema. Wir beraten Sie gern und bieten Ihnen mit unseren maßgeschneiderten Services und Managed-Hosting-Paketen Sicherheit für Ihren Onlineshop.