Sicherheitsanalyse für Onlineshops: Angriffen wirksam vorbeugen

Sicherheitsanalyse für Onlineshops: Angriffen wirksam vorbeugen

Onlineshops sind nach wie vor ein sehr beliebtes Angriffsziel für Hacker. Erfolgreichen Angreifern winkt im E-Commerce Bereich neben sensiblen Kundendaten auch technische Infrastruktur, die sich für kriminelle Zwecke missbrauchen lässt – oftmals lange Zeit unbemerkt. Eine umfassende Sicherheitsanalyse gehört daher zum Pflichtprogramm für Onlineshops, damit potenzielle Einfallstore für Attacken bereits im Vorfeld erkannt und geschlossen werden können. Wir erklären im Ausgang von einem konkreten Beispiel, wie eine umfassende Sicherheitsanalyse abläuft und worauf es dabei ankommt.

Praxisbeispiel: Härtetest für einen Magento Onlineshop

Kürzlich haben wir für einen unserer Hosting-Kunden, einen international erfolgreichen Magento Onlineshop, eine Sicherheitsanalyse durch ausgewiesene Fachleute durchführen lassen. Dabei wurden nicht einfach automatisierte Systeme auf den Shop losgelassen, sondern Experten haben in realistischen Szenarien versucht, Schwachstellen auszumachen, um darüber in den Shop einzudringen. Zusätzlich zu diesem sogenannten Penetrationstest (kurz: Pentest) wurde eine intensive DDoS-Analyse durchgeführt, um festzustellen, ob der Shop durch automatisierte Botnetz-Angriffe mithilfe unzähliger zugleich gesendeter Anfragen (sogenannten Distributed-Denial-of-Service- oder DDoS-Attacken) überlastet und lahmgelegt werden kann. Im Ergebnis bestanden der Shop und die Infrastruktur auf dem Server den Test mit Bravour.

Was passiert bei einem Penetrationstest (Pentest)?

Ein Penetrationstest unterscheidet sich von anderen Security Tests durch die intensive und individuelle Auseinandersetzung mit dem System, seinen potenziellen Schwachstellen und den konkreten Möglichkeiten für Einbrüche. Dabei werden nicht lediglich automatisierte Tests durchgeführt, um eine Reihe von Parametern und Aspekten nach einem vorgegebenen Schema zu prüfen, sondern Experten legen selbst Hand an und versuchen, tatsächlich Wege zu finden, um in den Shop einzubrechen. Dabei wird das grundlegende Setup im DNS und auf dem Server analysiert, um möglicherweise veraltete Software-Komponenten ausfindig zu machen. Zudem wird nach offenen Ports oder Logins gesucht und überprüft, ob Testsysteme oder Administrationsoberflächen ausgespäht werden können. Ein umsichtig durchgeführter Pentest liefert am Ende neben dem Ergebnis, ob und welche Einbruchsmöglichkeiten bestehen auch Aufschluss darüber, ob die Scans zu Performance-Einbrüchen im laufenden Betrieb des Shops geführt haben.

Was passiert bei einer DDoS-Analyse?

Im Rahmen einer DDos-Analyse wird überprüft, ob und inwieweit ein System unter der gezielten Belastung durch massenhaft gesendete Anfragen aus einem Botnetz zum Zusammenbruch gebracht werden kann. Die Resilienz eines Systems, zum Beispiel eines Onlineshops, gegen DDoS-Attacken lässt sich im Rahmen einer umfassenden Analyse für unterschiedliche Software-Schichten (Layer) sowie für die DNS- und die Mail-Infrastruktur ermitteln.

Unsere Empfehlung für Shopbetreiber: Pentest und DDoS-Analyse durchführen lassen

Wer einen Onlineshop betreibt, sollte für eine auf realistische Bedrohungspotenziale abgestimmte Sicherheitsanalyse sowohl einen Penetrationstest als auch eine DDoS-Analyse durchführen lassen. Denn in dieser Kombination werden sämtliche häufig auftretenden Angriffsmuster geprüft. Sofern angesichts der Testergebnisse Sicherheitsbedenken im Hinblick auf Möglichkeiten für das Eindringen in den Shop oder das Lahmlegen des Systems bestehen, werden entsprechende Handlungsempfehlungen gegeben.

Nach der Analyse: Handlungsempfehlungen umsetzen

Im Falle unseres eingangs erwähnten Hosting-Kunden wurde im Rahmen der Sicherheitsanalyse zwar keine Möglichkeit für einen Einbruch in der Shop festgestellt, weil das Setup unseres Hostings robust abgesichert und alle Komponenten aktuell waren. Allerdings wurde unserem Kunden im Hinblick auf den relativ schwachen Schutz von Magento gegen Layer-7-DDoS-Angriffe, die in der obersten Schicht der Software-Infrastruktur, der sogenannten Anwendungsschicht zum Beispiel über HTTP stattfinden, ein Schutzmechanismus gegen DDoS-Attacken empfohlen. Denn damit ein Server wirksam vor massiven DDoS-Angriffen geschützt werden kann, bedarf es eines vorgelagerten Schutzschilds, der typische Angriffsmuster erkennt und abwehrt. Zusätzlich lässt sich die Anwendungsebene noch durch eine Web Application Firewall (WAF) schützen, womit zahlreiche weitere Angriffsvektoren abgedeckt sind – etwa von Hackern häufig gegen Onlineshops eingesetzte Methoden wie SQL-Injections und Cross-Site-Scripting (XSS). Der modular aufgebaute Service 8ackProtect lässt sich neben dem Herzstück, einem sehr wirksamen DDoS-Schutz, auch mit einer WAF und weiteren Komponenten aufrüsten, so dass Onlinehändler ihre Shops damit zusätzlich zur serverseitigen Absicherung sehr gut gegen unterschiedlichste Angriffsversuche wappnen können.

Generell gilt: Handlungsempfehlungen, die im Anschluss an die Sicherheitsanalyse gegeben werden, müssen sehr ernst genommen und umgesetzt werden. Immerhin sind gezielte Einbruchsversuche in Onlineshops und DDoS-Angriffe im E-Commerce an der Tagesordnung, können gegen jeden Shop gerichtet werden – und sind mit sehr viel Ärger und oftmals mit empfindlichen Umsatzeinbußen verbunden.

Newsletter abonnieren

Melden Sie sich für unseren Newsletter an und lassen Sie sich monatlich über unsere neuesten Beiträge informieren!

    Kontakt

    Genug über uns – lassen Sie uns darüber sprechen, wie wir Ihnen helfen können.