Sicherheit im E-Commerce, Teil 1

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Attacken auf Online-Shops laufen vollautomatisch

Von Uli Ries

Thema verpasst?

Wird der Betreiber eines Online-Angebots Opfer einer Datenpanne, zwingt ihn das Bundesdatenschutzgesetz, den Datenverlust an die Aufsichtsbehörde zu melden. So weit, so unangenehm. Aber es kommt auch noch teuer: Sprechen keine Sicherheitsbedenken dagegen, müssen außerdem die Betroffenen – im Fall eines Online-Shops also alle Kunden, deren Daten gespeichert wurden – sofort informiert werden.

Wer ist der Nächste?

Sind die Betroffenen nicht individuell bekannt – etwa weil keine Postanschrift vorliegt –, muss ein mindestens halbseitiger Hinweis in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen. Laut Preisliste kostet eine solche Anzeige in der FAZ im besten Fall 40.000 Euro – sehr viel Geld für eine Datenpanne. Unterbleibt die Benachrichtigung, sind Bußgelder möglich, die den Preis der Anzeigen um ein Mehrfaches übertreffen.

Kommunikation und Netze 2014-1.png
E-Book am Online-Kiosk
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit Download-Links zu sämtlichen Einzelheften bekommen Sie online im Zeitschriftenkiosk des MittelstandsWiki.

Dass die Gefahr real ist, Opfer eines digitalen Raubzugs zu werden, sollte inzwischen ebenfalls in den Köpfen angekommen sein: Im Wochentakt werden irgendwo auf der Welt Kundendaten geklaut. Die Kette an Meldungen über gehackte Datenbanken oder nach einer Datenpanne im großen Stil ausgetauschte Kreditkarten reißt nicht ab.

Datendiebe arbeiten Vollzeit

In der Regel stecken Zeitgenossen hinter den Einbrüchen, die mit einer ganz eigenen Art E-Commerce ihren Lebensunterhalt bestreiten: Die Diebe verkaufen die erbeuteten Login-Daten (Benutzernamen, Passwörter, E-Mail-Adressen) und natürlich auch Kreditkarten- und Bankinformationen meistbietend in Untergrundforen. Der prominente Hacker Dan Kaminsky bringt es auf den Punkt: „Wir kämpfen nicht länger gegen Kids. Heute werden wir von Menschen angegriffen, die selbst Kinder haben – und die diese ernähren müssen.“

Ähnlich wie Privatanwender, die durch massenhaft versandte Phishing-E-Mails Opfer von Datendieben werden, nehmen die Angreifer auch nur sehr selten einen einzelnen Online-Shop aufs Korn. Die Platzhirsche wie Amazon, eBay oder PayPal dürften regelmäßig gezielt angegriffen werden. Kleinere E-Commerce-Angebote hingegen werden vollautomatisch attackiert, z.B. indem ein Skript automatisch per Suchmaschine Installationen einer bestimmten Shopsoftware-Version aufspürt, in der eine leicht zu missbrauchende Schwachstelle bekannt wurde. Ebenso automatisch passiert dann der Einbruch ins System durch diese Lücke.

Wen die Cyberdiebe da genau ausnehmen, dürfte sie in den wenigsten Fällen interessieren. Wichtig ist ihnen nur, dass eine möglichst große Zahl an verwertbaren Daten – Nutzernamen, Passwörter, Kreditkarten- und Bankdaten, E-Mail-Adressen – abgesaugt werden kann.

An SSL führt kein Weg vorbei

„Eine Studie belegt, dass sich Kunden von Online-Shops Sicherheitsmaßnahmen wünschen, um personenbezogene Daten bzw. Kreditkartendaten vor ungewünschtem Zugriff zu schützen“, sagt Jochen Klotz, Senior Technical Consultant beim Verschlüsselungsspezialisten RSA. „In der Praxis gehen Kunden aber doch eher den einfachen Weg und verwenden Passwörter anstelle von sicheren Tokens oder Chipkarten. Es sind also Sicherheitsmaßnahmen gefordert, die Zahlungsdaten vor Betrug schützen, das Kaufverhalten aber nicht einschränken.“

Serie: Sicherheit im E-Commerce

  • Teil 1 skizziert die Gefahren­lage und beginnt mit SSL.
  • Teil 2 arbeitet sich von der Zwei-Faktor-Authenti­fizierung mit Tokens durch bis zur verhaltens­basierten Betrugs­abwehr.

Eine Sicherheitsmaßnahme, die keinen Kunden belästigt, ist SSL (Secure Sockets Layer). Zwar ist die Technik im vergangenen Jahr durch die spektakulären Angriffe auf schlecht gesicherte Zertifizierungsstellen (Certificate Authorities) ins Gerede gekommen. Per se ist SSL aber immer noch das Mittel der Wahl. Wer im Jahr 2012 mit Kunden- oder Kreditkarteninformationen hantiert und deren Transfer nicht per SSL verschlüsselt, handelt verantwortungslos und sollte zu Recht von Käufern gemieden werden. SSL sichert nicht nur den Datentransfer zwischen Client und Server ab, es stellt auch die Authentizität des Shop-Betreibers sicher. Wer seinen Kunden ein noch größeres Gefühl der Sicherheit vermitteln will, lässt sich ein EV-Zertifikat (Extended Validation) ausstellen – und wählt eine renommierte CA wie VeriSign oder Thawte.

Wie die Zwei-Faktor-Authentifizierung mit RSA-Tokens funktioniert und warum der regelmäßige Selbsttest per Schwachstellenscanner Pflicht ist, führt Teil 2 dieser Serie aus.

Nützliche Links

Anzeige
MittelstandsWiki 12
Dieses E-Book können Sie kostenlos haben, wenn Sie einen unserer Newsletter abonnieren ;-)

1 Kommentar:

  1. Mich würde es sehr interessieren, welche Shopbetreiber sich über die Meldepflicht im klaren sind. Wie ist den die Sachlage, wenn Amazon als Verkaufsportal benutzt wird?

Einen Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert. *

Sie können folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>