Sicherheit im E-Commerce, Teil 2

Aus MittelstandsWiki
Wechseln zu: Navigation, Suche

Doppelsicherungen aus der Cloud

Von Uli Ries

Thema verpasst?

Noch mehr Sicherheit für Online-Shops verspricht eine Zwei-Faktor-Authentifizierung, wie sie im Unternehmensumfeld schon seit Jahren durch die RSA-Tokens bekannt ist.

Nachdem die Tokens aber vielen Kunden zu umständlich sind – PayPal gab die Passwortgeneratoren einige Zeit aus, stellte den Versuch aber wieder ein –, kam Symantec z.B. auf die Idee eines softwarebasierten Tokens. Unter dem Namen Symantec Validation and ID Protection Service (VIP) bietet das Unternehmen einen Cloud-Dienst, der nicht nur von Größen wie eBay oder PayPal genutzt werden kann.

Laut Thomas Hemker, Sicherheitsstratege bei Symantec Deutschland, ist VIP auch für kleinere Shop-Betreiber interessant. Bezahlt wird pro registriertem Kunden, und es muss lediglich eine Gateway-Lösung installiert werden. Den Rest erledigt der Cloud-Service. Die Kunden des Shops können die Einmalpasswörter entweder per Smartphone-App generieren, oder auch vom PC aus. Der Dienst steht den Käufern kostenfrei zur Verfügung.

Kommunikation und Netze 2014-1.png
E-Book am Online-Kiosk
Dieser Beitrag erschien zuerst in unserer Magazinreihe. Einen Überblick mit Download-Links zu sämtlichen Einzelheften bekommen Sie online im Zeitschriftenkiosk des MittelstandsWiki.

Mit Selbstverteidigung abschließen

Auch regelmäßige Penetrationstests der eigenen Shop-Infrastruktur sind ratsam. Nur so wird die verwendete Software auf die gleiche Art und Weise unter die Lupe genommen, mit der es auch ein Angreifer versuchen würde. Diese Art Test kann entweder durch einen spezialisierten Dienstleister erfolgen, oder man greift – entsprechende Kenntnis der Materie vorausgesetzt – selbst zu Schwachstellenscannern wie Metasploit.

Damit man stets über neue Schwachstellen in der installierten Software – Shopsystem, Datenbanken, CMS, zugrunde liegendes Betriebssystem, Webserver und so weiter – informiert bleibt, empfiehlt sich das Abonnement eines kommerziellen Informationsdienstes, wie ihn z.B. Secunia oder Symantec bieten. Anhand der gelieferten Informationen kann dann die eigene Bedrohungslage bestimmt werden. Außerdem lässt sich auf Basis der Daten die Frage beantworten, welche Systeme aufgrund des erhöhten Risikos zuerst mit Sicherheitsupdates versehen werden müssen.

Symantecs Informationsdienst DeepSight liefert zudem auch IP-Adressen, von denen Attacken ausgingen. Per SCAP-Feed (Security Content Automation Protocol) oder XML-Datei können diese Informationen automatisch in entsprechende Firewall- oder IPS-/IDS-Komponenten gefüttert werden.

Thomas Hemker weiß, dass insbesondere Komponenten zum Absichern der Infrastruktur wie Web Application Firewalls oder leistungsfähige IPS-/IDS-Komponenten sehr teuer und kaum für kleinere E-Commerce-Anbieter tauglich sind. Seine Empfehlung lautet daher: „Am besten ist es natürlich, wenn der Hoster des Shop-Systems entsprechende Komponenten betreibt und sie zum Teil des Hosting-Angebots macht. So kommen auch kleine Shops in den Genuss professioneller Schutztechnik.“

Verschlüsseln, wo immer möglich

Eine weitere Maßnahme, von der Käufer nichts mitbekommen, ist das Verschlüsseln der Datenbanken, in denen die Kundeninformationen gespeichert werden. Jede gängige Datenbank lässt sich kodieren. Passwörter sollten zudem niemals im Klartext in der Datenbank abgelegt werden, sondern nur der Hashwert der Kennwörter. Zum Erzeugen des Hashes wird oft der MD5-Algorithmus verwendet, der inzwischen jedoch nicht mehr zeitgemäß ist. Durch Hinzufügen einer vom Anwender eingegeben, zufälligen Zeichenkette (Salt) lässt sich aber auch eine Brute-Force-Attacke auf MD5-Hashes spürbar verlangsamen. Werden zu kurze Passwörter zudem durch automatisiertes Key Stretching künstlich verlängert, erhöht sich der Aufwand für den Cracker nochmals. Aus Tagen können so Jahre werden, die zum Knacken der Passwörter oder anderer Datenbankeinträge nötig wären.

Serie: Sicherheit im E-Commerce

  • Teil 1 skizziert die Gefahren­lage und beginnt mit SSL.
  • Teil 2 arbeitet sich von der Zwei-Faktor-Authenti­fizierung mit Tokens durch bis zur verhaltens­basierten Betrugs­abwehr.

Eine weitere Möglichkeit ist das Verschlüsseln und Virtualisieren von Kundendaten, Tokenization genannt. „Hierbei werden die sensiblen Daten durch Ersatzwerte verschlüsselt, die dann für Transaktionen genutzt werden. Die Kreditkartendaten befinden sich nur kurze Zeit verschlüsselt im System des Händlers. Sollten Unbefugte an diese Daten gelangen, können sie diese nicht auf die ursprünglichen Zahlungsdaten eines Kunden zurückführen“, erklärt RSA-Mann Klotz. Sein Arbeitgeber hat mit dem RSA SafeProxy ein Produkt im Angebot, das sich um die Tokenization der kritischen Daten kümmert.

Fazit: Mauszittern ist die Luxusvariante

Eine andere Sicherungstechnik dürfte aber wohl bis auf Weiteres nur den Großen der Branche sowie Banken vorbehalten bleiben: die verhaltensbasierte Betrugsabwehr. Unter anderem PayPal setzt auf das von RSA entwickelte System, um seinen legitimen Kunden bei ihren Transaktionen einige Zeit über die Schulter zu schauen. Die Software prägt sich dabei z.B. Mauswege, Klickpfade, Geolokation, übliche Uhrzeit, die Browserversion und andere Daten ein. Weicht das Verhalten eines bestimmten Kontos nun eines Tages vom gewohnten Muster ab – z.B. weil der Account geknackt wurde und der Betrüger sich ganz anders verhält –, verlangt das System die Eingabe eines zusätzlichen Sicherheitscodes, der z.B. per SMS verschickt wurde.

So effizient diese Form der Betrugsabwehr auch sein mag, sie ist teuer und funktioniert nur, wenn genug Daten gesammelt werden können. Kauft ein Kunde nur zweimal pro Jahr, ist die Datenbasis zu gering. Außerdem gehen Insider davon aus, dass die Lösung einen mindestens sechsstelligen Eurobetrag verschlingt.

Nützliche Links

Anzeige
Kommunikation 2013-Q4
Dieses E-Book können Sie kostenlos haben, wenn Sie einen unserer Newsletter abonnieren ;-)

Einen Kommentar hinterlassen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert. *

Sie können folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>