Coming soon ... IT Summit by heise

Sicherheit im E-Commerce, Teil 2: Was den Online-Vertrieb einbruchssicher macht

Neben SSL setzen sichere Webshops vor allem auf die Verschlüsselung und Virtualisierung der Kundendaten. Ganz ausgeklügelte Lösungen erkennen ihre Kunden sogar an der Art, den Mauszeiger zu bewegen. Und eine ordentliche Zwei-Faktor-Authentifizierung ist mittlerweile sogar als Cloud-Service zu haben.

Doppelsicherungen aus der Cloud

Von Uli Ries

Noch mehr Sicherheit für Online-Shops verspricht eine Zwei-Faktor-Authentifizierung, wie sie im Unternehmensumfeld schon seit Jahren durch die RSA-Tokens bekannt ist.

Nachdem die Tokens aber vielen Kunden zu umständlich sind – PayPal gab die Passwortgeneratoren einige Zeit aus, stellte den Versuch aber wieder ein –, kam Symantec z.B. auf die Idee eines softwarebasierten Tokens. Unter dem Namen Symantec Validation and ID Protection Service (VIP) bietet das Unternehmen einen Cloud-Dienst, der nicht nur von Größen wie eBay oder PayPal genutzt werden kann.

Laut Thomas Hemker, Sicherheitsstratege bei Symantec Deutschland, ist VIP auch für kleinere Shop-Betreiber interessant. Bezahlt wird pro registriertem Kunden, und es muss lediglich eine Gateway-Lösung installiert werden. Den Rest erledigt der Cloud-Service. Die Kunden des Shops können die Einmalpasswörter entweder per Smartphone-App generieren, oder auch vom PC aus. Der Dienst steht den Käufern kostenfrei zur Verfügung.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Mit Selbstverteidigung abschließen

Auch regelmäßige Penetrationstests der eigenen Shop-Infrastruktur sind ratsam. Nur so wird die verwendete Software auf die gleiche Art und Weise unter die Lupe genommen, mit der es auch ein Angreifer versuchen würde. Diese Art Test kann entweder durch einen spezialisierten Dienstleister erfolgen, oder man greift – entsprechende Kenntnis der Materie vorausgesetzt – selbst zu Schwachstellenscannern wie Metasploit.

Damit man stets über neue Schwachstellen in der installierten Software – Shopsystem, Datenbanken, CMS, zugrunde liegendes Betriebssystem, Webserver und so weiter – informiert bleibt, empfiehlt sich das Abonnement eines kommerziellen Informationsdienstes, wie ihn z.B. Secunia oder Symantec bieten. Anhand der gelieferten Informationen kann dann die eigene Bedrohungslage bestimmt werden. Außerdem lässt sich auf Basis der Daten die Frage beantworten, welche Systeme aufgrund des erhöhten Risikos zuerst mit Sicherheitsupdates versehen werden müssen.

Symantecs Informationsdienst DeepSight liefert zudem auch IP-Adressen, von denen Attacken ausgingen. Per SCAP-Feed (Security Content Automation Protocol) oder XML-Datei können diese Informationen automatisch in entsprechende Firewall- oder IPS-/IDS-Komponenten gefüttert werden.

Thomas Hemker weiß, dass insbesondere Komponenten zum Absichern der Infrastruktur wie Web Application Firewalls oder leistungsfähige IPS-/IDS-Komponenten sehr teuer und kaum für kleinere E-Commerce-Anbieter tauglich sind. Seine Empfehlung lautet daher: „Am besten ist es natürlich, wenn der Hoster des Shop-Systems entsprechende Komponenten betreibt und sie zum Teil des Hosting-Angebots macht. So kommen auch kleine Shops in den Genuss professioneller Schutztechnik.“

Verschlüsseln, wo immer möglich

Eine weitere Maßnahme, von der Käufer nichts mitbekommen, ist das Verschlüsseln der Datenbanken, in denen die Kundeninformationen gespeichert werden. Jede gängige Datenbank lässt sich kodieren. Passwörter sollten zudem niemals im Klartext in der Datenbank abgelegt werden, sondern nur der Hashwert der Kennwörter. Zum Erzeugen des Hashes wird oft der MD5-Algorithmus verwendet, der inzwischen jedoch nicht mehr zeitgemäß ist. Durch Hinzufügen einer vom Anwender eingegeben, zufälligen Zeichenkette (Salt) lässt sich aber auch eine Brute-Force-Attacke auf MD5-Hashes spürbar verlangsamen. Werden zu kurze Passwörter zudem durch automatisiertes Key Stretching künstlich verlängert, erhöht sich der Aufwand für den Cracker nochmals. Aus Tagen können so Jahre werden, die zum Knacken der Passwörter oder anderer Datenbankeinträge nötig wären.

Serie: Sicherheit im E-Commerce
Teil 1 skizziert die Gefahren­lage und beginnt mit SSL. Teil 2 arbeitet sich von der Zwei-Faktor-Authenti­fizierung mit Tokens durch bis zur verhaltens­basierten Betrugs­abwehr.

Eine weitere Möglichkeit ist das Verschlüsseln und Virtualisieren von Kundendaten, Tokenization genannt. „Hierbei werden die sensiblen Daten durch Ersatzwerte verschlüsselt, die dann für Transaktionen genutzt werden. Die Kreditkartendaten befinden sich nur kurze Zeit verschlüsselt im System des Händlers. Sollten Unbefugte an diese Daten gelangen, können sie diese nicht auf die ursprünglichen Zahlungsdaten eines Kunden zurückführen“, erklärt RSA-Mann Klotz. Sein Arbeitgeber hat mit dem RSA SafeProxy ein Produkt im Angebot, das sich um die Tokenization der kritischen Daten kümmert.

Fazit: Mauszittern ist die Luxusvariante

Eine andere Sicherungstechnik dürfte aber wohl bis auf Weiteres nur den Großen der Branche sowie Banken vorbehalten bleiben: die verhaltensbasierte Betrugsabwehr. Unter anderem PayPal setzt auf das von RSA entwickelte System, um seinen legitimen Kunden bei ihren Transaktionen einige Zeit über die Schulter zu schauen. Die Software prägt sich dabei z.B. Mauswege, Klickpfade, Geolokation, übliche Uhrzeit, die Browserversion und andere Daten ein. Weicht das Verhalten eines bestimmten Kontos nun eines Tages vom gewohnten Muster ab – z.B. weil der Account geknackt wurde und der Betrüger sich ganz anders verhält –, verlangt das System die Eingabe eines zusätzlichen Sicherheitscodes, der z.B. per SMS verschickt wurde.

So effizient diese Form der Betrugsabwehr auch sein mag, sie ist teuer und funktioniert nur, wenn genug Daten gesammelt werden können. Kauft ein Kunde nur zweimal pro Jahr, ist die Datenbasis zu gering. Außerdem gehen Insider davon aus, dass die Lösung einen mindestens sechsstelligen Eurobetrag verschlingt.

Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links