Wie eine Studie des Beratungsunternehmens Capgemini jüngst gezeigt hat, ist IT-Sicherheit für Online-Kunden heute eines der entscheidendsten Kaufkriterien. Kein Wunder, denn die Abwehr von Datendiebstahl, Ransomware und anderen Cyberattacken stellt E-Commerce-Anbieter mittlerweile vor große Herausforderungen. [...]
Sowohl bei Online-Bestellungen aber insbesondere bei Online-Zahlungsvorgängen werden viele wertvolle personenbezogene Daten (PII) an den Händler übermittelt. und die Kunden erwarten dabei, dass diese absolut sicher verarbeitet und gespeichert werden. Darüber hinaus wünschen sie sich natürlich stabile und ausfallsichere Webseiten für einen bequemen und nutzerfreundlichen Einkauf. Doch mit zunehmender Komplexität der Technologie wird es für Einzelhändler immer schwieriger, sicherzustellen, dass sie jede Schwachstelle in ihren Systemen auch tatsächlich abgefangen haben. Gleichzeitig profitieren Cyberkriminelle von online-verfügbaren Malware- und Exploit-Kits, die eine Infektion von Webseiten mit Schadsoftware oder das Abgreifen von sensiblen Daten fast zum Kinderspiel machen.
Abhilfe kann E-Commerce-Anbietern letztlich nur eine gut durchdachte Sicherheitsstrategie verschaffen, die alle Angriffsvektoren im Blick hat und einen mehrstufigen Schutz bietet: Folgende neun Security Best Practices sollten Online-Händler dabei beachten:
HTTPS ist ein Muss – aber nicht die ultimative Verteidigung
Selbstverständlich muss jedes Online-Zahlungssystem das sichere https-Protokoll verwenden, um Daten abhörsicher zu übertragen. Wer jedoch denkt, dass die Transportverschlüsselung ausreicht, um seine Systeme zu schützen, der irrt. Alle Datenverstöße bei prominenten Online-Retailern, von Macy’s bis zu Adidas oder British Airways, traten auf Webseiten auf, die https verwendeten. https ist eine Standardschutzmaßnahme, aber nicht mehr.
Effektiver Schutz für Server und Admin-Panels
Sicherheits-Verantwortliche bei Online-Retailern müssen sicherstellen, dass alle cPanels, d.h. alle web-basierten Konfigurationstools für Webserver- und Webhosting, gesperrt und nicht, wie üblich, von jeder IP-Adresse aus zugänglich sind. Hier muss festgelegt werden, dass nur bestimmte IP-Adressen auf die Panels zugreifen können. Darüber hinaus sollten Verzeichnisse und Ordner mit den korrekten Berechtigungen ausgestattetet sind. Vor allem sogenannte 777 Berechtigungen, die Unbefugten Lese-, Schreib, und Ausführungszugriffe ermöglichen, müssen umgehend gelöscht werden.
Sicherheit beim Zahlungsgateway
Zahlungsgateways stehen bildlich gesehen zwischen einer Website und dem Zahlungsanbieter und autorisieren die Finanztransaktionen für Online-Händler und E-Commerce-Unternehmen. Das Gateway schützt einerseits die Daten der Kunden, etwa die Details einer Kreditkarte, andererseits aber auch die Händler vor Betrug. Um diese Sicherheit zu gewährleisten, muss ein Paymentgateway über Punkt-zu-Punkt-Verschlüsselung (P2PE) sowie Tokenisierung zur Reduzierung von Zahlungsbetrug durch gestohlene Daten verfügen und sollte zudem PCI DSS-konform sein.
Traditionelle Antiviren- und Anti-Malware-Software hat ausgedient
Heutige Malware-Angriffe können von älteren Anti-Virus-Lösungen nicht mehr verlässlich identifiziert und schnell gestoppt werden, da die Angriffsmethoden der Angreifer längst ausgefeilter sind als die AV-Software selbst. Vor allem dateilose Malware, die keine ausführbaren Dateien ablegt, welche von AV-Scannern analysiert werden können, machen den Einsatz von anspruchsvolleren Endpunkt-Sicherheitslösungen im E-Commerce unerlässlich. Dabei sollten die Anbieter auf Lösungen setzen, die verhaltensorientierter KI-Erkennung und autonome Reaktionsmöglichkeiten kombinieren.
Firewall-Steuerung und Kontrolle des Datenverkehrs
Das Sicherheits-Einmaleins für Online-Händler umfasst zudem eine Anwendungsfirewall, die in der Lage ist, die Kommunikation aus bekannten bösartigen Domänen fernzuhalten, sowie eine Sicherheitslösung, die eine granulare Kontrolle des ein- und ausgehenden Datenverkehrs ermöglicht.
Absicherung der Webseite mit SSL-Zertifikaten
Genauso wie das Verwenden von https-Protokollen, sollten auch SSL-Zertifikate zu den Standardeinstellungen jeder Online-Handel-Website gehören. Anbieter müssen sicherstellen, dass alle Anmeldungen – auch im Backend – die Verwendung von SSL oder TLS erfordern. Anmeldungen über die Ports 2082, 2086 oder 2095, die Passwörter im Klartext senden und Diebstahl begünstigen, sollten hingegen vermieden werden.
Mehrstufige Sicherheit einsetzen
Man kann es gar nicht oft genug sagen: Um sich effektiv und wirksam vor hochentwickelter Malware und raffinierten Bedrohungsakteuren zu schützen, ist eine mehrstufige Verteidigung, die alle Risiken der heutigen Bedrohungslandschaft – von bösartigen Insidern bis zu Supply-Chain-Angriffen – im Blick hat, unerlässlich. Gute Sicherheit bedeutet hier, alle Fallstricke eines Single Point of Failure zu vermeiden.
Sicherheits-Plugins verwenden
Egal welche E-Commerce-Plattform zum Einsatz kommt, ob Shopify, Magento oder eine andere Lösung, sie sollte auf jeden Fall über ausreichend Sicherheits-Plugins verfügen. Essenziell sind hier etwa Plugins zum Erkennen von Bots, dem Blacklisten von Besuchern an bestimmten Standorten sowie Plugins, die Rechtsklick-Interaktionen oder Drag-and-Drop-Aktionen verhindern und so Website-Inhalte schützen.
Backup-Strategien zum Schutz vor Ransomware
Ransomware ist auch zwei Jahre nach WannaCry und NonPetya ein riesen Problem und betrifft Behörden, Verwaltungen, Produktionsanlagen genauso wie Onlineshops. Eine konsequente Backup-Strategie ist deshalb unerlässlich. Hier empfiehlt sich das so genannte „3-2-1-Prinzip“, d.h. es existieren immer mindestens drei aktuelle Backups, zwei davon auf verschiedenen Speichermedien und eines an einem externen Standort.
Fazit
Spätestens seit dem Inkrafttreten der EU-DSGVO im Mai 2018 haben Datenschutzvorfälle und Cyberangriffe für Online-Händler nicht nur Reputationsschäden zur Folge. So wurde British Airways für den Diebstahl von hunderttausenden Adress-, Bank- und Kreditkartendaten ihrer Kunden bzw. das Versagen der Security-Verantwortlichen bei BA, die Cyberangreifer rechtzeitig zu identifizieren und zu stoppen, zu einer Bußgeldzahlung von knapp 205 Millionen Euro verurteilt. Unternehmen müssen sich bewusst machen, dass Einsparungen beim Security-Budget Einsparungen am falschen Ende sind. Denn im Ernstfall übersteigen die drohenden Kosten, die neben dem Bußgeld ja auch die tatsächlichen Kosten für Ausfälle und Bereinigungen beinhalten, diese Einsparungen um ein Vielfaches.
Matthias Canisius ist Director CEE bei SentinelOne.
Be the first to comment