Mit diesen Lücken kämpfen Onlineshops - E-Commerce Magazin
Mit diesen Lücken kämpfen Onlineshops - E-Commerce Magazin
Mit diesen Lücken kämpfen Onlineshops - E-Commerce Magazin
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Zugriff auf Transaktions- und Kundendaten,<br />
Kontoinformationen und Versanddetails<br />
eindeutig regelt. Shop-Betreiber sollten<br />
die folgenden Fallstricke kennen:<br />
→ Sicherheitslücke Nr. 1:<br />
Oft werden selbst grundlegende Sicherungsmaßnahmen<br />
nicht umgesetzt, etwa<br />
der Einsatz einer Firewall, die eine einund<br />
ausgehende Kommunikation auf die<br />
notwendigsten Protokolle (etwa ssh, hhtp<br />
und https) beschränkt, die Implementation<br />
strikter Passwortregeln für Käufer<br />
(Verwendung von Groß- und Kleinschreibung,<br />
Sonderzeichen und einer Mindestpasswortlänge)<br />
oder die Verschlüsselung<br />
des Kommunikationskanals mit Zertifikaten.<br />
Ebenso hoch ist die Zahl derer, die<br />
keine regelmäßige Datensicherung durchführen.<br />
→ Sicherheitslücke Nr. 2:<br />
Zu den häufigsten Sicherheitslücken<br />
zählen das „Cross Site Scripting“ und die<br />
„SQL Injection“. „Cross Site Scripting“<br />
(XSS) nutzt fehlerhafte Web-Applikationen<br />
aus. Normalerweise werden in einer<br />
Browser-Session nur Daten aus einem<br />
vertrauenswürdigen Kontext verarbeitet.<br />
XSS gaukelt dem Browser des Opfers vor,<br />
dass bestimmte Scripte aus einer vertrauenswürdigen<br />
Seite stammen. Auf diese<br />
Weise lassen sich durch geschicktes Einschmuggeln<br />
von Javascript-Code Webseiten<br />
so verändern, dass beispielsweise<br />
manipulierte Login- oder Bestellformulare<br />
im Browser des Nutzers angezeigt werden.<br />
Gibt der Nutzer nun seine Daten ein,<br />
werden diese unbemerkt im Hintergrund<br />
umgeleitet. Dritte können sich unter dieser<br />
Identität am Onlineshop anmelden,<br />
Bestellungen tätigen oder auf die im Kundenkonto<br />
hinterlegten Kreditkarteninformationen<br />
zugreifen. „SQL Injections“ nutzen<br />
eine Schwachstelle beim Zugriff von<br />
Anwendungen auf eine Datenbank aus.<br />
Hierbei können bei Programmen, die zum<br />
Beispiel Inhalte oder E-Mail-Adressen in<br />
Datenbanken eintragen, durch Einsatz<br />
von Funktionszeichen (Apostroph, Backslash,<br />
Anführungszeichen oder Semikolon)<br />
SQL-Kommandos eingefügt werden, die<br />
an dieser Stelle eigentlich nichts verloren<br />
haben. Durch die Schwachstelle werden<br />
diese SQL-Kommandos ausgeführt. Angreifer<br />
können gezielt Daten auslesen,<br />
Datenbanken manipulieren oder in einzelnen<br />
Fällen die Kontrolle über den ganzen<br />
Server erhalten.<br />
→ Sicherheitslücke Nr. 3:<br />
Ist der Webshop eingerichtet, wird in<br />
nächster Zeit kaum etwas verändert. Und<br />
oft nicht einmal die Basissoftware aktualisiert.<br />
Kein Wunder, Wartung und Betrieb<br />
erfordern erhöhte Aufmerksamkeit und<br />
kosten Zeit und Geld. Sicherheitslücken<br />
werden so nicht oder nur mit zeitlicher<br />
Verzögerung geschlossen. In dieser Zeit<br />
sind die Systeme anfälliger. So können<br />
Webserver mit den Apache-Versionen<br />
2.2.0 bis 2.2.19 in kürzester Zeit von<br />
Angreifern lahmgelegt werden (Denial- of-<br />
Service-Attacken). Die damit<br />
verbundenen Shopsysteme<br />
sind nicht mehr<br />
erreichbar. Wird Software<br />
nicht aktualisiert, können<br />
Shopsysteme selbst für die<br />
Verbreitung von Schadprogrammen<br />
genutzt werden.<br />
„Drive By Exploits“ versuchen,<br />
mit automatisierten<br />
Verfahren Schwachstellen<br />
im Browser oder Betriebssystem<br />
der Besucher auszunutzen.<br />
→ Sicherheitslücke Nr. 4:<br />
Webshops, die keine Sessions<br />
Cookies einsetzen –<br />
kleine Programmschnipsel,<br />
die während der Nutzung<br />
des Shops temporär auf<br />
dem Rechner des Benutzers<br />
gespeichert werden,<br />
sodass sich der Besucher<br />
nicht mehr neu am Server<br />
identifizieren muss. Meldet<br />
sich ein Nutzer am Shop an<br />
und leitet einen angeschauten<br />
Artikel an einen Freund<br />
weiter, so kann sich dieser<br />
nun nicht nur den Artikel<br />
anschauen, sondern unter<br />
falschem Namen Bestellungen<br />
aufgeben, Kontodaten einsehen und<br />
diese verändern.<br />
→ Sicherheitslücke Nr. 5:<br />
<strong>Mit</strong> den oben genannten Sicherheitslücken<br />
steigt das Risiko, beim Bezahlen im<br />
Netz in Schwierigkeiten zu geraten. Dennoch<br />
bieten viele Unternehmen nur die<br />
Bezahlarten Überweisung, Kreditkarte<br />
oder Bankeinzug an. Schlimmstenfalls<br />
werden die Daten in einer Bestätigungsmail<br />
dann unverschlüsselt an den Besteller<br />
gesandt. Standard ist jedoch, dass<br />
sensible Daten in der Bestätigungsmail<br />
unkenntlich gemacht werden, indem etwa<br />
bei Kontodaten nur die ersten und letzten<br />
Stellen übermittelt werden. Der Einsatz<br />
von sicheren und geprüften Bezahlverfahren<br />
minimiert nicht nur das Risiko, sondern<br />
schafft für Nutzer Sicherheit. ■<br />
www.e-commerce-magazin.de