fotografiche.eu - Fotolia
Schritt für Schritt zur sicheren E-Commerce-Plattform
E-Commerce-Plattformen sind beliebte Angriffsziele von Cyberkriminellen. Welche Security-Fragen müssen sich Online-Händler stellen? Ein planvolles Vorgehen hilft da weiter.
Speziell die Wachstumsbranche E-Commerce steht immer wieder im Fokus von Cyberkriminellen und ist damit einem hohen Risiko ausgesetzt. Trotzdem glaubt man sich bei vielen Online-Händlern vor Hacker-Angriffen weitestgehend sicher: Manche von ihnen halten sich für zu klein und zu unbedeutend, um für Cyberkriminelle interessant zu sein; andere schätzen ihre Sicherheitsvorkehrungen als ausreichend ein und glauben, es reiche aus, wenn man nur gut aufpasst. Ein Trugschluss.
Eine E-Commerce-Plattform ins Leben zu rufen – heutzutage ein Kinderspiel. Möglich wird dies aufgrund einer Fülle freier wie kommerzieller Software- und vielfältiger Hosted-SaaS-Lösungen, Online-Marktplätzen und Zahlungsdienstleistern. Alternativ bietet der Markt ein breites Angebot an Entwicklern, E-Commerce-Dienstleistern und Dokumentations-Ressourcen für eine mögliche Umsetzung in Eigenregie.
Aufgrund ihres hohen Aufkommens und das durch die COVID-19-Pandemie stark gestiegenen Volumens, haben sich E-Commerce-Plattformen in den letzten Monaten als bevorzugtes Ziel in den Fokus von Cyberkriminellen gerückt. Denn: Je mehr Traffic auf der Plattform, desto profitabler der Cyberangriff.
Weshalb das so ist? Meist ist das primäre Ziel eines solchen Angriffs der Diebstahl von persönlichen Daten, wie beispielsweise Kreditkarten-Informationen oder Adressdaten, deren späterer Verkauf für Cyberkriminelle – je nach Menge und Qualität – sehr profitabel sein kann. Und es geht sogar noch weiter: Mit den gewonnenen Daten, wie zum Beispiel Benutzernamen/Passwörtern, vertraulichen Dokumenten, Anbindungen an interne Systeme wie ERP oder Warenwirtschaft, werden Angriffe auf weitere Bereiche unternehmenseigener Netzwerke überhaupt erst ermöglicht oder bieten die Grundlage für Spear-Phishing-Attacken mittels Social Engineering.
Folgen für Online-Händler
Mögliche Folgen eines solchen Cyberangriffs sind gravierend für den Plattformbetreiber: Neben zivilrechtlichen Konsequenzen bis hin zu Schadenersatzforderungen der geschädigten Kunden oder Partner, zieht ein solcher Vorfall häufig auch einen Vertrauensverlust in den Betreiber und seine Plattform nach sich, der unter Umständen das gesamte Geschäftsmodell gefährden kann. Hinzu kommen hohe Folgekosten, beispielsweise bedingt durch nachgelagerte IT-forensische Untersuchungen oder Kosten für imagerettende Kampagnen. Worst Case muss sogar der Online-Shop abgeschaltet werden, falls die Funktionalität durch den Hack nachhaltig beeinträchtigt wurde.
Und dennoch: Laut einer Forsa-Umfrage im Auftrag des Gesamtverbands der Deutschen Versicherungswirtschaft e.V. (GDV) im April 2020 (PDF) bei kleinen und mittleren Unternehmen sind zwar knapp 70 Prozent der befragten Unternehmen der Meinung, dass das Risiko, Opfer einer solchen Attacke zu werden, in Deutschland hoch ist. Erstaunlicherweise sind jedoch - trotz der möglichen existenzgefährdenden Auswirkungen - ebenso über 70 Prozent der Befragten der Meinung, dass es sie nicht treffen wird, weil sie zu klein oder zu uninteressant sind. Eine Fehleinschätzung, die weitreichende Folgen haben kann.
Doch es gibt auch noch gute Nachrichten: Glücklicherweise können die meisten Cyberangriffe mit der richtigen E-Commerce-Sicherheitsstrategie verhindert werden. Wenngleich die möglichen Risiken abschreckend klingen mögen, so ist es mit entsprechender Sorgfalt kein Problem, sich in diesem Bereich geschäftlich, juristisch wie technisch sicher zu betätigen. Ziel muss es sein, den Cyberkriminellen immer einen Schritt voraus zu sein. Der nachfolgende 4-Punkte-Plan zeigt auf, was hierbei zu beachten ist.
Punkt 1: Überblick verschaffen
Über welche Daten verfügt ein Shop oder Webportal, wo sind Schwachstellen, wen könnte ein Angriff betreffen und welche Pflichten hat der Betreiber? Eine Übersicht bezogen auf das konkrete Projekt hilft, Schwachstellen, Risiken und Handlungsbedarf zu erkennen und Maßnahmen einzuleiten.
Eine Dokumentation der Systemlandschaft unter Sicherheitsaspekten und eine Schulung des Teams kann oft einen großen Teil der Risiken kontrollierbar machen. Viele Angriffsvektoren werden dabei auch ohne identifizierbaren Handlungsbedarf erfasst, dafür wird allen Beteiligten vor Augen geführt, was für den zukünftigen Betrieb, aber auch die Weiterentwicklung hilfreich ist.
Folgende Fragestellungen helfen E-Commerce-Betreibern dabei, einzuordnen, wie sie hinsichtlich Security aktuell aufgestellt sind und wo Handlungsbedarf besteht:
-
Werden bei unserem Dienst regelmäßige Updates durchgeführt? Wer führt diese in welchen Intervallen durch? Bestehen Wartungsverträge und Service Level Agreements (SLAs)?
-
Wie ist die Lösung gehostet? Welche SLAs liegen dort vor und welche Vereinbarungen existieren hier für Sicherheits-Updates, Backups und ähnliches?
-
Teilt sich unsere Plattform einen Server mit anderen Projekten (intern im Haus oder auch extern im Sinne von Shared Hosting)?
-
Ist unser Portal mit automatischen Schnittstellen an andere Dienste angebunden, egal ob eingehend oder ausgehend, und wurde diese Verbindung unter IT-Sicherheitsaspekten geplant und umgesetzt? Sind die Datenquellen vertrauenswürdig oder können diese manipuliert werden?
-
Habe ich das Gefühl, dass meine Mitarbeiter/Kollegen wie auch beauftragte Dienstleister sich der Sicherheitsrisiken, Abwehrmaßnahmen und Folgen bewusst sind (Security Awareness) und sich regelmäßig weiterbilden?
-
Ist aus einem Provisorium eine Dauerlösung geworden oder eine längst abgekündigte Lösung nicht ersetzt worden?
-
Wurden Änderungen oder Erweiterungen kurzfristig bis überstürzt umgesetzt, um zum Beispiel einen Produktlaunch zu unterstützen oder dem unerwarteten Ansturm aufgrund einer Marketingmaßnahme gerecht zu werden?
Darüber hinaus können sowohl E-Commerce- als auch Cybersecurity-Experten ein Projekt technologisch analysieren und schnell einschätzen, wo es steht – und dann entsprechende Handlungsempfehlungen aussprechen oder gar ausführen. Hier seien exemplarisch die beiden großen Verfahren des Penetrationstests (als Black-Box-Test) aber auch das Begutachten der eingesetzten Komponenten, von Architekturkonzepten und Implementierungen (White-Box-Test) genannt.
Punkt 2: Juristischen Rat einholen
Es empfiehlt sich generell eine juristische Beratung, die branchen- und dienstleistungsspezifisch aufzeigt, welche Gesetze, Verordnungen und berufsrechtliche Regularien im konkreten Tätigkeitsbereich anzuwenden sind und welche konkreten Anforderungen sich daraus für ein Online-Angebot ergeben, einzuholen.
„Eine Dokumentation der Systemlandschaft unter Sicherheitsaspekten und eine Schulung des Teams kann oft einen großen Teil der Risiken kontrollierbar machen.“
Steffen Ritter, AOE
Diese Anforderungen kann ein Technologiedienstleister dann in der Entwicklung berücksichtigen. Es ist wichtig zu verstehen, dass der Betreiber selbst dafür verantwortlich ist, dass sein Online-Angebot rechtskonform umgesetzt wird – und selbstverständlich auch über die ganze Lebensspanne des Angebotes konform bleibt. Dies muss auch sich verändernde Inhalte oder Rechtslagen berücksichtigen. Der Technologiedienstleister ist (meist) allein für die Umsetzung zuständig und kann weder eine juristische Beratung durchführen noch für die Rechtssicherheit eines Online-Angebots haften.
Punkt 3: Passenden Dienstleister wählen
Im Optimalfall kennen Technologiepartner und Dienstleister die Risiken und Aspekte der IT-Sicherheit und beziehen diese bereits planerisch in Projekte ein. Nicht immer liegt dieses Themenfeld jedoch in der Expertise der Dienstleister. E-Commerce- und Cybersecurity-Spezialisten können in diesem Fall potenzielle Schwachstellen oder Handlungsbedarf an bestehenden Projekten identifizieren
Zu Beginn eines E-Commerce-Projektes oder eines Relaunchs bietet es sich an, „Security by Design” einzuführen und entsprechend in der Ausschreibung zu berücksichtigen – sowohl als Leistungsgegenstand als auch als Auswahlkriterium für den Dienstleister.
Punkt 4: Notfallplan ausarbeiten
Absolute Sicherheit gibt es nicht. Ein Unternehmen kann sich auf einen Hackerangriff vorbereiten, um im Ernstfall zum einen schnell reagieren zu können und zum anderen möglichst gut abgesichert zu sein. Ein solcher Plan wird am besten von Juristen, IT-Security-Spezialisten, dem technologischen Shop-Dienstleister und den Betriebsverantwortlichen in der Organisation gemeinsam entwickelt. Zusätzlich bietet beispielsweise die deutsche Versicherungswirtschaft sogenannte Cybersecurity-Versicherungen an, mit denen ein Anbieter das verbleibende Risiko und somit die geschäftliche Existenz absichern kann.
Cybersicherheit: Immer einen Schritt voraus
Wer online langfristig erfolgreich sein will, benötigt eine durchdachte E-Commerce-Sicherheitsstrategie und eine realistische Risikoeinschätzung. Nur so schützt ein Betreiber ebenso sich wie auch die eigenen Kunden und Partner. Die drastische Zunahme von Cybercrime und die inzwischen einfache Verfügbarkeit von Angriffshilfsmitteln verstärkt die Dringlichkeit des Handlungsbedarfs auf Seiten der Betreiber nur noch.
Mit Vorbereitung, Weitblick und verantwortungsvollem Umgang mit der Thematik lässt sich das Risiko drastisch minimieren und juristische Folgen reduzieren.
Über den Autor:
Steffen Ritter arbeitet als E-Commerce Consultant und Software Architect bei der AOE GmbH in Wiesbaden. In dieser Funktion berät er Kunden und erstellt Konzepte in den Bereichen Integrationen, System-Architekturen, Identity Management und IT-Security im Web in Digitalisierungs- und E-Commerce-Projekten.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.