Fünf Tipps zur Absicherung von Webshop-Angeboten
Durch COVID-19 ist Online-Shopping populärer denn je. Große Anbieter wie Amazon und Co. gehören seit Ausbruch des Virus zu den eindeutigen Gewinnern der Corona-Krise. Aber auch Unternehmen, die bisher ausschließlich auf den Kundenkontakt von Angesicht zu Angesicht setzten, blieb in den letzten Monaten gar keine andere Chance, als alternative Absatzwege zu finden oder bestehende digitale Angebote auszubauen. E-Commerce boomt, da auch immer mehr kleinere Händler auf den Online-Zug aufspringen, um vor dem Hintergrund von Kontaktverboten und Corona-bedingten Schließungen überhaupt irgendwie geschäftsfähig bleiben zu können. Hinsichtlich der Komplexität und Funktionalität von Webshop-Angeboten gibt es dabei natürlich klare Unterschiede – die Spanne reicht von einfachen Online-Shops, die sich auf Produktbild und Preis konzentrieren, bis hin zu ausgetüftelten, modernen Konfigurationen, die mit hohen IT-Investitionen und der Einbindung zahlreicher Unternehmensbereiche einhergehen. Doch egal, wie ausgefeilt und vielschichtig solche Angebote sich gestalten: Sicherheitsrelevante Aspekte sollten nie aus den Augen gelassen werden – sowohl im Hinblick auf das Wohl der Kunden als auch das der Mitarbeiter und Partner.
Gerade Unternehmen, die sich erstmals in die Welt des E-Commerce vorwagen, ist angeraten, von Anfang an einige grundlegende Sicherheitsprinzipien zu beachten. Und auch Anbieter bereits etablierter Online-Plattformen sollten sich die folgenden Empfehlungen – falls entsprechende Vorkehrungen noch nicht umgesetzt wurden – zu Herzen nehmen:
- Zugriffe konsequent absichern: Wenn ein Hinweis oberste Priorität genießt, dann dieser: Verwenden Sie starke Authentifizierungsmethoden. Bereits mit der Etablierung komplexer Passwörter, die regelmäßig geändert werden, ist viel gewonnen. Deutlich mehr Sicherheit beim Zugriff auf die Shop-Website oder Backend-Anwendungen verspricht jedoch der Einsatz fortschrittlicher Technologien wie der Multifaktor-Authentifizierung. Eine solche Lösung hat den zusätzlichen Vorteil, dass anzeigt wird, wenn jemand unberechtigterweise versucht, sich Zugang zu verschaffen.
- Anwendungen auf dem neuesten Stand halten: Was einfach klingt, hat sich in der Vergangenheit schon häufiger als Fallstrick erwiesen. Viele Unternehmen versäumen es, Online-Anwendungen mit Updates und Patches auf dem neuesten Stand zu halten. Die damit einhergehenden Optimierungen können jedoch großen Einfluss auf die Konfiguration haben. Versäumnisse erhöhen die Anfälligkeit gegenüber Gefahren wie beispielsweise Browser-Exploits. Glücklicherweise benachrichtigen die meisten gängigen Browser Anwender über Updates und ermöglichen automatische Aktualisierungen. Manchmal wird allerdings auch nur über verfügbare Updates informiert, ohne dass eine automatische Installation erfolgt. In dem Fall müssen Unternehmen selbst aktiv werden und entsprechend prüfen sowie sicherstellen, dass alles auf dem aktuellen Stand ist. Grundsätzlich ist es eine gute Idee, sich jede Woche kurz Zeit zu nehmen und sich zu vergewissern, ob alle Webanwendungen sowie die Verwaltungssoftware über die jüngsten Patches verfügen.
- Webanwendungen isolieren: E-Commerce-Anwendungen sollten niemals im gleichen Netzwerk wie die Datenbanken oder Workstations des Unternehmens zum Einsatz kommen. Denn wenn sich ein Sicherheitsvorfall ereignet, hat der Angreifer Zugriff auf alles. Es gilt also: Um die Sicherheit zu erhöhen, müssen Webanwendungen (via Segmentierung) vom Rest des Netzwerks isoliert werden. Bei umfangreicheren E-Commerce-Implementierungen sollte zudem der Datenverkehr, der zwischen den einzelnen Netzwerksegmenten stattfindet, überwacht werden. Dies lässt sich durch den Einsatz einer Netzwerksicherheitslösung, die Dienste wie Intrusion Prevention, URL-Filterung oder Gateway-Antivirus umfasst, einfach umsetzen.
- Netzwerkangriffen vorbeugen: Viele IT-Sicherheitsverletzungen der heutigen Zeit lassen sich auf Netzwerkangriffe wie Cross-Site-Scripting-Attacken zurückführen. Der Einsatz eines netzwerkbasierten Antiviren-Dienstes kann dieser Art von Übergriffen gezielt den Schrecken nehmen. Es sollte jedoch darauf geachtet werden, dass eine fortschrittliche Antiviren-Lösung zum Tragen kommt, die der aktuellen Bedrohungslage Stand hält und auch bisher unbekannte Gefahren abwehren kann. Etliche der derzeit gängigen Antiviren-Programme arbeiten nach wie vor rein signaturbasiert und sind daher nicht in der Lage, sogenannte Zero-Day-Threats, die sich derzeit auf dem Vormarsch befinden, zu erkennen.
- Anwendungen stets im Blick behalten: Die meisten Anwendungen ermöglichen es Unternehmen, Aktivitäten zu protokollieren. Durch ein entsprechendes, sicherheitsspezifisches Monitoring lassen sich Auffälligkeiten effektiv beobachten und es kann im Fall der Fälle schnell reagiert werden, um größeren Schaden abzuwenden. Unternehmen sollten bei der Entscheidung für eine E-Commerce-Plattform daher nicht zuletzt auf Monitoring- und Reporting-Funktionalität schauen und beispielsweise darauf achten, dass die Zustellung entsprechender Berichte und Hinweise auch per E-Mail möglich ist. Einige Anwendungen unterstützen zum Beispiel das Logging-Protokoll Syslog, das sich für spezifische Berichte nutzen lässt, oder bieten andere benutzerdefinierte Protokollierungskonfigurationen. Unternehmen sind gut damit beraten, sich über die jeweiligen Protokollfunktionen zu informieren. Die Verlaufsdaten sollten zudem für mindestens eine Woche an einem sicheren Ort vorgehalten werden. So kann immer noch rückwirkend Ursachenforschung betrieben werden, sollte es zu einem Sicherheitsvorfall kommen.