Sicherheit im E-Commerce, Teil 1

Attacken auf Online-Shops laufen vollautomatisch

Von Uli Ries

Wird der Betreiber eines Online-Angebots Opfer einer Datenpanne, zwingt ihn das Bundesdatenschutzgesetz, den Datenverlust an die Aufsichtsbehörde zu melden. So weit, so unangenehm. Aber es kommt auch noch teuer: Sprechen keine Sicherheitsbedenken dagegen, müssen außerdem die Betroffenen – im Fall eines Online-Shops also alle Kunden, deren Daten gespeichert wurden – sofort informiert werden.

Wer ist der Nächste?

Sind die Betroffenen nicht individuell bekannt – etwa weil keine Postanschrift vorliegt –, muss ein mindestens halbseitiger Hinweis in mindestens zwei bundesweit erscheinenden Tageszeitungen erfolgen. Laut Preisliste kostet eine solche Anzeige in der FAZ im besten Fall 40.000 Euro – sehr viel Geld für eine Datenpanne. Unterbleibt die Benachrichtigung, sind Bußgelder möglich, die den Preis der Anzeigen um ein Mehrfaches übertreffen.

Kommunikation-und-netze-2015-02.jpg

Schwarz auf Weiß
Dieser Beitrag erschien zuerst in unserer Magazin­reihe. Einen Über­blick mit freien Down­load-Links zu sämt­lichen Einzel­heften bekommen Sie online im Presse­zentrum des MittelstandsWiki.

Dass die Gefahr real ist, Opfer eines digitalen Raubzugs zu werden, sollte inzwischen ebenfalls in den Köpfen angekommen sein: Im Wochentakt werden irgendwo auf der Welt Kundendaten geklaut. Die Kette an Meldungen über gehackte Datenbanken oder nach einer Datenpanne im großen Stil ausgetauschte Kreditkarten reißt nicht ab.

Datendiebe arbeiten Vollzeit

In der Regel stecken Zeitgenossen hinter den Einbrüchen, die mit einer ganz eigenen Art E-Commerce ihren Lebensunterhalt bestreiten: Die Diebe verkaufen die erbeuteten Login-Daten (Benutzernamen, Passwörter, E-Mail-Adressen) und natürlich auch Kreditkarten- und Bankinformationen meistbietend in Untergrundforen. Der prominente Hacker Dan Kaminsky bringt es auf den Punkt: „Wir kämpfen nicht länger gegen Kids. Heute werden wir von Menschen angegriffen, die selbst Kinder haben – und die diese ernähren müssen.“

Ähnlich wie Privatanwender, die durch massenhaft versandte Phishing-E-Mails Opfer von Datendieben werden, nehmen die Angreifer auch nur sehr selten einen einzelnen Online-Shop aufs Korn. Die Platzhirsche wie Amazon, eBay oder PayPal dürften regelmäßig gezielt angegriffen werden. Kleinere E-Commerce-Angebote hingegen werden vollautomatisch attackiert, z.B. indem ein Skript automatisch per Suchmaschine Installationen einer bestimmten Shopsoftware-Version aufspürt, in der eine leicht zu missbrauchende Schwachstelle bekannt wurde. Ebenso automatisch passiert dann der Einbruch ins System durch diese Lücke.

Wen die Cyberdiebe da genau ausnehmen, dürfte sie in den wenigsten Fällen interessieren. Wichtig ist ihnen nur, dass eine möglichst große Zahl an verwertbaren Daten – Nutzernamen, Passwörter, Kreditkarten- und Bankdaten, E-Mail-Adressen – abgesaugt werden kann.

An SSL führt kein Weg vorbei

„Eine Studie belegt, dass sich Kunden von Online-Shops Sicherheitsmaßnahmen wünschen, um personenbezogene Daten bzw. Kreditkartendaten vor ungewünschtem Zugriff zu schützen“, sagt Jochen Klotz, Senior Technical Consultant beim Verschlüsselungsspezialisten RSA. „In der Praxis gehen Kunden aber doch eher den einfachen Weg und verwenden Passwörter anstelle von sicheren Tokens oder Chipkarten. Es sind also Sicherheitsmaßnahmen gefordert, die Zahlungsdaten vor Betrug schützen, das Kaufverhalten aber nicht einschränken.“

Serie: Sicherheit im E-Commerce
Teil 1 skizziert die Gefahren­lage und beginnt mit SSL. Teil 2 arbeitet sich von der Zwei-Faktor-Authenti­fizierung mit Tokens durch bis zur verhaltens­basierten Betrugs­abwehr.

Eine Sicherheitsmaßnahme, die keinen Kunden belästigt, ist SSL (Secure Sockets Layer). Zwar ist die Technik im vergangenen Jahr durch die spektakulären Angriffe auf schlecht gesicherte Zertifizierungsstellen (Certificate Authorities) ins Gerede gekommen. Per se ist SSL aber immer noch das Mittel der Wahl. Wer im Jahr 2012 mit Kunden- oder Kreditkarteninformationen hantiert und deren Transfer nicht per SSL verschlüsselt, handelt verantwortungslos und sollte zu Recht von Käufern gemieden werden. SSL sichert nicht nur den Datentransfer zwischen Client und Server ab, es stellt auch die Authentizität des Shop-Betreibers sicher. Wer seinen Kunden ein noch größeres Gefühl der Sicherheit vermitteln will, lässt sich ein EV-Zertifikat (Extended Validation) ausstellen – und wählt eine renommierte CA wie VeriSign oder Thawte.

Wie die Zwei-Faktor-Authentifizierung mit RSA-Tokens funktioniert und warum der regelmäßige Selbsttest per Schwachstellenscanner Pflicht ist, führt Teil 2 dieser Serie aus.
Uli-Ries.jpg

Uli Ries ist freier Journalist und Autor mit abgeschlossene journalistischer Ausbildung und langjähriger Erfahrung (u.a. bei CHIP, PC Professionell und www.notebookjournal.de). Seine Spezialgebiete sind Mobilität, IT-Sicherheit und Kommunikation – zu diesen Themen tritt er immer wieder auch als Moderator und Fachreferent auf.


Kontakt via Xing

Nützliche Links