20080910zt Avira Sicherheit für Online-Shops
|
|
|
»manage
it«
als
|
Mit der richtigen Strategie sind Online-Shops eine sichere Sache Vom Scheunentor zum Schlüsselloch Keine Mitarbeiterkosten, der Ladenschluss fällt weg, und die neue Dekoration ist mit ein paar guten Ideen schnell gezaubert: Wer nach der derzeit modernsten Verkaufsform sucht, landet schnell beim Webshop. Wäre da nicht die Sache mit der Sicherheit. Horrormeldungen über geprellte Kunden, abgezockte Anbieter und plötzlich frei verfügbare Kreditkartendaten belegen, dass viele Online-Angebote erhebliche Schwächen haben. Von falsch ausgeschriebenen Preisen über böswillige Denial-of-Service (DoS)-Attacken und Spear-Phishing-Mails bis hin zu den beiden Klassikern Kreditkartenbetrug und Hacking der Server-Applikationen – wer Böses im Schild führt, hat auch bei Webshops viele Möglichkeiten.
nd noch einen »Unglücksfaktor« gibt es: Unachtsamkeit reicht, um virtuelle Verkäufer um ihr Geld und Glück zu bringen. Ein Beispiel ist die Panne im Online-Shop eines großen Computerherstellers. Hunderte von britischen Kunden hatten PCs für umgerechnet 5,33 Euro statt für 588 Euro bestellt. Bis das Unternehmen den ganzen Shop vom Netz nahm, waren bereits einige tausend PCs zum Schnäppchenpreis angefordert worden. »Ohne richtiges Management der Produktinformationen ist es nur eine Frage der Zeit bis Auszeichnungsfehler und widersprüchliche Informationen auftreten. Das betrifft insbesondere Händler, die eine Vielzahl unterschiedlicher Kanäle für die Kundenansprache nutzen – wie eben Kataloge und Online-Shops«, sagt Ariel Lüdi, Vorsitzender der Geschäftsleitung von Hybris. Je umfangreicher das Angebot an Produkt- oder Serviceleistungen eines Unternehmens ist, desto mehr Zeit muss auf die Pflege und Aktualisierung der entsprechenden Daten verwendet werden. Oft ist aber gerade dafür in der Eile des Alltagsgeschäfts nicht genügend Zeit, so dass Informationen in Listen, persönlichen Ordnern oder Excel-Dokumenten gesammelt werden. Diese Art der Produktdatenverwaltung steht auf wackeligen Füßen: Wenn mehrere Abteilungen Kanäle mit Informationen über die gleichen Produkte aus unterschiedlichen Quellen bedienen, schleichen sich schnell Fehler ein. Verhindern lässt sich ein solches Durcheinander durch ein ausgereiftes Produkt-Informations-Management-System. In einer zentralen Datenbank werden alle Produktdaten medienneutral verwaltet und aufbereitet. Von dort aus können alle nachgelagerten Vertriebskanäle – von Websites und E-Commerce bis zu verschiedenen Offline- und Online-Katalogformaten – bedient werden. Somit werden Produkte stets aktuell mit den richtigen Preisen und Beschreibungen angezeigt. Vor Hackern und Betrügern ist der Shop damit allein natürlich noch nicht geschützt. Attacke auf den Shop Nicht immer haben es Online-Bösewichte übrigens bei ihren Angriffen auf sensible Daten, die Waren selbst oder gar Geld abgesehen. Wie bei Webservern Gang und Gäbe, lassen sich auch Shops durch DoS-Attacken aus dem Tritt bringen. Wenn Bestellungen in riesigen Mengen und von unzähligen Kunden zur gleichen Zeit ausgeführt werden, brechen viele Server zusammen. Vor solchen künstlich unter Last gesetzten Systemen schützt nur eine gut geplante Architektur. Der Netzwerkspezialist Radware etwa empfiehlt, innerhalb des Netzwerks geschäftskritische Anwendungen zu definieren. Bei einem Angriff auf den Webshop lässt sich dann durch integriertes Bandbreitenmanagement sicherstellen, dass es nicht zu Ausfällen kommt. Während die üblichen IPS und DoS-Systeme nur vor bekannten Bedrohungen und Protokollanomalien schützen, mildert ein zusätzliches Bandbreitenmanagement Angriffe und bietet Schutz auch vor unbekannten Flooding-Angriffen, die einzelne Dienste oder ganze Computer aus dem Netzwerk unerreichbar machen. Klau der magischen Zahlen Egal, ob missmutige Ex-Angestellte, aggressive Konkurrenten oder experimentierfreudige Nachwuchshacker: Die Motive für derartige Attacken sind vielfältig. Die »Profis« unter den Cyber-Kriminellen haben einfachere Ansprüche, denn sie wollen auf direktem Weg zum Geld. Am einfachsten geht dies über die Kreditkarte. Trotz erheblicher Fortschritte durch Verschlüsselungssysteme gilt das Abfragen von diesen Daten noch immer als eines der Hauptrisiken beim Online-Shopping. Die Kreditkartenindustrie ist nicht tatenlos und verlangt von Webshop-Betreibern, die Kreditkarten-Transaktionen speichern, übermitteln oder abwickeln, sich an die dort entwickelten Datensicherheitsrichtlinien zu halten. Der entsprechende Payment Card Industry Data Security Standard (PCI DSS) besteht aus zwölf Anforderungen an die Rechnernetze der Online-Händler. Übertreten diese den Regelkatalog kann es teuer werden: Je nach Umsatzvolumen werden Strafen verhängt, Einschränkungen ausgesprochen oder sogar die Annahme von Kreditkarten untersagt. Große E-Shop-Händler müssen die Sicherheit ihrer Netzwerke alle drei Monate extern prüfen lassen. Als gängiger Standard, um Transaktionen sicher durchführen zu können, haben sich manipulationssichere Hardware-Sicherheitsmodule für E-Payment, wie sie beispielsweise von Utimaco angeboten werden, bei vielen mittleren und großen Shop-Anbietern durchgesetzt. Der Dieb verbrennt sich »Wer die bequeme Zahlung per Kreditkarte anbietet, für den sollte das Thema Sicherheit an allererster Stelle stehen, denn sonst wird es teuer und unangenehm«, warnt Cyrill Osterwalder, Experte für Webapplikationssicherheit und CEO bei der auf den Schutz von Onlineanwendungen spezialisierten Visonys AG. Die SSL-Verschlüsselung sei nur der Anfangspunkt einer umfassenden Sicherheitsstrategie. Er empfiehlt den Einsatz einer vorgelagerten Web Application Firewall (WAF). Ihr Vorteil: Durch ein solches System ist der Schutz stets auf dem aktuellen Niveau, ohne dass alle Web Applikationen konstant verändert und neuen Bedrohungen angepasst werden müssen. Das ist in den meisten Fällen ohnehin weder zeitlich noch wirtschaftlich möglich – ein Ansatzpunkt für Hacker. Die WAF kümmert sich um die Terminierung von Verbindungen und Protokollen (TCP, SSL, HTTP, SOAP/XML, SSL VPN, etc.), authentisiert Benutzer getrennt von der Business-Logik und filtert Requests auf allen Ebenen. Einbruch auf die bequeme Tour Für viele Online-Delikte sind komplizierte Hacking-Aktionen ganz und gar unnötig. Ist das Passwort des Administrators erst einmal ausspioniert, kann der Datendieb bequem durch den »Haupteingang« in das System spazieren. Trojanische Pferde und Spear Phishing erfreuen sich deshalb nicht nur bei der üblichen TAN-Abzocke großer Beliebtheit. »Social Engineering«, also das Abfragen von Passwörtern durch eine falsche Identität, funktioniert erschreckend gut und ist durch Web 2.0 so einfach wie nie. Die zahlreichen Angebote der neuen Generation wie private Plattformen wie Myspace, Blog-Hoster oder Business-Einträge bei Xing sind ein gefundenes Fressen für Identitäts-Diebe. Von privaten Details bis zu beruflichen Erfolgen haben dort viel Internet-Surfer alles abgelegt, was eine erfundene Geschichte an Feinheiten braucht, um sie glaubwürdig erscheinen zu lassen. Banken und Sparkassen – die prominentesten Opfer der Spear-Phisher – haben das Problem mittlerweile weitgehend im Griff. Die Postbank etwa setzt zur Absicherung ihres Online-Bankings digital signierte E-Mails ein, damit der Kunde den Absender zweifelsfrei identifizieren kann. Diese Zertifizierungslösung kommt von TC Trust Center, einem Hamburger Anbieter für digitale Zertifikate und Sicherheitslösungen, der nach dem deutschen Signaturgesetz bei der Bundesnetzagentur akkreditiert ist. »Aktuelle Virensoftware, sichere Leitungen und gute Hardware nützen nichts, wenn Passwörter erst einmal ausspioniert sind«, sagt Tjark Auerbach, Geschäftsführer und Gründer von Avira. »Ein gesundes Misstrauen würde vermutlich in 90 Prozent aller Fälle ausreichen, um Datenklau und Datenmissbrauch zu verhindern«, schätzt er. Das Imagerisiko Was in der Debatte um Sicherheit im Internet oft vergessen wird: Die größte Bedrohung für Unternehmen sind nicht Hacker und andere Bösewichte sondern unzufriedene Kunden. Anders als noch vor wenigen Jahren, verschaffen sie sich über Verbraucherportale, Foren und zahlreiche Web 2.0-Applikationen Gehör und verbreiten die Kunde von guten – oder eben schlechten und fehlerhaften Produkten – in die ganze Welt. Wer sich darauf vorbereitet, braucht keine Angst zu haben, meinen etwa die Web-Experten des Geschäftsbereichs Multimedia Solutions von T-Systems. Das Unternehmen hat eine Reihe von Online-Shops weltweit aufgebaut, die ein direktes Kundenfeedback ermöglichen. »Niemand kann verhindern, dass Kunden über das Unternehmen und seine Produkte diskutiert«, sagt Hendrik Hoppe, Leiter der Business Unit E-Commerce Excellence bei T-Systems Multimedia Solutions. »Wenn diese Debatte jedoch direkt auf der eigenen Seite stattfindet, lässt sie sich besser kontrollieren und steuern«. Sicher für alle Beteiligten Wer heute online mit Kreditkarte einkauft, kann in den meisten Fällen sicher sein, dass mit seinen Daten kein Unsinn betrieben wird. Jetzt geht es darum, auch auf Anbieterseite die letzten großen Sicherheitslücken zu schließen. Zwar werden findige Hacker auch weiterhin Ansatzpunkte für ihre Untaten finden. Aber mit der richtigen Hard- und Software, lässt sich das Risiko auf ein vertretbares Minimum reduzieren. Dietmar Spehr ____________________________________ Dietmar Spehr ist freier Journalist in München
Da Sicherheit nicht nur die Technik
umfasst, sondern alle an den Geschäftsprozessen beteiligten Bereiche betrifft,
sollten die folgenden grundlegenden Aspekte berücksichtigt werden:
|
