Praxistipp
30.01.2017, 10:03 Uhr
Mit diesen 7 Tricks wird der Online Shop sicher
Datendiebstahl ist für Shop-Betreiber ein heikles Thema. Spreadshirt-CTO Jens Hadlich erklärt aus seiner Sicht, worauf es ankommt.
(Quelle: Fotolia.com/ Light Impression)
Sicherheit sowie Schutz vor Cybercrime und Datendiebstahl ist für Online Shops ein wichtiges Thema. Dazu gehört der sensible und sparsame Umgang mit Daten genauso wie regelmässige Sicherheits-Checks. Sieben Tipps von Jens Hadlich, Chief Architect & Deputy CTO bei Spreadshirt:
1. Sicherheit ist keine einmalige Angelegenheit, sie erfordert ständige Aufmerksamkeit
Etablieren sie Prozesse, die es ermöglichen, sichere Systeme und sichere Software zu bauen. Sicherheit ist kein Feature, das man leicht im Nachhinein einbauen kann. Machen sie kontinuierlich Realitätschecks. Rechnen sie damit, dass heutige Sicherheitsstandards in ein paar Jahren oder gar Tagen obsolet sind. So ist es zum Beispiel grob fahrlässig weiterhin MD5-Hashes zu verwenden denn diese sind kryptographisch unsicher. Um auf dem Laufenden zu bleiben, bilden sie ein eigenes Sicherheits-Team und beraten sie sich mit externen Fachleuten.
Etablieren sie Prozesse, die es ermöglichen, sichere Systeme und sichere Software zu bauen. Sicherheit ist kein Feature, das man leicht im Nachhinein einbauen kann. Machen sie kontinuierlich Realitätschecks. Rechnen sie damit, dass heutige Sicherheitsstandards in ein paar Jahren oder gar Tagen obsolet sind. So ist es zum Beispiel grob fahrlässig weiterhin MD5-Hashes zu verwenden denn diese sind kryptographisch unsicher. Um auf dem Laufenden zu bleiben, bilden sie ein eigenes Sicherheits-Team und beraten sie sich mit externen Fachleuten.
2. Https überall
Https muss über die gesamte Website hinweg zum Standard werden und nicht nur für ausgewählte Seiten. Bei Spreadshirt wechselten wir Anfang 2016 zu einer durchgängigen gesicherten Kommunikation. Höhere Sicherheitsstandards können sich wahrlich auszahlen: grösseres Vertrauen der Kunden und ein besseres Google-Ranking. Aber auch so etwas wie https und die Technologie dahinter verlangen kontinuierliche Pflege, zum Beispiel die von Chiffriersätzen oder die Erneuerung von Zertifikaten.
Https muss über die gesamte Website hinweg zum Standard werden und nicht nur für ausgewählte Seiten. Bei Spreadshirt wechselten wir Anfang 2016 zu einer durchgängigen gesicherten Kommunikation. Höhere Sicherheitsstandards können sich wahrlich auszahlen: grösseres Vertrauen der Kunden und ein besseres Google-Ranking. Aber auch so etwas wie https und die Technologie dahinter verlangen kontinuierliche Pflege, zum Beispiel die von Chiffriersätzen oder die Erneuerung von Zertifikaten.
3. Rechne mit dem Unmöglichen
Die meisten Angriffe passieren ganz plötzlich. Eine Distributed-Denial-of-Service-Attacke von einem Botnet kann Millionen von Computern involvieren. Es könnte auch sein, dass es gar nicht ein Angriff auf die eigene Seite, sondern auf die eines anderen Kunden des gleichen Hosting-Providers ist. Indem man so viele auswertbare Informationen wie möglich sammelt - via Monitoring, Logs, Metriken - und ungewöhnliches Verhalten aufspürt, sollte man schnell herausfinden können, was los ist.
Die meisten Angriffe passieren ganz plötzlich. Eine Distributed-Denial-of-Service-Attacke von einem Botnet kann Millionen von Computern involvieren. Es könnte auch sein, dass es gar nicht ein Angriff auf die eigene Seite, sondern auf die eines anderen Kunden des gleichen Hosting-Providers ist. Indem man so viele auswertbare Informationen wie möglich sammelt - via Monitoring, Logs, Metriken - und ungewöhnliches Verhalten aufspürt, sollte man schnell herausfinden können, was los ist.
4. Einseitige Berichterstattung in den Medien
In den Medien hört man Berichte von grossen Internet-Unternehmen, die von bösen chinesischen oder russischen Hackern angegriffen werden. Das ist bei kleineren Unternehmen meist gar nicht der Fall. Es ist vielleicht nur ein Scriptkiddie, das ein neues Spielzeug "im Internet" gefunden hat und rumprobiert. Weil es sich kleinere Firmen jedoch meist nicht leisten können, eine grosse Infrastruktur oder ein weltweit agierendes Sicherheitsteam zu haben, kann selbst das eine Gefahr darstellen.
In den Medien hört man Berichte von grossen Internet-Unternehmen, die von bösen chinesischen oder russischen Hackern angegriffen werden. Das ist bei kleineren Unternehmen meist gar nicht der Fall. Es ist vielleicht nur ein Scriptkiddie, das ein neues Spielzeug "im Internet" gefunden hat und rumprobiert. Weil es sich kleinere Firmen jedoch meist nicht leisten können, eine grosse Infrastruktur oder ein weltweit agierendes Sicherheitsteam zu haben, kann selbst das eine Gefahr darstellen.
5. Analysieren und lernen
Jeder Angriff ist ernstzunehmen. Deswegen sollte jeder Angriff, egal ob gross oder klein, im Detail analysiert werden.
Jeder Angriff ist ernstzunehmen. Deswegen sollte jeder Angriff, egal ob gross oder klein, im Detail analysiert werden.
6. Der Faktor Mensch
Menschen haben ihre Gewohnheiten. Viele nutzen die gleiche Kombination aus Benutzernamen wie z. B. ihrer E-Mail-Adresse und Passwort für verschiedene Webseiten. Noch schlimmer, oftmals sind die Passwörter einfach "schlecht". Passwort-Richtlinien können helfen, "bessere" Passwörter einzufordern. Einige Menschen vertrauen auch ihren Browsern und speichern darüber ihre Passwörter, was auch keine wirklich gute Idee ist. Aber auch „gute“ Passwörter reichen heute nicht mehr aus. Captchas sind nichts Neues, aber immer noch eine Möglichkeit Personen von Maschinen zu unterscheiden. Um sensible Daten zu schützen, wird zudem eine Multi-Faktor-Authentifizierung immer gebräuchlicher, zum Beispiel eine zusätzliche Prüfung einer PIN, die an eine bekannte Handynummer geschickt wird. Moderne Systeme können sogar ungewöhnliche Zugriffsversuche anhand von Mustern, beispielsweise Zugriffe von verschiedenen Standorten, entdecken und verhindern.
Menschen haben ihre Gewohnheiten. Viele nutzen die gleiche Kombination aus Benutzernamen wie z. B. ihrer E-Mail-Adresse und Passwort für verschiedene Webseiten. Noch schlimmer, oftmals sind die Passwörter einfach "schlecht". Passwort-Richtlinien können helfen, "bessere" Passwörter einzufordern. Einige Menschen vertrauen auch ihren Browsern und speichern darüber ihre Passwörter, was auch keine wirklich gute Idee ist. Aber auch „gute“ Passwörter reichen heute nicht mehr aus. Captchas sind nichts Neues, aber immer noch eine Möglichkeit Personen von Maschinen zu unterscheiden. Um sensible Daten zu schützen, wird zudem eine Multi-Faktor-Authentifizierung immer gebräuchlicher, zum Beispiel eine zusätzliche Prüfung einer PIN, die an eine bekannte Handynummer geschickt wird. Moderne Systeme können sogar ungewöhnliche Zugriffsversuche anhand von Mustern, beispielsweise Zugriffe von verschiedenen Standorten, entdecken und verhindern.
7. Datensparsamkeit
Wahrscheinlich ist es eine sehr deutsche Sichtweise, aber: Wer Nutzerdaten sammelt, muss diese auch schützen. Daten, die man nicht speichert, sind Daten, um die man sich nicht kümmern muss.
Wahrscheinlich ist es eine sehr deutsche Sichtweise, aber: Wer Nutzerdaten sammelt, muss diese auch schützen. Daten, die man nicht speichert, sind Daten, um die man sich nicht kümmern muss.
Wie wichtig das Thema ist, zeigt auch die jüngste Warnung des Bundesamt für Sicherheit in der Informationstechnik (BSI), wonach mehr als 1.000 Online Shops aufgrund veralteter Software vom Datenklau bedroht sind.
