Kundendaten und Zahlungsinformationen von mehr als tausend deutschen Online-Shops befinden sich derzeit in den Händen von Cyber-Kriminellen. Wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) kürzlich meldete, wurden zahlreiche Magento-basierte Onlineshops in Deutschland mit einer Malware infiziert. Sicherheitslücken wurden genutzt, um einen manipulierten Skimming-Code einzuschleusen, der die Daten während des Bestellvorgangs unbemerkt „abfängt“.Doch derartige Angriffe sind keine Einzelfälle, und sie betreffen keinesfalls nur Magento-Shops, sondern alle Onlineshops. Einmal mehr Anlass, an das Sicherheitsbewusstsein zu appellieren.
Leichtsinn statt Mut zur Lücke
Häufigster Grund für den Erfolg von Cyber-Attacken ist die Nachlässigkeit der Shopbetreiber: Viele investieren vordergründig in die Weiterentwicklung des Shops, Betriebs- und Wartungskosten werden nur unzureichend oder gar nicht berücksichtigt. So kommt es, dass die genutzte Version des Shopsystems unter Umständen veraltet ist, die PHP-Version auf dem Server und das Betriebssystem nicht aktualisiert sind und es generell keine Versionskontrolle und keine Qualitätssicherung gibt. Auch bei den aktuell gemeldeten Skimming-Fällen war in der Regel das von Magento bereits im November bereitgestellte Sicherheitspatch nicht installiert. Leider gehört das Einspielen eines neuen Sicherheitspatches nun einmal zu den Dingen, die Shopbetreiber gern ein wenig aufschieben.
Versäumnisse mit Folgen
Aus juristischer Sicht verpflichtet § 13 Abs. 7 des Telemediengesetz Shopbetreiber dazu, ihre Systeme durch entsprechende „technische und organisatorische Vorkehrungen“ vor unerlaubtem Zugriff, Verletzungen des Datenschutzes und Störungen zu sichern. Um die Sicherheit in einem Onlineshop zu gewährleisten, ist es unabdingbar, die vom Hersteller zur Verfügung gestellten Sicherheitspatches zeitnah – das heißt innerhalb von 24 Stunden – einzuspielen. Jede Verzögerung bietet Cyber-Kriminellen die Chance für einen Angriff auf das System. Ein Zuwiderhandeln kann jedoch nicht nur rechtliche Konsequenzen haben, sondern auch zu erheblichen Imageschäden und Kundenverlusten führen.
Sicherheit – Erfolgsfaktor und K.O.-Kriterium
Ohnehin glaubt bereits die Mehrheit der Deutschen, dass ihre Daten im Internet nicht sicher sind. Vorfälle wie die Skimming-Attacke, insbesondere wenn sie enorme mediale Aufmerksamkeit erhalten, bestärken viele in ihrem Misstrauen – auch wenn solche Angriffe definitiv nicht nur weitverbreitete Shopsysteme wie Magento ins Visier nehmen. Für Verbraucher ist die Vertrauenswürdigkeit eines Onlineshops ein wichtiges Kriterium bei der Kaufentscheidung. Dazu zählen auch der Schutz personenbezogener Daten und die Gewährleistung von deren Sicherheit durch das System. Einmal gewonnenes Vertrauen sollten Shopbetreiber nicht leichtfertig durch Nachlässigkeiten bei der Sicherheit aufs Spiel setzen. Denn damit schädigen sie unter Umständen nicht nur ihre Kunden, sondern auch sich selbst.
Fünf To-dos in Sachen Shop-Sicherheit
Wer kann schon beruhigt in den Urlaub fahren, wenn er weiß, dass er sein Haus nicht abgeschlossen hat? Genauso sollten sich auch Shopbetreiber darum bemühen, dass ihr Onlineshop nur unter absolut sicheren Bedingungen in Betrieb ist. Die folgenden fünf Punkte gehören zum 1×1 der Shop-Sicherheit.
- Sorgen Sie dafür, dass Ihr Shop-System stets in der aktuellsten Version installiert ist. Nutzen Sie am besten eine Software-Versionskontrolle wie GIT oder SVN.
- Spielen Sie Sicherheitspatches innerhalb von 24 Stunden nach Veröffentlichung in Ihre Produktivumgebung ein und testen Sie anschließend das System.
- Aktualisieren Sie regelmäßig die PHP-Version auf Ihren Servern sowie das Betriebssystem der Produktivumgebung.
- Nehmen Sie keine unsachgemäßen Veränderungen an Ihrer Shop-Software vor.
- Werden Cyber-Attacken bekannt, prüfen Sie sofort Ihr ganzes System bzw. sprechen Sie mit Ihrem Dienstleister.
Gemeinsam auf der sicheren Seite
Alle Sicherheitsaspekte zu berücksichtigen und Empfehlungen entsprechend umzusetzen, erfordert ausreichende Ressourcen von fachkundigem Personal oder eine professionelle Unterstützung. Mit einem professionellen Partner an der Seite ist ein Shop immer up to date – ganz gleich ob Magento oder nicht, ob Open-Source oder nicht: Wird ein neuer Patch veröffentlicht, bekommt der beim Dienstleister Prio-1-Status: Alle Systeme werden sofort aktualisiert und anschließend getestet, um mögliche Probleme schnell zu identifizieren und zu erkennen. Hierbei zugleich die Shopversion auf dem Server zu ersetzen, eliminiert auch da möglicherweise manipulierten Quellcode.
