Security Best Practices für Online-Händler

Sicherheitsstrategie im Onlinehandel erforderlich

Mit einer zunehmenden Komplexität im Onlinehandel wird es für Einzelhändler immer schwieriger, sicherzustellen, dass sie jede Schwachstelle in ihren Systemen auch tatsächlich abgefangen haben. Gleichzeitig profitieren Cyberkriminelle von online-verfügbaren Malware- und Exploit-Kits, die eine Infektion von Webseiten mit Schadsoftware oder das Abgreifen von sensiblen Daten fast zum Kinderspiel machen.

Abhilfe kann E-Commerce-Anbietern letztlich nur eine gut durchdachte Sicherheitsstrategie verschaffen, die alle Angriffsvektoren im Blick hat und einen mehrstufigen Schutz bietet: Folgende neun Security Best Practices, zusammengestellt von Matthias Canisius,  Director CEE bei SentinelOne,  sollten Online-Händler dabei beachten:

HTTPS ist ein Muss – aber nicht die ultimative Verteidigung

Selbstverständlich muss jedes Online-Zahlungssystem das sichere https-Protokoll verwenden, um Daten abhörsicher zu übertragen. Wer jedoch denkt, dass die Transportverschlüsselung ausreicht, um seine Systeme zu schützen, der irrt. Alle Datenverstöße bei prominenten Online-Retailern, von Macy’s bis zu Adidas oder British Airways, traten auf Webseiten auf, die https verwendeten. https ist eine Standardschutzmaßnahme, aber nicht mehr.

Effektiver Schutz für Server und Admin-Panels

Sicherheits-Verantwortliche bei Online-Retailern müssen sicherstellen, dass alle cPanels, d.h. alle web-basierten Konfigurationstools für Webserver- und Webhosting, gesperrt und nicht, wie üblich, von jeder IP-Adresse aus zugänglich sind. Hier muss festgelegt werden, dass nur bestimmte IP-Adressen auf die Panels zugreifen können. Darüber hinaus sollten Verzeichnisse und Ordner mit den korrekten Berechtigungen ausgestattetet sind. Vor allem sogenannte 777 Berechtigungen, die Unbefugten Lese-, Schreib, und Ausführungszugriffe ermöglichen, müssen umgehend gelöscht werden.

Sicherheit beim Zahlungsgateway

Zahlungsgateways stehen bildlich gesehen zwischen einer Website und dem Zahlungsanbieter und autorisieren die Finanztransaktionen für Online-Händler und E-Commerce-Unternehmen. Das Gateway schützt einerseits die Daten der Kunden, etwa die Details einer Kreditkarte, andererseits aber auch die Händler vor Betrug. Um diese Sicherheit zu gewährleisten, muss ein Paymentgateway über Punkt-zu-Punkt-Verschlüsselung (P2PE) sowie Tokenisierung zur Reduzierung von Zahlungsbetrug durch gestohlene Daten verfügen und sollte zudem PCI DSS-konform sein.

Traditionelle Antiviren- und Anti-Malware-Software hat ausgedient

Heutige Malware-Angriffe können von älteren Anti-Virus-Lösungen nicht mehr verlässlich identifiziert und schnell gestoppt werden, da die Angriffsmethoden der Angreifer längst ausgefeilter sind als die AV-Software selbst. Vor allem dateilose Malware, die keine ausführbaren Dateien ablegt, welche von AV-Scannern analysiert werden können, machen den Einsatz von anspruchsvolleren Endpunkt-Sicherheitslösungen im E-Commerce unerlässlich. Dabei sollten die Anbieter auf Lösungen setzen, die verhaltensorientierter KI-Erkennung und autonome Reaktionsmöglichkeiten kombinieren.

Firewall-Steuerung und Kontrolle des Datenverkehrs

Das Sicherheits-Einmaleins für Online-Händler umfasst zudem eine Anwendungsfirewall, die in der Lage ist, die Kommunikation aus bekannten bösartigen Domänen fernzuhalten, sowie eine Sicherheitslösung, die eine granulare Kontrolle des ein- und ausgehenden Datenverkehrs ermöglicht.

Absicherung der Webseite mit SSL-Zertifikaten

Genauso wie das Verwenden von https-Protokollen, sollten auch SSL-Zertifikate zu den Standardeinstellungen jeder Online-Handel-Website gehören. Anbieter müssen sicherstellen, dass alle Anmeldungen – auch im Backend – die Verwendung von SSL oder TLS erfordern. Anmeldungen über die Ports 2082, 2086 oder 2095, die Passwörter im Klartext senden und Diebstahl begünstigen, sollten hingegen vermieden werden.

Mehrstufige Sicherheit einsetzen

Man kann es gar nicht oft genug sagen: Um sich effektiv und wirksam vor hochentwickelter Malware und raffinierten Bedrohungsakteuren zu schützen, ist eine mehrstufige Verteidigung, die alle Risiken der heutigen Bedrohungslandschaft – von bösartigen Insidern bis zu Supply-Chain-Angriffen – im Blick hat, unerlässlich. Gute Sicherheit bedeutet hier, alle Fallstricke eines Single Point of Failure zu vermeiden.

Sicherheits-Plugins verwenden

Egal welche E-Commerce-Plattform zum Einsatz kommt, ob Shopify, Magento oder eine andere Lösung, sie sollte auf jeden Fall über ausreichend Sicherheits-Plugins verfügen. Essenziell sind hier etwa Plugins zum Erkennen von Bots, dem Blacklisten von Besuchern an bestimmten Standorten sowie Plugins, die Rechtsklick-Interaktionen oder Drag-and-Drop-Aktionen verhindern und so Website-Inhalte schützen.

Backup-Strategien zum Schutz vor Ransomware

Ransomware ist auch zwei Jahre nach WannaCry und NonPetya ein riesen Problem und betrifft Behörden, Verwaltungen, Produktionsanlagen genauso wie Onlineshops. Eine konsequente Backup-Strategie ist deshalb unerlässlich. Hier empfiehlt sich das so genannte „3-2-1-Prinzip“, d.h. es existieren immer mindestens drei aktuelle Backups, zwei davon auf verschiedenen Speichermedien und eines an einem externen Standort.