Webshop-Sicherheit: Wie Sie Ihren Käufern einen sicheren Onlineshop bieten
Die Webshop-Sicherheit ist ein wichtiges Thema im E-Commerce. Denn Sicherheitslücken im Shopsystem oder auf dem Webserver können Onlinehändler eine Menge Geld und die Reputation ihres Unternehmens kosten. Dabei sind nicht nur die eigenen Daten zu schützen, sondern vor allem auch die der Kunden. Wie Shopbetreiber ihre Website absichern und sicher online verkaufen, erfahren Sie im Folgenden.
Warum ist Website Security wichtig für E-Commerce-Unternehmen?
Beim Onlineshopping müssen Käufer stets sensible Daten eingeben, um ihre Bestellung abzuschließen. Dazu gehören u. a. die folgenden:
| Kontaktdaten | Zahlungsdaten | Onlinedaten |
|---|---|---|
| Nachname | Kreditkarteninformationen | Standort |
| Anschrift | Bankdaten | IP-Adresse |
| E-Mail-Adresse | Geburtsdatum (z. B. zur Bonitätsprüfung beim Rechnungskauf) | Cookie-Kennung |
Solche Verbraucherdaten sowie Passwörter sind in Onlineshops ein beliebtes Ziel von Phishing-Attacken. Gelangen Hacker an diese Angaben, können sie z. B. auf Kosten der Geschädigten Waren bestellen oder illegalen Datenhandel betreiben. Damit Kunden sicher online einkaufen können, ist es für Webshop-Betreiber daher essenziell, sich mit Website-Security-Maßnahmen auseinanderzusetzen.
Website absichern: Grundlagen für die E-Commerce-Sicherheit
Bereits bei der Konzeption des Onlineshops ist es wichtig für Händler, Maßnahmen zum Schutz von Daten einzuplanen. Denn der Webshop ist keine alleinstehende Plattform. Jede Transkation und jede Datenerhebung ist eng in die Prozesse des gesamten Unternehmens eingebunden. So ergeben sich Schnittstellen, die ein Sicherheitsrisiko darstellen können, beispielsweise wenn verschiedene Abteilungen des Unternehmens Zugriff auf eine gemeinsame Datenbank haben. Daher ist von Beginn an ein sicheres Konzept für Zugriffswege und Berechtigungen zu erarbeiten.
Zu den grundsätzlichen Maßnahmen für die Onlineshopping-Sicherheit gehören dabei die folgenden:
- https-Verschlüsselung: Der Kommunikationskanal im Webshop ist am besten über ein SSL-Protokoll zu schützen. So werden sensible Kundendaten sicher zwischen der Besucher- und der Webserver-Domain übertragen.
- Einsatz einer Firewall: Eine Firewall sollte die ein- und ausgehende Kommunikation auf die notwendigsten Protokolle beschränken, z. B. auf ssh, http und https.
- Implementation von Passwortregeln für Käufer: Wichtig sind hier u. a. eine Mindestpasswortlänge, die Verwendung von Groß- und Kleinschreibung sowie Sonderzeichen. Das verringert das Risiko, dass Betrüger Zugriff auf das Kundenkonto und deren sensible Daten erlangen.
- Regelmäßige Back-ups: Für den Fall, dass der Server infolge eines Hackerangriffs nicht erreichbar ist, empfiehlt es sich, alle Daten regelmäßig abzusichern, z. B. in einem Cloud-Back-up.
https-Verschlüsselung: das A und O für einen sicheren Onlineshop
Die SSL- bzw. TSL-Verschlüsselung gehört heutzutage zur Grundausstattung der Onlineshop-Sicherheit. SSL steht für „Secure Sockets Layer“ und ist die Vorgängerbezeichnung der heutigen TSL-Verschlüsselung, kurz für „Transport Layer Security“. Das Netzwerkprotokoll schützt den Datenverkehr zwischen Kunden und Webshop und stellt sicher, dass ausschließlich der Shopserver Zugriff auf die sensiblen Daten erhält. Ohne eine solche Verschlüsselung könnten unbefugte Dritte auf einen der vielen Knotenpunkte, die der Datenstrom zurücklegt, zugreifen und mitlesen.
Warum ist die SSL-Verschlüsselung wichtig für Webshop-Betreiber?
Viele Verbraucher achten beim Onlineshopping verstärkt auf Gütesiegel, sichere Bezahlmethoden und Datenschutz. E-Commerce-Unternehmen schaffen somit Vertrauen bei ihren Kunden, wenn sie ihre Website durch https absichern. Dadurch profitieren sie wiederum von einer verbesserten Conversion-Rate im Checkout-Prozess.
https-verschlüsselte Webshops sind für Kunden anhand dieser drei Kriterien leicht zu erkennen:
- Zusätzliches s hinter dem Standard-Kommunikationsprotokoll http, also https in der URL
- Vorhängeschloss zu Beginn der URL-Leiste
- Teilweise Einfärbung der Adresszeile in Grün
Zudem setzen viele Anbieter von Gütesiegeln heutzutage eine vorhandene SSL-Verschlüsselung des Webshops voraus. So vergibt beispielsweise Trusted Shops kein Gütesiegel, wenn die sichere Datenübermittlung nicht durch https gewährleistet ist. Auch Google fördert den Einsatz von verschlüsselten Webshops: Seiten ohne SSL-Schutz landen in den Suchergebnissen weiter unten als solche mit dem sicheren Netzwerkprotokoll.
Wie erhalten Onlineshops eine https-Verschlüsselung?
E-Commerce-Händler können für ihre Webshop-Sicherheit über folgende Anbieter SSL-Zertifikate beziehen:
- VeriSign
- GoTrust
- GlobalSign
- TC TrustCenter GmbH
- Cacert
Die Zertifizierungsstellen überprüfen hierfür zunächst die Identität des Händlers, z. B. seit wann das Unternehmen existiert und wer der Domaininhaber ist. Anschließend vergeben sie das Zertifikat mit eindeutigen und authentifizierten Informationen und bescheinigen so die Sicherheit des Shops.
Datenschutz im Webshop
Um den gesetzlichen Vorgaben im Bereich Datenschutz gerecht zu werden, ist eine Datenschutzerklärung im Onlineshop notwendig. Darin ist detailliert darüber aufzuklären, warum Händler welche Kundendaten erheben und wie lange sie diese speichern. Der eigentliche Zweck der Datenschutzerklärung ist der Verbraucherschutz. Der rechtskonforme Umgang mit ihren persönlichen Angaben bietet Besuchern zusätzliche Sicherheit beim Onlineshopping.
Die Datenschutzerklärung aufzusetzen, ist für Händler ebenso nützlich. Dafür setzen sie sich bewusst mit allen möglichen Schnittstellen auseinander, an denen es zu einer Datenerhebung kommt. Das hilft, mögliche Risikofaktoren zu erkennen und zusätzliche Schutzmaßnahmen für die Webshop-Sicherheit einzuleiten. So gibt es häufig überall dort, wo User Daten in ein Formular eingeben, Optimierungspotenzial.
Typische Sicherheitslücken in Webshops
Um sicher online zu verkaufen, ist es wichtig für Händler, typische Schwachstellen in der Website-Sicherheit zu kennen. Die folgenden Sicherheitslücken gehören dabei zu den häufigsten Ursachen für einen Datenverlust.
Formulare
Gern genutztes Ziel von Hackerangriffen stellen Formulare in Onlineshops dar. Dazu gehören z. B.:
- Benutzerregistrierung
- Kunden-Login
- Kontaktformular
- Newsletter-Anmeldung
Sobald User ein Formular ausfüllen und absenden, gelangen Daten an den Webserver. Wie die Daten anschließend verarbeitet werden, ist im Programmcode definiert. Wurden bei der Entwicklung des Codes bestimmte Algorithmen nicht beachtet, ist es möglich, Schadcodes, also Malware, einzuschleusen. Diese können sich unerlaubten Zugriff auf die Datenbank oder den Webserver verschaffen.
Darüber hinaus können Angreifer die Shopsysteme für die Verbreitung von Schadprogrammen bei den Käufern nutzen. Hierfür suchen sogenannte Drive-by-Exploits automatisiert nach Schwachstellen im Browser oder Betriebssystem der Webshop-Besucher und schleusen darüber Viren ein. Updates schließen solche Sicherheitslücken, die durch fehlende Algorithmen entstanden sind. Daher ist es essenziell für die Webshop-Sicherheit, das verwendete Shopsystem stets auf dem neuesten Stand zu halten.
Veraltete Software
Einige Webshop-Betreiber verzichten aus Zeit- und Geldgründen auf regelmäßige Updates ihrer Basissoftware. Dadurch werden Sicherheitslücken im System erst sehr spät oder gar nicht geschlossen, sodass es deutlich anfälliger für Angriffe ist. Die Sicherheit des Onlineshops bei veralteter Software ist besonders durch Denial-of-Service-Attacken (DoS) gefährdet. Hier erfolgt eine große Anzahl von gezielten Anfragen auf den Server, um diesen zu überlasten. Das damit verbundene Shopsystem ist dann vorübergehend nicht erreichbar – mitunter so lange, bis die Sicherheitslücke geschlossen wurde.
Open-Source-Systeme
Die meisten E-Commerce-Händler nutzen Shopsysteme auf Basis von kostenfreien Open-Source-Programmen. Das bietet viele Vorteile, kann aber auch Sicherheitsrisiken mit sich bringen. Denn jeder, der eine solche Version herunterlädt, verfügt über den kompletten Quellcode der Shopanwendung. Hacker, die sich sehr gut mit der eingesetzten Programmiersprache auskennen, können potenzielle Schwachstellen mit etwas Aufwand erkennen und ausnutzen.
Dennoch lässt sich mit Open-Source-Systemen eine gute IT-Sicherheit online gewährleisten. Denn dahinter steht eine große Community, die die Open-Source-Programme pflegt, stetig weiterentwickelt und in relativ kurzen Zeitabständen aktualisiert. So werden Sicherheitslücken oft geschlossen, bevor Hacker sie entdecken. Zudem bieten Open-Source-Anbieter Händlern schnellen Support bei Problemen.
9 Tipps für mehr Website Security: Wie können Onlineshop-Betreiber ihre Website absichern?
Neben den grundsätzlichen Datenschutzvorgaben können Onlinehändler weitere Einstellungen vornehmen, die die Webshop-Sicherheit erhöhen. Die folgenden Tipps helfen dabei, ein rundum sicheres Einkaufserlebnis für Käufer und Händler zu bieten.
Tipp 1: Back-up-Plugins einbinden
Für die verschiedenen Shopsysteme sind Back-up-Plugins erhältlich, die die Website zusätzlich absichern. Dazu gehören z. B.:
- UpdraftPlus
- BackWPup
- BackupBuddy
- Duplicator
- Snapshot Pro
Mit diesen Plugins lassen sich manuelle sowie automatisierte Back-ups durchführen – auch ohne technisches Verständnis. Im Notfall können sie die verlorenen Daten und sogar die gesamte Shopsystem-Installation wiederherstellen.
Tipp 2: Selbst sichere Passwörter verwenden
Sichere Passwörter gehören zur Grundausstattung der IT-Sicherheit. Auch Onlineshop-Betreiber sollten die Vorgaben für sichere Passwörter berücksichtigen, um unerlaubte Zugriffe auf Datenbanken und Server zu verhindern. Folgende Passwörter sind für Onlinehändler besonders wichtig:
- Administratorzugriff auf das Shopsystem (Shop-Backend)
- Zugangsdaten für den Webserver bzw. FTP-Zugang
- Zugangsdaten für Datenbanken
- Zugangsdaten für den Webhoster, Webserver sowie Webinterfaces
- Ggf. Zugangsdaten für Marktplätze
- Zugangsdaten für Onlinebanking
Für sichere Zugänge gilt es, Buchstaben, Zahlen sowie Sonderzeichen zu nutzen. Natürliche Wörter sind zu vermeiden. Zudem ist eine Mindestlänge von acht Zeichen empfohlen, damit der Passwortschutz sogenannten Brute-Force-Attacken möglichst lange standhält – also Attacken, bei denen durch die wahllose Eingabe von Zahlenkombinationen versucht wird, Passwörter zu knacken.
Tipp 3: Login-Versuche limitieren
Auch bei starken Passwörtern können Brute-Force-Angriffe erfolgreich sein. Daher empfiehlt es sich, die möglichen Login-Versuche zu limitieren. Hierzu können Onlinehändler entsprechende Einstellungen in ihrem Shopsystem vornehmen. Nach zu vielen fehlgeschlagenen Versuchen wird die IP-Adresse des Angreifers gesperrt und es ist weiterhin möglich, sicher online zu verkaufen.
Tipp 4: Schreibrechte auf dem Server einschränken
Es empfiehlt sich, die Schreibrechte von Dateien und Verzeichnissen auf dem Webserver einzuschränken. Es lässt sich beispielsweise über das File Transfer Protocol (FTP) einstellen, welche Funktionen für die jeweilige Datei erlaubt sind:
- Lesen
- Schreiben
- Ausführen
Nur diejenigen Dokumente, die regelmäßig zu bearbeiten sind, sollten über Schreibrechte verfügen. Für alle anderen Ordner ist es sicherer, lediglich einen Haken bei „Lesen“ und „Ausführen“ zu setzen. Je mehr Ordner über Schreibrechte verfügen, desto höher ist das Risiko, dass Angreifer Schadcodes einschleusen und an fremde Daten gelangen.
Tipp 5: Neueste Virenscanner und Firewalls verwenden
Es gibt zahlreiche Möglichkeiten, wie sich Viren unbemerkt auf einen Rechner einschleichen können. Damit Kunden sicher online einkaufen können, ist es daher essenziell, entsprechende Programme zur Gefahrenabwehr zu installieren. Hierzu gehört neben einem guten Virenscanner auch eine Firewall. Sie unterscheiden sich in folgenden Aspekten:
| Virenscanner | Firewall |
| Interne Sicherheitsmaßnahme | Externe Sicherheitsmaßnahme |
| Besteht ausschließlich aus Software. | Besteht meist aus Hardware und Software. |
| Scannt die Dateien auf dem Server nach vorhandener Schadsoftware. | Schützt ein Rechnernetz vor unerwünschten Zugriffen. |
| Erkennt die neuesten Viren und Trojaner und blockiert diese. | Beschränkt die Kommunikation auf bestimmte Protokolle oder nach anderen eingestellten Kriterien, etwa auf bestimmte IP-Adressen. |
| Updatet sich in der Regel automatisch in regelmäßigen Abständen. | Weitere Konfigurationen möglich, z. B. dass sich Programme nicht ohne ausdrückliche Genehmigung vom Administrator installieren lassen. |
Tipp 6: Captchas einbinden
Sogenannte Captchas können die Website Security bei Formularen, wie Kontakt- und Anmeldeseiten, erhöhen. Sie erkennen, ob Menschen oder Maschinen die Formulare ausfüllen, und verhindern so missbräuchliche Spam-Anfragen von Bots. Die meisten Shopsysteme bieten bereits fertige Plugins an, die die Einbindung von Captchas erleichtern.
Tipp 7: Offenes WLAN vermeiden
Was für Verbraucher gilt, ist auch bei der IT-Sicherheit für Onlineshops zu berücksichtigen. Webshop-Betreiber können zwar grundsätzlich überall arbeiten, wo es einen Internetzugang gibt. Allerdings ist es nicht empfehlenswert, in öffentlichen WLAN-Hotspots auf Shopsysteme und andere sensible Daten zuzugreifen. Hier handelt es sich in der Regel um ungesicherte Netzwerkverbindungen, sodass Hacker leichten Zugriff haben. Sollte die Nutzung einer öffentlichen WLAN-Leitung unumgänglich sein, rät das Bundesamt für Sicherheit in der Informationstechnik zur Nutzung eines Virtual Private Networks (VPN). Dieses sorgt für eine verschlüsselte Datenübertragung zwischen dem (Mobil-)Gerät und dem genutzten VPN-Server.
Tipp 8: Failover-System einsetzen
Genauso wichtig wie die Abwehr von Datenmissbrauch sind Maßnahmen gegen unvorhergesehene Systemausfälle, z. B. bei:
- Wartungsarbeiten
- Technischen Serverproblemen
- Stromausfällen
Eine zuverlässige Methode hierfür stellen Failover-Systeme dar. Sie sichern die Verfügbarkeit des Onlineshops ab. Wenn die primäre Shopumgebung nicht verfügbar ist, schaltet das System automatisch auf redundante Back-up-Installationen um.
Tipp 9: Gütesiegel einbinden
Binden Händler Gütesiegel und Zertifikate auf ihrer Website ein, sorgen sie nicht nur für Vertrauen bei den Käufern. Sie sichern sich auch selbst gegen etwaige Risiken ab, da qualifizierte IT-Experten die Onlineshopping-Sicherheit überprüfen. Anbieter von Gütesiegeln und Verschlüsselungszertifikaten bewerten im Webshop:
- Payment Security
- Webshop-Sicherheit
- Erfüllung von Datenschutzbestimmungen
Dadurch gewinnen Onlineshops die Sicherheit, dass sie alle Bestimmungen erfüllen und ihren Käufern ein sicheres Einkaufserlebnis bieten.
Fazit zur Webshop-Sicherheit
Onlineshops sind beliebtes Ziel von Hacker-Angriffen. Denn hier können sie bei Erfolg eine Vielzahl von sensiblen Daten abgreifen – sowohl von Kunden als auch dem E-Commerce-Unternehmen selbst. Um sich und seine Käufer zu schützen, ist es daher für Onlinehändler essenziell, entsprechende Sicherheitsmaßnahmen zu ergreifen. Zu den wichtigsten gehört die SSL-Verschlüsselung. Sie gewährleistet einen sicheren Datenverkehr zwischen Kunden und Webshop. Zudem sind Shopsysteme und andere Software-Anwendungen regelmäßigen Updates zu unterziehen. Diese schließen etwaige Sicherheitslücken, bevor Hacker sie finden, und Kunden genießen ein sicheres Einkaufserlebnis.