Webshop-Sicherheit: Wie Sie Ihren Käufern einen sicheren Onlineshop bieten

Nick Knuppe
Head of Product Marketing

Die Webshop-Sicherheit ist ein wichtiges Thema im E-Commerce. Denn Sicherheitslücken im Shopsystem oder auf dem Webserver können Onlinehändler eine Menge Geld und die Reputation ihres Unternehmens kosten. Dabei sind nicht nur die eigenen Daten zu schützen, sondern vor allem auch die der Kunden. Wie Shopbetreiber ihre Website absichern und sicher online verkaufen, erfahren Sie im Folgenden.

Warum ist Website Security wichtig für E-Commerce-Unternehmen?

Beim Onlineshopping müssen Käufer stets sensible Daten eingeben, um ihre Bestellung abzuschließen. Dazu gehören u. a. die folgenden:

Kontaktdatenpayment detailsOnlinedaten
Nachnamecredit card informationStandort
AnschriftBankdatenIP-Adresse
E-Mail-AdresseGeburtsdatum (z. B. zur Bonitätsprüfung beim Rechnungskauf)Cookie-Kennung

Solche Verbraucherdaten sowie Passwörter sind in Onlineshops ein beliebtes Ziel von Phishing-Attacken. Gelangen Hacker an diese Angaben, können sie z. B. auf Kosten der Geschädigten Waren bestellen oder illegalen Datenhandel betreiben. Damit Kunden sicher online einkaufen können, ist es für Webshop-Betreiber daher essenziell, sich mit Website-Security-Maßnahmen auseinanderzusetzen.

Website absichern: Grundlagen für die E-Commerce-Sicherheit

Bereits bei der Konzeption des Onlineshops ist es wichtig für Händler, Maßnahmen zum Schutz von Daten einzuplanen. Denn der Webshop ist keine alleinstehende Plattform. Jede Transkation und jede Datenerhebung ist eng in die Prozesse des gesamten Unternehmens eingebunden. So ergeben sich Schnittstellen, die ein Sicherheitsrisiko darstellen können, beispielsweise wenn verschiedene Abteilungen des Unternehmens Zugriff auf eine gemeinsame Datenbank haben. Daher ist von Beginn an ein sicheres Konzept für Zugriffswege und Berechtigungen zu erarbeiten.

Zu den grundsätzlichen Maßnahmen für die Onlineshopping-Sicherheit gehören dabei die folgenden:

  • https-Verschlüsselung: Der Kommunikationskanal im Webshop ist am besten über ein SSL-Protokoll zu schützen. So werden sensible Kundendaten sicher zwischen der Besucher- und der Webserver-Domain übertragen.
  • Einsatz einer Firewall: Eine Firewall sollte die ein- und ausgehende Kommunikation auf die notwendigsten Protokolle beschränken, z. B. auf ssh, http und https.
  • Implementation von Passwortregeln für Käufer: Wichtig sind hier u. a. eine Mindestpasswortlänge, die Verwendung von Groß- und Kleinschreibung sowie Sonderzeichen. Das verringert das Risiko, dass Betrüger Zugriff auf das Kundenkonto und deren sensible Daten erlangen.
  • Regelmäßige Back-ups: Für den Fall, dass der Server infolge eines Hackerangriffs nicht erreichbar ist, empfiehlt es sich, alle Daten regelmäßig abzusichern, z. B. in einem Cloud-Back-up.

https-Verschlüsselung: das A und O für einen sicheren Onlineshop

SSL or TSL encryption is now part of the basic equipment of online shop security. SSL stands for “Secure Sockets Layer” and is the predecessor of today’s TSL encryption, short for “Transport Layer Security”. The network protocol protects the data traffic between the customer and the web shop and ensures that only the shop server has access to the sensitive data. Without such encryption, unauthorized third parties could access and read one of the many nodes that the data stream covers.

Warum ist die SSL-Verschlüsselung wichtig für Webshop-Betreiber?

Warum ist die SSL-Verschlüsselung wichtig für Webshop-Betreiber?

Viele Verbraucher achten beim Onlineshopping verstärkt auf Gütesiegel, sichere Bezahlmethoden und Datenschutz. E-Commerce-Unternehmen schaffen somit Vertrauen bei ihren Kunden, wenn sie ihre Website durch https absichern. Dadurch profitieren sie wiederum von einer verbesserten Conversion-Rate im Checkout-Prozess.

https-verschlüsselte Webshops sind für Kunden anhand dieser drei Kriterien leicht zu erkennen:

  • Zusätzliches s hinter dem Standard-Kommunikationsprotokoll http, also https in der URL
  • Vorhängeschloss zu Beginn der URL-Leiste
  • Teilweise Einfärbung der Adresszeile in Grün

Zudem setzen viele Anbieter von Gütesiegeln heutzutage eine vorhandene SSL-Verschlüsselung des Webshops voraus. So vergibt beispielsweise Trusted Shops kein Gütesiegel, wenn die sichere Datenübermittlung nicht durch https gewährleistet ist. Auch Google fördert den Einsatz von verschlüsselten Webshops: Seiten ohne SSL-Schutz landen in den Suchergebnissen weiter unten als solche mit dem sicheren Netzwerkprotokoll.

Wie erhalten Onlineshops eine https-Verschlüsselung?

E-Commerce-Händler können für ihre Webshop-Sicherheit über folgende Anbieter SSL-Zertifikate beziehen:

  • VeriSign
  • GoTrust
  • GlobalSign
  • TC TrustCenter GmbH
  • Cacert

Die Zertifizierungsstellen überprüfen hierfür zunächst die Identität des Händlers, z. B. seit wann das Unternehmen existiert und wer der Domaininhaber ist. Anschließend vergeben sie das Zertifikat mit eindeutigen und authentifizierten Informationen und bescheinigen so die Sicherheit des Shops.

Datenschutz im Webshop

Um den gesetzlichen Vorgaben im Bereich Datenschutz gerecht zu werden, ist eine Datenschutzerklärung im Onlineshop notwendig. Darin ist detailliert darüber aufzuklären, warum Händler welche Kundendaten erheben und wie lange sie diese speichern. Der eigentliche Zweck der Datenschutzerklärung ist der Verbraucherschutz. Der rechtskonforme Umgang mit ihren persönlichen Angaben bietet Besuchern zusätzliche Sicherheit beim Onlineshopping.

Datenschutz im Webshop | Mollie

Die Datenschutzerklärung aufzusetzen, ist für Händler ebenso nützlich. Dafür setzen sie sich bewusst mit allen möglichen Schnittstellen auseinander, an denen es zu einer Datenerhebung kommt. Das hilft, mögliche Risikofaktoren zu erkennen und zusätzliche Schutzmaßnahmen für die Webshop-Sicherheit einzuleiten. So gibt es häufig überall dort, wo User Daten in ein Formular eingeben, Optimierungspotenzial.

Typische Sicherheitslücken in Webshops

Um sicher online zu verkaufen, ist es wichtig für Händler, typische Schwachstellen in der Website-Sicherheit zu kennen. Die folgenden Sicherheitslücken gehören dabei zu den häufigsten Ursachen für einen Datenverlust.

Formulare

Gern genutztes Ziel von Hackerangriffen stellen Formulare in Onlineshops dar. Dazu gehören z. B.:

  • Benutzerregistrierung
  • Kunden-Login
  • Kontaktformular
  • Newsletter-Anmeldung

Sobald User ein Formular ausfüllen und absenden, gelangen Daten an den Webserver. Wie die Daten anschließend verarbeitet werden, ist im Programmcode definiert. Wurden bei der Entwicklung des Codes bestimmte Algorithmen nicht beachtet, ist es möglich, Schadcodes, also Malware, einzuschleusen. Diese können sich unerlaubten Zugriff auf die Datenbank oder den Webserver verschaffen.

Darüber hinaus können Angreifer die Shopsysteme für die Verbreitung von Schadprogrammen bei den Käufern nutzen. Hierfür suchen sogenannte Drive-by-Exploits automatisiert nach Schwachstellen im Browser oder Betriebssystem der Webshop-Besucher und schleusen darüber Viren ein. Updates schließen solche Sicherheitslücken, die durch fehlende Algorithmen entstanden sind. Daher ist es essenziell für die Webshop-Sicherheit, das verwendete Shopsystem stets auf dem neuesten Stand zu halten.

Veraltete Software

Some web shop operators do not regularly update their basic software for reasons of time and money. As a result, security gaps in the system are only closed very late or not at all, making it much more vulnerable to attacks. The security of the online shop with outdated software is particularly at risk from denial-of-service attacks (DoS). Here, a large number of targeted requests are made to the server in order to overload it. The associated shop system is then temporarily unavailable – sometimes until the security gap has been closed.

Open-Source-Systeme

Die meisten E-Commerce-Händler nutzen Shopsysteme auf Basis von kostenfreien Open-Source-Programmen. Das bietet viele Vorteile, kann aber auch Sicherheitsrisiken mit sich bringen. Denn jeder, der eine solche Version herunterlädt, verfügt über den kompletten Quellcode der Shopanwendung. Hacker, die sich sehr gut mit der eingesetzten Programmiersprache auskennen, können potenzielle Schwachstellen mit etwas Aufwand erkennen und ausnutzen.

Dennoch lässt sich mit Open-Source-Systemen eine gute IT-Sicherheit online gewährleisten. Denn dahinter steht eine große Community, die die Open-Source-Programme pflegt, stetig weiterentwickelt und in relativ kurzen Zeitabständen aktualisiert. So werden Sicherheitslücken oft geschlossen, bevor Hacker sie entdecken. Zudem bieten Open-Source-Anbieter Händlern schnellen Support bei Problemen.

9 Tipps für mehr Website Security: Wie können Onlineshop-Betreiber ihre Website absichern?

9 Tipps für mehr Website Security: Wie können Onlineshop-Betreiber ihre Website absichern?

Neben den grundsätzlichen Datenschutzvorgaben können Onlinehändler weitere Einstellungen vornehmen, die die Webshop-Sicherheit erhöhen. Die folgenden Tipps helfen dabei, ein rundum sicheres Einkaufserlebnis für Käufer und Händler zu bieten.

Tipp 1: Back-up-Plugins einbinden

Für die verschiedenen Shopsysteme sind Back-up-Plugins erhältlich, die die Website zusätzlich absichern. Dazu gehören z. B.:

  • UpdraftPlus
  • BackWPup
  • BackupBuddy
  • Duplicator
  • Snapshot Pro

With these plugins, manual and automated backups can be carried out – even without technical understanding. In an emergency, they can restore the lost data and even the entire shop system installation.

Tipp 2: Selbst sichere Passwörter verwenden

Sichere Passwörter gehören zur Grundausstattung der IT-Sicherheit. Auch Onlineshop-Betreiber sollten die Vorgaben für sichere Passwörter berücksichtigen, um unerlaubte Zugriffe auf Datenbanken und Server zu verhindern. Folgende Passwörter sind für Onlinehändler besonders wichtig:

  • Administratorzugriff auf das Shopsystem (Shop-Backend)
  • Zugangsdaten für den Webserver bzw. FTP-Zugang
  • Zugangsdaten für Datenbanken
  • Zugangsdaten für den Webhoster, Webserver sowie Webinterfaces
  • Ggf. Zugangsdaten für Marktplätze
  • Zugangsdaten für Onlinebanking

Letters, numbers and special characters must be used for secure access. Natural words are to be avoided. A minimum length of eight characters is also recommended so that the password protection can withstand so-called brute force attacks for as long as possible – i.e. attacks in which an attempt is made to crack passwords by entering random number combinations.

Tipp 3: Login-Versuche limitieren

Even with strong passwords, brute force attacks can be successful. It is therefore advisable to limit the possible login attempts. Online retailers can make the appropriate settings in their shop system for this purpose. After too many failed attempts, the attacker’s IP address will be banned and it will still be possible to sell online safely.

Tipp 4: Schreibrechte auf dem Server einschränken

Es empfiehlt sich, die Schreibrechte von Dateien und Verzeichnissen auf dem Webserver einzuschränken. Es lässt sich beispielsweise über das File Transfer Protocol (FTP) einstellen, welche Funktionen für die jeweilige Datei erlaubt sind:

  • Lesen
  • Schreiben
  • Ausführen

Only those documents that need to be edited regularly should have write access. For all other folders, it is safer to just check “Read” and “Execute”. The more folders have write permissions, the higher the risk that attackers will inject malicious code and access third-party data.

Tipp 5: Neueste Virenscanner und Firewalls verwenden

Es gibt zahlreiche Möglichkeiten, wie sich Viren unbemerkt auf einen Rechner einschleichen können. Damit Kunden sicher online einkaufen können, ist es daher essenziell, entsprechende Programme zur Gefahrenabwehr zu installieren. Hierzu gehört neben einem guten Virenscanner auch eine Firewall. Sie unterscheiden sich in folgenden Aspekten:

VirenscannerFirewall
Interne SicherheitsmaßnahmeExterne Sicherheitsmaßnahme
Besteht ausschließlich aus Software.Besteht meist aus Hardware und Software.
Scannt die Dateien auf dem Server nach vorhandener Schadsoftware.Schützt ein Rechnernetz vor unerwünschten Zugriffen.
Erkennt die neuesten Viren und Trojaner und blockiert diese.Beschränkt die Kommunikation auf bestimmte Protokolle oder nach anderen eingestellten Kriterien, etwa auf bestimmte IP-Adressen.
Updatet sich in der Regel automatisch in regelmäßigen Abständen.Weitere Konfigurationen möglich, z. B. dass sich Programme nicht ohne ausdrückliche Genehmigung vom Administrator installieren lassen.

Tipp 6: Captchas einbinden

Sogenannte Captchas können die Website Security bei Formularen, wie Kontakt- und Anmeldeseiten, erhöhen. Sie erkennen, ob Menschen oder Maschinen die Formulare ausfüllen, und verhindern so missbräuchliche Spam-Anfragen von Bots. Die meisten Shopsysteme bieten bereits fertige Plugins an, die die Einbindung von Captchas erleichtern.

Tipp 7: Offenes WLAN vermeiden

Was für Verbraucher gilt, ist auch bei der IT-Sicherheit für Onlineshops zu berücksichtigen. Webshop-Betreiber können zwar grundsätzlich überall arbeiten, wo es einen Internetzugang gibt. Allerdings ist es nicht empfehlenswert, in öffentlichen WLAN-Hotspots auf Shopsysteme und andere sensible Daten zuzugreifen. Hier handelt es sich in der Regel um ungesicherte Netzwerkverbindungen, sodass Hacker leichten Zugriff haben. Sollte die Nutzung einer öffentlichen WLAN-Leitung unumgänglich sein, rät das Bundesamt für Sicherheit in der Informationstechnik zur Nutzung eines Virtual Private Networks (VPN). Dieses sorgt für eine verschlüsselte Datenübertragung zwischen dem (Mobil-)Gerät und dem genutzten VPN-Server.

Tipp 8: Failover-System einsetzen

Genauso wichtig wie die Abwehr von Datenmissbrauch sind Maßnahmen gegen unvorhergesehene Systemausfälle, z. B. bei:

  • Wartungsarbeiten
  • Technischen Serverproblemen
  • Stromausfällen

Eine zuverlässige Methode hierfür stellen Failover-Systeme dar. Sie sichern die Verfügbarkeit des Onlineshops ab. Wenn die primäre Shopumgebung nicht verfügbar ist, schaltet das System automatisch auf redundante Back-up-Installationen um.

Tipp 9: Gütesiegel einbinden

Binden Händler Gütesiegel und Zertifikate auf ihrer Website ein, sorgen sie nicht nur für Vertrauen bei den Käufern. Sie sichern sich auch selbst gegen etwaige Risiken ab, da qualifizierte IT-Experten die Onlineshopping-Sicherheit überprüfen. Anbieter von Gütesiegeln und Verschlüsselungszertifikaten bewerten im Webshop:

Dadurch gewinnen Onlineshops die Sicherheit, dass sie alle Bestimmungen erfüllen und ihren Käufern ein sicheres Einkaufserlebnis bieten.

Fazit zur Webshop-Sicherheit

Online shops are popular targets for hacker attacks. Because here, if they are successful, they can access a large amount of sensitive data – both from customers and from the e-commerce company itself. In order to protect themselves and their buyers, it is therefore essential for online retailers to take appropriate security measures. One of the most important is SSL encryption. It ensures secure data traffic between customers and the web shop. In addition, shop systems and other software applications are subject to regular updates. These close any security gaps before hackers find them, and customers enjoy a secure shopping experience.

Erhalten Sie jetzt bessere Zahlungen.

Jetzt anmelden