Cyber-Security: Kein Online-Händler ist „zu klein“ für einen Angriff

Das Thema Sicherheit sollte bei jedem Online-Händler ganz weit oben auf der Agenda stehen. Längst sind nicht nur große Firmen Opfer von Attacken, es kann jeden Shopbetreiber mit Sicherheitslücken treffen. Oft schon helfen Kleinigkeiten, um sich gegen Angriffe und damit gegen Umsatz- und Imageverluste zu schützen.

Die beiden Schadprogramme NotPetya und WannaCry sind nur zwei Beispiele für Hackerangriffe, die im vergangenen Jahr für erhebliche Schäden gesorgt haben. Laut dem Breach Level Index der Firma Gemalto wurden 2017 über 2,6 Milliarden Datensätze gestohlen oder kompromittiert. Im Vergleich zu 2016 hat sich diese Zahl um ganze 88 Prozent erhöht.

Mit Bekanntwerden derartiger Attacken wird eine ganze Branche aufgerüttelt, das Thema Web Security sollte allerdings stets in den Köpfen von Online-Händlern sein. Dabei bilden die oben angesprochenen Vorfälle nur einen kleinen Bruchteil des gesamten Problems ab, denn die Risiken sind vielfältig. „Aus den Medien bekannte Angriffe, wie zum Beispiel durch Verschlüsselungstrojaner, welche Dateien auf dem Computer verschlüsseln und dann Lösegeld erpressen, sind dabei nur ein Teil dieser Gefahr“, betont Janosch Maier, Mitgründer und Geschäftsführer des IT-Sicherheits-Spezialisten Crashtest Security GmbH. „Durch die neue Datenschutzgrundverordnung, welche im Mai in Kraft tritt, ist es nötig, personenbezogene Daten nach Stand der Technik zu schützen. Es reicht nicht mehr nur eine SSL-Verschlüsselung zu nutzen, der Betreiber muss seinen eigenen Online-Shop auch regelmäßig auf Sicherheitslücken überprüfen. Wird dies nicht gemacht und personenbezogene Daten gelangen in die Hände der Hacker, muss der Betreiber mit erheblichen Strafen rechnen.“ Dabei spielt Geld aber nicht die einzige Rolle: Wird ein Unternehmen einmal Opfer eines Datendiebstahls, äußert sich das oft im Image- und Vertrauensverlust der Kunden. Dies kann wiederum zu erheblichen Umsatzeinbußen führen.

Wie tief greifend derartige Verluste gehen können, zeigt eine von der National Cyber-Security Alliance durchgeführten Studie aus dem vergangenen Jahr: So waren 60 Prozent aller KMU, die einen Cyber-Angriff erlebten, sechs Monate später nicht mehr am Markt vertreten. Die Folgen von Sicherheitslücken können also besonders für kleine und mittelständische Online-Händler verheerend sein.

So schützen sich Online-Händler

Mit diesen Fakten im Hinterkopf sollte sich jeder Online-Händler um ausreichende Sicherheitsmaßnahme bemühen. So rät Jens Altman, CTO der Firma patronus.io, die sich auf Sicherheitssoftware für E-Commerce-Unternehmen spezialisiert, zur Etablierung von Sicherheitsprozessen. Dies umfasst unter anderem klare Regelungen der Zugriffsrechte innerhalb des Unternehmens. Auch Sicherheitsstandards, wie SSL Zertifikate, sollten nicht vernachlässigt werden. „Das klingt banal, wird aber häufig nicht auf allen Unterseiten des Shops ausgeführt“, so Jens Altman. Auch Tools, wie die Web Security Suites von patronus.io oder Crashtest Security, können Händlern behilflich sein, indem sie kontinuierlich das eigene System auf Schwachstellen testen und somit mögliche Sicherheitslücken rechtzeitig geschlossen werden können.

Besonders Online-Händler, die ihr Business erst starten, sollten vor dem Livegang des eigenen Shops einen ausführlichen Sicherheitscheck nicht vergessen. Ein entscheidender Punkt, der in der Aufregung vor dem Livegang aber auch schnell untergehen kann. Das Thema Sicherheit ist allerdings keines, was man nach Erledigung von seiner To-do-Liste streichen kann. Standards sollten kontinuierlich überprüft und bei Bedarf überarbeitet werden. „Updates sollten immer möglichst bald nach dem Erscheinen eingespielt werden, da diese häufig Sicherheitslücken schließen. Zusätzlich ist ein verantwortungsbewusster Umgang aller Mitarbeiter mit den Gefahren nötig. So hilft die beste Software nichts, wenn ein Mitarbeiter sein Passwort verrät oder wenn sich jemand am Telefon als Servicearbeiter der Agentur ausgibt und so geheime Informationen abgreifen kann“, warnt Janosch Maier von Crashtest Security.

Kleine Maßnahmen mit großen Wirkungen

Da das Thema Sicherheit eine immer größere Rolle im Internet spielt, gibt es neben patronus.io und Crashtest Security natürlich noch viele weitere Anbieter, die umfassende Softwarelösungen anbieten. Allerdings haben besonders kleine Online-Händler, die gerade erst ihre ersten Schritte im E-Commerce machen, kaum Budget für solche Lösungen über. Mangelnde Ressourcen sollte allerdings keine Ausrede für Sicherheitslücken sein, denn bereits mit kleinen Maßnahmen lassen sich große Wirkungen erzielen. „Das Wichtigste ist einfach anzufangen, sich um IT-Sicherheit Gedanken zu machen“, rät Janosch Maier. „Es gibt sehr viele kostenlose Online-Ressourcen, die Security Best Practices vermitteln. Wir bieten z.B. auch eine kostenlose Basisversion unseres Schwachstellen Scanners an. Sich an die Basics zu halten, hilft oft schon ganz gewaltig. Unabhängig von dem Budget, welches einem dafür zur Verfügung steht.“

So sollten Händler beispielsweise bei der Verwendung von Plugins darauf achten, dass diese regelmäßig ein Update erhalten. Bei größeren Content Management Systemen lässt sich beispielsweise auch die Auto-Update-Funktion einstellen, betont Jens Altman. Janosch Maier fügt diesem Hinweis noch hinzu: „Grundsätzlich muss ich mir als Händler überlegen, welche Daten unbedingt geschützt werden müssen. Dabei sollte besonderes Augenmerk auf die Daten gelegt werden, welche meinen Kunden gehören, welche für mich geschäftskritisch sind und welche ich vom Gesetz her besonders schützen muss, wie zum Beispiel personenbezogene Daten. Manche Mechanismen lassen sich mit wenig Aufwand umsetzen.“ So gibt er den Tipp, dass nicht mehr benötigte Daten gelöscht werden sollten, um zu verhindern, dass diese in falsche Hände geraten. Generell sollten Händler stets darauf achten, so wenig wie möglich zu speichern, um auch den Forderungen der DSGVO nachzukommen.

„Auch bei Sicherheitsscans der eigenen Anwendung kann ich schon mit wenig Budget etwas erreichen. Anstatt eines manuellen Sicherheitsscans durch einen Auditor, welcher einen Tagessatz von weit über 1.000€ hat, kann ein kleiner Händler einen automatisierten Sicherheitsscan integrieren. Ein solcher Scan wird meist als SaaS-Lösung angeboten, ist monatlich kündbar und ist deutlich preisgünstiger als ein manueller Test“, führt Maier fort.

Der Faktor „Mensch“

Bei all den technischen Komponenten sollte man den Faktor Mensch aber keinesfalls übersehen, denn auch durch Mitarbeiter können sich große Sicherheitslücken auftun. Dies bestätigt auch der aktuelle Breach Level Index, der aufzeigt, dass Benutzerfehler und die Fahrlässigkeit von Mitarbeitern die größten Sicherheitsrisikos darstellen. Alleine im vergangenen Jahr seien durch die Unachtsamkeit der Angestellten an die 1,9 Milliarden Datensätze verloren gegangen, was einem Wachstum von 580 Prozent im Vergleich zu 2016 entspricht.

Um dem vorzubeugen, empfiehlt der Patronus-CTO, den Personenkreis mit hohen Zugriffsrechten innerhalb einer Firma so gering wie möglich zu halten. Und auch der Geschäftsführer des IT-Sicherheits-Spezialisten Crashtest Security warnt vor dem möglichen Risikofaktor Mensch: „Wenn von einer Person das Passwort für eine Social Media Plattform gestohlen wird, dann ist das erst mal nur ein Problem für die Person. Wenn diese nun aber Mitarbeiter bei einem Online-Händler ist und dort dieselben Passwörter verwendet, kann dies schnell zu einem Problem für den Händler werden.“ Als mögliches Hilfsmittel gegen die missbräuchliche Verwendung von Passwörtern nennt er hier die Two-Factor Authentifizierung. „Diese Einstellung lässt sich auf vielen aktuellen Webseiten aktivieren. Sie führt dazu, dass man beim Login von einem neuen Gerät zusätzlich zum Passwort noch eine weitere PIN eingeben muss. Dies funktioniert in etwa so, wie die Bestätigung einer Überweisung mittels TAN beim Online Banking“, führt er die Vorteile aus.

Die größten Fehler beim Thema Sicherheit

Das Thema Cyber-Security ist vielfältig und lauert natürlich auch voller Gefahren. Einer der größten Fehler, den Online-Händler dabei machen können ist, die Bedrohung nicht ernst nehmen. „Davon auszugehen, dass man schon nicht gehackt wird, weil man zu klein ist, ist keine Sicherheitsmaßnahme“, so Maier deutlich. Kein Online-Händler ist „zu klein“ für Attacken, denn es ist ein Irrglaube anzunehmen, dass Hacker nach dieser Masche vorgehen. Häufig suchen sich Angreifer eben jene Systeme aus, die möglichst wenig geschützt und somit einfach zu hintergehen sind. „Wie ein Fahrraddieb, der die Wahl zwischen einem abgeschlossenen Fahrrad und einem ohne Schloss hat, so hat ein Angreifer auch die Möglichkeit im Internet seine Ziele danach auszusuchen, wie stark sie geschützt sind“, erklärt er weiter.

Jens Altman sieht den größten Fehler vor allem darin, das Thema Sicherheit im laufenden Geschäftsbetrieb zu vernachlässigen, indem beispielsweise die Software nicht regelmäßig gewartet oder Sicherheitstest nur einmal durchgeführt werden.

„Die Zukunft wird ein Katz- und Maus-Spiel“

Wie bei allen Technologien, wird es auch beim Thema Cyber-Security eine Entwicklung geben, und das auf beiden Seiten. Dahingehend sind sich auch die beiden Security-Experten Jens Altman und Janosch Maier sicher. „Die Zukunft wird hier ein Katz- und Maus-Spiel bleiben“, prognostiziert Maier. „Ich glaube nicht daran, dass einer der Spieler – seien es die Hacker, Firmen oder Internetnutzer – die Oberhand gewinnt. Wichtig ist, aufmerksam zu bleiben und sich im Zweifelsfall Hilfe von einem Spezialisten zu holen. Durch Zusammenarbeit der Betroffenen von Cyber-Angriffen kann hier ein effektiverer Schutz entwickelt werden.“

Auch Jens Altman sieht eine Weiterentwicklung beider Seiten: „Sicherheitsstandards von großen Herstellern werden konstant erhöht und es kommen Tools, wie unseres auf den Markt, die vor allem kleineren Shopbetreibern mehr Möglichkeiten an die Hand geben, um sich zu schützen. Gleichzeitig entwickeln sich die verschiedenen Attacken-Typen und Gefahrenpotenziale auch konstant weiter, sodass Risiken immer nur bis zu einem bestimmten Teil kontrolliert werden können.“ Altman mutmaßt außerdem, dass sich – getreu dem Motto „Daten sind das neue Gold“ – Internet-Security immer mehr auch in Richtung Datensicherung und dessen Zugriffe bzw. Verwaltung hin entwickeln wird.

Trotz aller Neuerungen und Technologien wird es in den Augen des Patronus-CTOs aber auch in Zukunft Gefahrenpotenziale geben, die auf menschliches Fehlverhalten wie schlechte Passwörter oder andere grobe Fehler der Nutzer, zurückzuführen sind. „Durch künstliche Intelligenz, automatisierte Sicherheitstests und einem immer größer werdenden Bewusstsein für Cyber Security sind wir aber auf dem richtigen Weg diese Gefahrenpotenziale gut einzudämmen.“ ergänzt Janosch Maier.

Im Rahmen der bald vollständig inkrafttretenden DSGVO müssen Online-Händler mehr denn je auf die korrekte Datensicherung achten. Wird sich nicht an die Richtlinien gehalten, drohen empfindliche Strafen. Zur Unterstützung der Händler hat patronus.io zusammen mit dem Händlerbund ein Tool entwickelt, welches die Web-Infrastruktur von Online-Shops überprüft. Interessierte finden auf folgender Seite mehr Informationen: https://www.web-konform.de/haendlerbund