Sicherheitslücken in Webshops: Horror vor dem Totalausfall

Online-Shopbetreiber sehen sich diversen Gefahren gegenüber – zu den wohl größten gehören Sicherheitslücken im System. Was, wenn personenbezogene Daten ausgespäht werden? Oder auf den Shop nicht mehr zugegriffen werden kann? Zu den vier Horrorszenarien gehören zweifelsohne Datendiebstahl via Cross Site Scripting, via SQL Injection, via Session Hacking und Denial-of-Service-Angriffe. Im Folgenden erfahren Sie mehr zu diesen vier Gefahren und wie Sie sich schützen.

Vertrauen ist Trumpf

Eine Studie von September 2013 zeigt: Der NSA-Skandal führte zu erhöhter Skepsis seitens des Verbrauchers. Knapp 50 % der Nutzer befürchten einen Missbrauch ihrer persönlichen Daten, gerade bei Unter-20-Jährigen ist der Anteil der Skeptiker hoch. Das Fatale an Sicherheitslücken ist die Tatsache, dass sie teilweise jahrelang vor sich hin schlummern, bevor sie der Shopbetreiber bemerkt. Zerstörung und Datendiebstahl gehören zu den häufigsten Bedrohungen, die Sicherheitslücken in Webshops hervorrufen. Denial-of-Service-Angriffe, die auf Zerstörung des Webshops abzielen, sind selbstredend leichter zu bemerken, denn der Shop ist nicht mehr erreichbar. Häufiger kommen allerdings Datendiebstähle vor, die vom Shopbetreiber unbemerkt bleiben können. Angesichts aktueller Geschehnisse können Sie nur dann beim Verbraucher trumpfen, wenn diese Ihnen vertrauen. Und Vertrauen bedingt, dass Sie sich mit den wahrscheinlichsten Angriffsszenarien vertraut machen.

Cross Site Scripting: Manipulation der Shopoberfläche

Cross Site Scripting, kurz: XSS, ist eine häufige Sicherheitslücke, die zum Datendiebstahl ausgenutzt werden kann. Kann ein Online-Shop Nutzereingaben nicht korrekt verarbeiten, können Angreifer JavaScript-Programmcodes einschleusen und die Shop-Oberfläche temporär so manipulieren, dass Nutzerdaten abgefischt werden können. So lassen sich etwa manipulierte Login-Felder einblenden, die Usernamen und Passwörter an die Server der Hacker senden, die sich dann mit den Nutzerdaten einloggen können. Nun ist es möglich, die Daten, die User in ihren Accounts hinterlegt haben, einfach zu stehlen und ggf. in gesammelter Form zu verkaufen oder auch Bestellungen im Namen des Users tätigen. Es wäre auch möglich, dass Angreifer ein Formular einblenden, welches die Kreditkarten- oder sonstige Zahlungsdaten abfragt. Ganz klar, dass missbrauchte Kreditkartendaten erst mal den Shopbetreiber als Schuldigen identifizieren.

XSS-Sicherheitslücken sind extrem weit verbreitet, wohl auch deshalb, weil viele Shopbetreiber von diesen Sicherheitslücken nicht viel mitbekommen. Denn die dauerhafte Manipulation eines Shops durch einen Angreifer ist mit dieser Form des Angriffs genauso wenig möglich wie das Auslesen sämtlicher im Shop hinterlegten Daten. Nichtsdestotrotz handelt es sich um eine kritische Sicherheitslücke, bei der schlimmstenfalls rechtliche Konsequenzen auf Shopbetreiber zukommen, weil tausende Userdaten für den Handel mit Adressen abgegriffen wurden.

SQL Injection: Unsichere Programmierung der Datenbankanbindung

Die Anzahl derjenigen, die durch sogenannte SQL Injections betroffen sind, ist erschreckend hoch! Dem Angreifer ist es durch das unsichere Programmieren seiner Datenbankanbindung möglich, nicht nur auf einzelne Datensätze zuzugreifen, sondern er erhält vollen Datenbankzugriff. Bedeutet: Alle internen Daten können nicht nur kopiert, sondern auch manipuliert werden. Sämtliche im Klartext auf der Datenbank abgelegten Daten können Angreifer abgreifen und daraus folgend verkaufen oder aber selbst missbrauchen. Daraus entstehende Schäden sind immens für Shopbetreiber.

Nicht nur stille Datendiebstähle dieser Art, sondern auch Denial of Service-Attacken (DoS) sind möglich. Dabei wird die Shopdatenbank gelöscht, was ausreichend dafür ist, den Shop selbst um Wochen oder gar Monate, schlimmstenfalls auch komplett lahmzulegen. Den meisten Shopbetreibern fehlt es derzeit noch an sinnvollen Backup-Möglichkeiten, mit denen diesem schlimmsten Fall vorgebeugt werden kann.

Session Hijacking: Versehentlicher Datendiebstahl

Istockphoto 24875335 © German

Versehentlicher Datendiebstahl? Klingt komisch, passiert aber noch häufiger als man vermuten mag. Shops, die ohne Session-Cookies arbeiten, setzen meist auf URL-Rewriting. Die Session-ID wird in der URL angezeigt und so kann es einfach passieren, dass User A ein Produkt an User B weiterleiten will und dabei die URL mit Session-ID versendet. War User A im Shop angemeldet, ist auch User B beim Klick auf den Link angemeldet und kann im Profil von User A nicht nur herumschnüffeln, sondern auch Bestellungen tätigen und Daten ändern.

Der schlimmste aller vorstellbaren Fälle ist es bei Session Hijacking, dass Suchmaschinen URLs indizieren, die solche Session-IDs enthalten. Angenommen, User A hat den Link nicht versendet, sich aber im Shop angemeldet, so können sämtliche User, die dann auf den Suchmaschinenlink klicken, das Profil von User A einsehen.

DoS: Lahmgelegter Server

Denial-of-Service-Angriffe (DoS-Attacken) gehören zu den Gefahren, die zu drastischen Umsatzeinbrüchen führen können. Viele Online-Shops setzen auf veraltete Serverversionen, die Angreifer leicht erkennen und ausnutzen können. Die Folge: Der Server wird lahmgelegt, der Online-Shop ist nicht mehr erreichbar – und zwar solange, bis ein Admin das Problem bemerkt und den Server neustartet. Kontinuierliche DoS-Attacken sorgen solange für offline liegende Server, bis der Admin die Server-Software aktualisiert hat.

Ebenfalls weit verbreitet ist der Massenversand von E-Mails – natürlich im Namen des Shops: Gelangen Angreifer an die E-Mail-Adressen der Kunden, fordern sie wiederholt ein Passwort-Reset an und überfluten damit das Postfach des Shopkunden mit tausenden von Mails. Es gibt Shopsysteme, die keine Beschränkungen betreffs der Anzahl oder Zeit versendeter Passwort-Resets kennen. Auch Empfehlungsformulare in Online-Shops sind beliebte Mail-Spam-Variationen. Bei einem nicht entsprechend gesicherten Shopsystem ist es ein Leichtes, beliebige E-Mail-Adressen mit Spammails zu bombardieren.

Neben dem Ärger, den der Empfänger solcher Spamaktionen damit hat, fällt nicht nur ein schlechtes Licht auf die mangelnden Sicherheitsmechanismen des Shops, sondern es kann auch zu Schadenersatzforderungen kommen. Viele Newsletter diverser Online-Shops landen automatisch in Junk-/Spamordnern bei den Empfängern – Mailserver sind recht schnell dabei, Absender auf die Blacklist zu setzen. Moderne E-Mail-Provider erkennen, wann Mailserver „Amok laufen“, sodass es sogar passieren kann, dass dieser Absender kurzfristig blockiert wird. Folgen können verlorengegangene Bestellbestätigungen sein oder Newsletter, die im Nirwana des E-Mail-Providers landen.

Beraten lassen und handeln!

Sehen Sie Investitionen in die Sicherheit Ihres Shops nicht als unangenehme Begleiterscheinung, sondern als Wettbewerbsvorsprung. In Zeiten, in denen Verbraucher aufgeklärter sind als je zuvor, in denen Gefahren wie NSA und Co. ohnehin für Zweifel bei Verbrauchern sorgen, können Sie mit Sicherheit punkten! Von der Backup-Lösung über Gütesiegel bis zur Verschlüsselung Ihrer Datenbankeist es sinnvoll, sich beraten zu lassen und dann zu handeln. Dabei sollte Ihre individuelle Situation berücksichtigt werden: Als Start-up haben Sie andere Sicherheitsanforderungen als „alteingesessene“ Shopbetreiber, deren Kundenzahlen bereits schwindelerregende Höhen erreicht haben. Ihr Bedarf ist der Maßstab.

Dieser Beitrag wurde unter Blogs und Blogger abgelegt am von .

Über Tom Adebahr

Ich brenne für den E-Commerce und habe das Glück in einem spannenden Internet-Unternehmen in leitender vertrieblicher Position angestellt zu sein. Ein Faktor für meine überdurchschnittliche Motivation war schon immer meine Einstellung zur Arbeit. Ich habe viel Freude an dieser und genieße es, ins Büro zu fahren und das eigene Wissen um das meiner Kollegen zu ergänzen, um im Team effizient und erfolgreich zu sein.

2 Gedanken zu „Sicherheitslücken in Webshops: Horror vor dem Totalausfall

  1. bernd

    Schade das hier nicht auch passende Sicherheitstips gegeben werden.
    Aber man sollte annehmen, dass moderne Shopsysteme eigentlich gegen diese Art von Angriffen zeimlcih gut geschützt sein sollten.
    Was sicher nie schlecht sein wird, ist eine passende Backup Lösung zu haben.

    Antworten
  2. Dominik

    Selbstverständlich sollten moderne Shopsysteme gegen Angriffe geschützt sein – Sicherheitslücken lassen sich nie vermeiden und können in jedem System auftreten. Schlecht gewählte Passworte und auch schlecht abgesicherte Server tun ihr übriges: Und schon steht ein Totalausfall bevor. Letztendlich muss man sich selbst immer darum kümmern. Für Agenturen sollte das übrigens ebenso eine Selbstverständlichkeit sein – sollte… 😉

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *