Denken Sie an die Absicherung Ihres E-Shops?

19.05.2016 | Petra Alm

In Onlineshops werden Kundenangaben gesammelt und Zahlungen angenommen. Die persönlichen Daten werden meistens nur gespeichert und ihre Absicherung wird oft außer Acht gelassen. Deshalb werden sie oftmals zu einem attraktiven und leider auch zu einem einfachen Ziel von Angreifern. Denken wir in dem folgenden Artikel zusammen über die heutige Absicherung von E-Shops nach.

SSL-Zertifikat als Grundlage

SSL-Zertifikate verhindern das Abhören von Daten, die im Internet verbreitet werden. Ohne ein eingesetztes Zertifikat kann die unverschlüsselten Daten jeder lesen, der in ihre Nähe und Pfad gelangt (ein öffentliches WiFi, ein Firmen- oder Schulnetz).  Ein eventueller Angreifer müsste nur das Netz abhören, um in den eingetragenen Daten Ihr Passwort finden zu können. Es ist offensichtlich, dass die Kommunikation zwischen einem E-Shop und seinem Besucher abgesichert sein muss.

Außer dem technischen Aspekt, der in der Verschlüsselung liegt, dient das SSL-Zertifikat auch zur Authentifizierung des Servers – einfacher gesagt der Bestätigung, dass Sie tatsächlich mit dem richtigen Server kommunizieren. Wenn Sie sich zum Beispiel beim Internetbanking Ihrer Bank anmelden möchten, sollten Sie beachten, ob Sie mit dem richtigen und nicht mit einem falschen Server verbunden sind. Diese Überprüfung ermöglicht Ihnen das SSL-Zertifikat und die in ihm enthaltenen Angaben. Es besteht ein Unterschied darin, ob der Server nur ein Domain-Zertifikat verwendet, oder ob er mit einem Zertifikat mit erweiterter Validierung abgesichert ist, bei dem der überprüfte Firmenname deutlich angezeigt wird. Die erweiterte Validierung bedeutet,  dass der Aussteller das betreffende Unternehmen einer gründlichen Kontrolle unterzieht und das Zertifikat nur mit seiner Zustimmung ausstellt. Somit ist praktisch ausgeschlossen, dass das Zertifikat eine unbefugte Person erwerben kann.

DV- und EV-Zertifikat

Welcher Server sieht vertrauenswürdiger aus?

Oben können Sie die grafische Darstellung eines DV- und  eines EV-Zertifikats vergleichen. Das EV-Zertifikat enthält einen auf den ersten Blick sichtbaren Namen des Unternehmens und einen Hinweis darauf, dass die Informationen verifiziert worden sind. Welchem Server würden Sie mehr vertrauen?

Ein weiterer Vorteil der Verschlüsselung von übertragenen Daten besteht darin, dass diese während der Übertragung nicht geändert werden können (es kann kein Inhalt, Malware oder Virus hinzugefügt werden). Die Kommunikation ist somit vor Eingriffen einer dritten Seite geschützt.

Verschlüsselung ist notwendig

Sobald das Zertifikat auf Ihrem E-Shop eingesetzt ist, überzeugen Sie sich davon, dass es die ganze Domain abdeckt. Es wäre falsch, das Zertifikat zum Beispiel nur für die Anmeldung Ihrer Kunden zu nutzen. Verschlüsselt sollte immer das ganze Web sein.

Schwierigkeiten kann Ihnen der sog. gemischte Inhalt bereiten. Dieses Sicherheitsproblem entsteht, wenn auf die abgesicherte Seite ein Inhalt durch einen nicht abgesicherten Pfad übertragen wird. Am häufigsten müssen sich mit dem gemischten Inhalt gerade E-Shops auseinandersetzen, denn sie arbeiten mit einer großen Anzahl von Grafiken (in dem Link des Bildes wird HTTP anstelle von HTTPS oder einem relativen Pfadnamen aufgeführt). Einen noch schlimmeren Fall von nicht abgesicherten Elementen stellen Skripts dar – diese werden von den heutigen Browsern direkt blockiert, was das richtige Funktionieren des E-Shops gefährden kann.

Verschlüsseln Sie nicht nur übertragene, sondern auch gespeicherte Daten. Dadurch verhindern Sie, dass sie eine unbefugte Person lesen wird. Denken Sie auch daran, dass E-Mails auf dem Server in einer unverschlüsselten Form gespeichert werden. Die Tatsache, dass für die Verbindung mit dem Mailserver das SSL/TLS Protokoll verwendet wird, ändert nichts daran, dass die E-Mails einfach kompromittiert werden können. Sensible Daten gehören in E-Mails also bestimmt nicht – senden Sie sich deshalb Ihre Passwörter nie mittels eines Mailservers zu, falls Ihnen eine andere Möglichkeit zur Verfügung steht. Sollte Ihnen einmal ein Passwort per E-Mail ankommen, ändern Sie es bei dem betreffenden Dienst unverzüglich.

Der größte Verstoß liegt im Speichern von Datenbank-Daten in einer lesbaren Form. Passwörter der Kunden werden oft in Textform gespeichert und was noch schlimmer ist, per E-Mail verschickt. Sich zu diesen Informationen einen Zugang zu verschaffen und die Datenbank (am häufigsten ihre Sicherheitskopie auf FTP) zu entwenden ist somit überhaupt nicht kompliziert. Dabei würde es genügen, die Grundprinzipien eines sicheren E-Shop-Systems zu respektieren.

Daten in der Datenbank können verschlüsselt werden und die Passwörter brauchen Sie somit nicht als Wörter zu speichern. Verschlüsselte Passwörter können nämlich entschlüsselt werden und Sie können dann wieder ihre ursprüngliche Form lesen. Die Passwörter in der Datenbank sollten durch einen richtigen, relativ langsamen Algorithmus „gehasht“ sein, damit ihre Durchbrechung auch auf leistungsfähigen Servern sehr lange dauern würde.

Die Passwörter müssen deshalb nicht gespeichert werden, weil der unikale Abdruck (Hash) des eingegebenen Passwortes nur mit dem Passwort in der Datenbank vergleicht werden muss. Im Fall einer Übereinstimmung ist klar, dass der Benutzer das Passwort kennt. Bei den aktuell verwendeten Funktionen ist es nicht möglich, dass für zwei Wörter derselbe Abdruck existiert.

Absicherung von Applikationen

Das SSL-Zertifikat und die Verschlüsselung sind wichtige Voraussetzungen für die Sicherheit eines E-Shops und seiner Kunden. Sie stellen jedoch nicht das Endziel dar, denn potenziell gefährdet ist auch jede Webapplikation. Deshalb ist es sehr wichtig, ebenfalls den Applikations-Teil Ihres E-Shops so abzusichern, dass in ihn wegen eines Fehlers Ihres Programmierers nicht jeder Teenager einbrechen kann.

Viele E-Shops werden von professionellen Lieferanten erstellt. In einem solchen Fall sollten Sie von dem Entwickler eine Garantie eines sicheren Systems verlangen (z.B. ein sicheres Speichern von Informationen und Passwörtern in einer Datenbank, das einfach bewiesen oder widerlegt  werden kann). Vor E-Shops, die bei der Registrierung das Passwort per E-Mail senden, sollten Sie Abstand nehmen.

Wissen Sie nicht, was sich hinter den Begriffen wie XSS, SQL Injection oder HTTPS verbirgt? Macht nichts, um diese Aspekte des E-Shops sollte sich Ihr Programmierer kümmern. Wie sich aber leider nicht selten zeigt, ist die Sicherheit oft erst auf dem letzten Platz. Deshalb sind verschiedene Experten stets darum bemüht, diesen Markt aufzuklären, entweder im Guten, oder im Bösen mit einem Beispiel von der Vulnerabilität eines konkreten Webs.

Der Absicherung von Webprojekten widmet sich zum Beispiel Michal Špaček, der Ihnen zum Folgenden rät:

Denken Sie an die Absicherung Ihres Webs bevor es zu einem Problem kommt. Der Großteil der Unternehmen erfährt darüber ohnehin entweder zu spät, oder überhaupt nicht. Die Daten von Ihren Kunden, samt Passwörtern, sind das Wichtigste, was Sie haben, und beim eventuellen Durchsickern wird sie ihnen niemand zurückgeben.

Sicherheit ist nicht Ihr Feind

Die Sicherheit sollte bei einem E-Shop als eine der Prioritäten angesehen werden. Es ist ohne Belang, ob Sie E-Shops kommerziell programmieren, einen eigenen entwickeln oder einen gemieteten haben. SEO sollte nie das einzige Ziel darstellen, nach dem Sie streben. Die Sicherheit ist zwar undankbar – Absicherung von Kundendaten in einer Datenbank wird den Umsatz nicht erhöhen – aber sie gehört zu der in diesem Bereich unausweichlichen Verantwortlichkeit.

Sicherheitsexperten sparen mit Ratschlägen nicht und sind immer bereit, Ihnen zu helfen. Falls Ihr E-Shop ehrgeizig ist und Sie in Zukunft Probleme oder sogar ein fatales Ende nicht riskieren möchten, erwägen Sie, ob eine fachmännische Beratung oder ein Sicherheitsaudit nicht einer Überlegung wert wäre. Vielleicht werden Ihnen die Kosten nicht gleich zurückkommen, aber Sie werden ruhig schlafen können und die Kunden werden Ihnen nicht mit Klagen drohen.


Petra Alm
Spezialistin für TLS-Zertifikate
DigiCert TLS/SSL Professional
e-mail: info(at)sslmarket.de