Online Shop Sicherheit: 5 Tipps zur Sicherheit Ihres Shops
Inhaltsverzeichnis
Stellen Sie sich vor, Sie gehen durch eine Sicherheitskontrolle am Flughafen. Den Plastikbeutel mit den flüssigen Gegenständen halten Sie schon in der Hand. Jetzt sind Sie an der Reihe: In die eine Box kommen Mantel, Schuhe und Plastikbeutel. Zur zweiten Box gesellen sich Smartphone und Notebook. Jetzt gehen Sie durch den Metalldetektor (zum Glück kein Pieps!) während Ihre beiden Boxen auf dem Förderband langsam in der Durchleuchtungsmaschine verschwinden… Und nach ein paar Minuten ist alles OK, Sie können an Bord. Was soeben beschrieben wurde, ist Ihnen doch bestens vertraut. Können Sie sich ein ähnliches Sicherheits-Szenario für Ihre E-Mails oder Ihre Anmeldedaten vorstellen? Da spielt das Kopfkino oft nicht mehr mit.
Dabei ist IT-Sicherheit ein wichtiges Thema in der heutigen Gesellschaft. Unser Arbeitsplatz ist hier und dort. Wir shoppen auf mehreren Geräten und benutzen fremde WLANs. Wer hat da noch den Überblick, was mit all den sensiblen Daten passiert? In diesem Artikel haben wir Ihnen die wichtigsten Infos zusammengetragen.
Sicherheitslücken und Prävention
Es gibt zahlreiche Risiken, denen man beim Betrieb eines Online Shops ausgesetzt ist. Es ist nahezu unmöglich alle Schwachstellen zu kennen, dennoch sollte man sich mit dem Thema befassen und herausfinden, wie sich die Sicherheit erhöhen lässt. Als grösste Risiken, die für Online-Händler zu erwarten sind, gelten:
- unsichere Passwörter
- Einsatz von Shop-Systemen, die nicht auf dem aktuellen Stand sind
- Einstellungen im Webserver (falls vorhanden)
- Viren und Trojaner auf dem Arbeitsrechner
- fehlende Sicherheitsstandards (z.B. SSL)
5 Tipps zur Online Shop Sicherheit
Will man das Thema Sicherheit, Hacking und Diebstahl von Daten begreifen, sollte man sich ein wenig in die Welt der Hacker versuchen hineinzuversetzen. Es gibt zwar nicht den einen Hacker und auch nicht die eine Vorgehensweise. Grundlage aller Angriffe ist jedoch das Ausloten von Schwachstellen. Um solche Sicherheitslücken aufzuspüren, haben Hacker sehr viele Möglichkeiten. Wir zeigen Ihnen nachfolgend 5 Tipps zur Online Shop Sicherheit:
Mausi!123: Gute Passwörter gehen anders
Häufig erwähnt, aber dennoch nicht immer beherzigt ist die Problematik der Passwörter. Die wichtigsten Passwörter für Shop-Betreiber sind:
- der Administrationszugriff auf das Shop-System (Shop-Backend)
- Zugangsdaten für den Webserver (wenn vorhanden)
- Zugangsdaten für Datenbanken
- eventuell Zugangsdaten für Marktplätze (Amazon, eBay etc.)
- Zugangsdaten für Online Banking
Ein einfaches Passwort, möglicherweise auch noch mit Klein- und Grossbuchstaben sowie Zahlen geht schon in die richtige Richtung. Ungünstig wird es, wenn die Bequemlichkeit siegt. Das kann sich auf verschiedene Arten zeigen, etwa wenn das Passwort für eine Vielzahl von Seiten genutzt wird oder der Inhalt eher generisch ist und damit auch das Passwort zahlreicher anderen Personen darstellt. Das ist genauso verständlich wie gefährlich, weil es Angreifern den Zugriff auf verschiedene Konten erleichtert. Erstellen Sie Regeln für Passwörter (auch für Mitarbeiter):
- Benutzerpasswörter sollten mindestens 12 Zeichen lang sein, Administratorenpasswörter für die Systemverwaltung 16 Zeichen.
- Passwörter sollten mindestens Gross- und Kleinbuchstaben und Zahlen enthalten.
- Jedes Konto – Anmeldung am Computer, Online Shop, ERP, CRM etc. – benötigt ein eigenes Passwort.
Phishing: Beissen Sie nicht an!
Phishing-Mails, die Zugangsdaten ergaunern oder Malware installieren wollen, gehören leider zum Alltag. Jeder kann zum Ziel eines Betrügers werden und gefälschte E-Mails oder direkte Nachrichten in sozialen Netzwerken erhalten, die Sie auffordern, einen Link anzuklicken, eine Datei herunterzuladen oder einen Anhang zu öffnen. Wer nicht aufpasst, kann sein Gerät mit bösartiger Software infizieren, was Angreifern ermöglicht, Ihre persönlichen Daten zu stehlen.
Sensibilisieren Sie sich selber und Ihre Mitarbeitenden darauf, kritisch zu sein – lieber einmal zu viel als zu wenig nachfragen. Schulen Sie die Mitarbeitenden darin, Phishing-Mails zu erkennen, indem Sie die typischen Merkmale aufzeigen.
MyCOMMERCE Tipp:
Veröffentlichen Sie die E-Mail-Adresse von Ihrem MyCOMMERCE Konto nicht in den Kontaktinformationen. Dies setzt Sie möglichen Phishing-Attacken aus. Verwenden Sie immer eine andere E-Mail-Adresse für öffentliche Bereiche.
Grippe im System – Gefahr durch Viren
Von der Bequemlichkeit sollte man sich auch im Bereich der Bedrohung durch Viren nicht lähmen lassen. Ein Computervirus ist ein verhältnismässig altes Phänomen. Dabei handelt es sich um Programme, die sich ganz wie ihre biologischen Vorbilder in einen Wirt, also etwa ins Computersystem, einpflanzen und dort extremen Schaden anrichten können. Unter den umgangssprachlichen Begriff der Computerviren fallen dabei auch Programme wie Würmer oder Trojaner.
Eine klassische und bekannte Methode, sich solche Schadsoftware einzuhandeln, ist das Öffnen von Links oder Anhängen aus E-Mails. Dabei besteht bei Schadsoftware nicht nur die Gefahr, dass der Computer oder das jeweilige Gerät angegriffen wird. Die Programme können beispielsweise auch einen Keylogger enthalten, der Eingaben erfasst und an den Übeltäter weiterleitet – womit natürlich auch Zugangsdaten zu Shop- oder Warenwirtschaftssystemen ausgelesen werden können.
Auf das Öffnen von Nachrichten rein sicherheitshalber zu verzichten, kann wohl kaum der richtige Weg sein, die Integrität seines Systems zu schützen. Der Schlüssel lautet hier: Antiviren-Software, bzw. -Scanner. Das Angebot ist vielfältig, es gibt kostenfreie und sehr kostenintensive Modelle.
Pass-the-Hash – die Nr.1 Cyber-Attacke
Wenn Sie ein Passwort eingeben, wird dieses in Form eines sogenannten Hashes in einer Datenbank abgespeichert und zu einem Hashwert umgerechnet. Dieser wird dann zu einem Authentifizierungsserver übertragen und mit dem gespeicherten Hashwert in einer Datenbank verglichen. Stimmen die beide Werte überein, werden Sie als User authentifiziert und können auf die gewünschten Inhalte zugreifen.
Gelingt es einem Angreifer diesen Hashwert zu erbeuten, kann er sich damit auf anderen Netzwerken einloggen (Ihr eigentliches Passwort muss er dabei nicht kennen, er hat ja nun den errechneten Wert) und so Schaden anrichten.
Trojaner – kein Mythos
Ein Trojanisches Pferd, kurz Trojaner, ist die gängigste Form von Malware. Ein Trojaner – wie sein Pendant aus der griechischen Mythologie – kann sich nicht von selber einschleusen, sondern braucht dazu Ihre Hilfe. Deshalb tarnt sich ein Trojaner als etwas Harmloses (z.B. ein nützliches Programm, eine App oder Website), das Sie sich auf den Rechner laden. Einmal installiert, kann ein Trojaner:
- Andere Malware oder einen Wurm installieren
- Ihren Rechner für Klickbetrug missbrauchen
- Einem Hacker die Kontrolle über Ihr Gerät ermöglichen
- Ihre Daten an Hacker weiterleiten
https:// Zertifikate für Ihre Website
Ein absolut sicherer Schlüssel zu einem Zimmer kann schön und gut sein, ist aber nutzlos, wenn die Terassentür offensteht. Sprich – die Verschlüsselung der Internetverbindung durch SSL-Zertifikate. Dass eine Website Daten verschlüsselt überträgt, kann innerhalb der URL am Präfix „https://“ erkannt werden. Ohne Verschlüsselung ist es hingegen „http://“ – es fehlt das „s“, welches für Secure steht.
Ihr MyCOMMERCE Shop und Ihre MyCOMMERCE Starterseite sind bereits mit einem SSL-Zertifikat geschützt. Wenn Ihr Shop zu Ihrer eigenen Website hinzugefügt wird, müssen Sie dafür selber ein SSL-Zertifikat erwerben und installieren. Ein SSL-Zertifikat schützt die über Ihre Website gesendeten Daten – Kundennamen, Adressen, Telefonnummern, Kreditkartendaten – vor Hackerangriffen.
Arbeiten unterwegs: Offenes WLAN für Alle!
Online-Händler sind in vielen Fällen prädestiniert dafür, unterwegs arbeiten zu können. Im seltensten Fall wird dabei auf das eigene Datenvolumen des mobilen Internets zurückgegriffen, schliesslich ist dieses schnell verbraucht. Öffentliche WLAN-Hotspots sind dann das Mittel der Wahl. Oftmals handelt es sich dabei aber um ungesicherte Netzwerkverbindungen – daran erkennbar, dass auf die fehlende Verschlüsselung hingewiesen wird, oder sich ein Hinweis in der Datenschutzerklärung findet. Ist das der Fall, sollten Online-Händler behutsam sein und auf die Eingabe sensibler Informationen wie Zugangsdaten verzichten und auch keine sensiblen Daten abrufen. Es ergibt sich das Risiko, dass diese ausgespäht werden.
Sollte die Nutzung eines öffentlichen WLANs unumgänglich sein, raten wir zur Nutzung eines Virtual Private Networks (VPN). Dabei werden die Daten zwischen dem (Mobil-)Gerät und dem genutzten VPN-Server verschlüsselt übertragen, es wird quasi ein Tunnel zum Server errichtet.
Fazit – Online Shop Sicherheit
Das Thema Online Shop Sicherheit sollte für Shop-Betreiber eine sehr grosse Rolle spielen. Als Online-Händler trägt man nämlich nicht nur für seine eigene Daten Verantwortung, sondern auch für die der Kunden. In schwierigen Fällen, beispielsweise wenn man selbst einen Webserver administriert ohne tiefgreifende Kenntnisse zu haben, kann auch die Konsultation von Experten sinnvoll sein.
Auch für kleine Online-Händler ergeben sich diverse Schalter und Hebel, mit denen sie für ein gutes Sicherheitskonzept hinsichtlich ihrer IT sorgen können. Eine Kette ist nur so stark wie ihr schwächstes Glied.
Zum Schluss ein paar allgemeine Tipps:
- Regelmässige Backups aller relevanten Daten schützen vor üblen Konsequenzen wie Datenverlust.
- Software sollte angesichts immer neuer Gefahren immer auf dem neuesten Stand sein. Angebote mit Updates und Support sorgen vor.
- Bei der Arbeit unterwegs, im Hotel im Urlaub, im Zug etc. sollten besondere Vorkehrungen getroffen werden (bspw. geschütztes WLAN, VPN-Tunnel)
- Auch wenn es hart klingt – meistens geht die grösste Gefahr von den eigenen Mitarbeitern aus. Schulen und sensibilisieren Sie Ihr Team frühzeitig.
Mehr Informationen zur Erstellung eines Online Shops finden Sie hier.
