Mehr IT-Sicherheit im E-Commerce

Wie sich Betreiber von Online-Shops gegen Cyberattacken absichern können.

Ob handwerklich gerösteter Kaffee, aus Portugal importierte Surfkleidung oder hoch spezialisierter Industriebedarf: In Deutschland betreiben – vorsichtigen Schätzungen zufolge – etwa 60.000 Unternehmen einen eigenen Online-Shop. Den potenziellen Kundenkreis mithilfe des Internets zu erweitern, ist eine plausible Idee. Laut dem Statistischen Bundesamt haben 80 Prozent der 16- bis 74-Jährigen in Deutschland schon mindestens einmal Waren und Dienstleistungen über das Internet bestellt. Das sind knapp 49 Millionen Menschen. Die Umsätze im Online- und Versandhandel haben sich demnach seit 2015 preisbereinigt verdoppelt.

Doch wo Licht ist, ist auch Schat­ten. Denn so wie an­de­re Un­ter­neh­men ge­ra­ten auch Be­trei­ber von On­line-Shops im­mer öf­ter in das Vi­sier von Cy­ber­kri­mi­nel­len. Kein Wun­der, denn mit ei­nem er­folg­rei­chen An­griff auf ei­nen On­line-Shop lässt sich häu­fig ei­ne gro­ße Men­ge sen­si­bler Da­ten ent­wen­den – dar­un­ter Na­men und An­schrif­ten so­wie Zah­lungs­da­ten von Kun­den, die sich zum Bei­spiel im Darknet zu Geld ma­chen las­sen. Ein Bei­spiel: Im No­vem­ber 2024 wur­de der On­line­shop ei­nes Strom­an­bie­ters Op­fer ei­ner Cy­ber­at­ta­cke. Da­bei wur­den laut ei­ner Er­klä­rung des Un­ter­neh­mens un­ter an­de­rem E-Mail-Adres­sen und Nut­zer­na­men von rund 50.000 deut­schen Kun­din­nen und Kun­den ent­wen­det. Un­ter­neh­men sind im Rah­men der Da­ten­schutz-Grund­ver­ord­nung (DS­GVO) da­zu ver­pflich­tet, die Da­ten­schutz­be­hör­den und ih­re Kun­din­nen und Kun­den über den Dieb­stahl sen­si­bler Da­ten zu in­for­mie­ren. On­line-Nach­rich­ten­por­ta­le mel­de­ten, dass die ge­stoh­le­nen Da­ten schon kurz nach dem Da­ten­klau im Darknet zum Ver­kauf an­ge­bo­ten wor­den sei­en.

Gravierende Sicherheitslücken in Shopsystemen

Viele Online-Anbieter setzen auf Shopsysteme von der Stange. Doch die bieten häufig keinen ausreichenden Schutz vor Cyberangriffen. Das hat eine Studie des Bundesamtes für Sicherheit in der Informationstechnik ergeben. Getestet wurden einige der meistgenutzten Systeme in Deutschland. Kernergebnis: In jeder der zehn untersuchten Lösungen, ob Open Source oder proprietär, stand alone oder CMS-Plugin, fanden sich Schwachstellen. Diese können Cyberkriminellen unter anderem die Abschöpfung von Verbraucherdaten aus Formularfeldern im Shop ermöglichen.

Als Be­trei­be­rin oder Be­trei­ber ei­nes On­line-Shops ist man nicht nur im Sin­ne sei­ner Kun­din­nen und Kun­den ver­pflich­tet, die­se Si­cher­heits­lü­cken nach bes­tem Wis­sen und Ge­wis­sen zu schlie­ßen, son­dern auch im ei­ge­nen In­ter­es­se als Un­ter­neh­me­rin oder Un­ter­neh­mer: Ne­ben be­trächt­li­chen Re­pu­ta­ti­ons­schä­den kann ein Da­ten­dieb­stahl bei nach­weis­li­chen Ver­stö­ßen oder Fahr­läs­sig­keit auch ho­he Bu­ß­gel­der der zu­stän­di­gen Auf­sichts­be­hör­de nach sich zie­hen.

Doch wel­che Schrit­te kann man als Un­ter­neh­me­rin oder Un­ter­neh­mer ne­ben grund­le­gen­den Maß­nah­men zur IT-Si­cher­heit er­grei­fen, um sei­nen On­line-Shop best­mög­lich vor Cy­ber­at­ta­cken zu schüt­zen? Mehr da­zu le­sen Sie in un­se­ren Tipps.

7 Tipps für einen sicheren Online-Shop

  1. https-Verschlüsselung aktivieren

    Die Verschlüsselung einer Datenverbindung zwischen Anbieter und Nutzer sollte heutzutage Standard sein. Mithilfe des Algorithmus TLS (für „Transport Layer Security“) wird verhindert, dass sensible Daten – etwa bei der Übertragung durch ein Formular – auf dem Weg zu ihrem rechtmäßigen Empfänger von Dritten ausgelesen werden können. Eine korrekt verschlüsselte Verbindung wird in der Adresszeile des Webbrowsers meist durch ein Vorhängeschloss symbolisiert, die volle Adresse beginnt in diesem Fall mit der Zeichenfolge „https“. Um ihre Website zu verschlüsseln, müssen Anbieter ein entsprechendes Zertifikat bei einem darauf spezialisierten Anbieter erwerben. Hochsensible Informationen wie Passwörter sollten stets mit einem aktuellen Algorithmus verschlüsselt auf dem Server hinterlegt werden – niemals im Klartext.

  2. Login-Versuche begrenzen

    Cy­ber­an­grif­fe wie et­wa so­ge­nann­te Bru­te-Force-At­ta­cken ba­sie­ren auf ei­ner Viel­zahl von Log-in-Ver­su­chen, bei de­nen sys­te­ma­tisch zahl­rei­che Kom­bi­na­tio­nen von Nut­zer­na­me und Pass­wort durch­pro­biert wer­den. Li­mi­tiert der Sho­pan­bie­ter die ma­xi­ma­le Zahl fal­scher Pass­wort­ein­ga­ben, lau­fen sol­che At­ta­cken ins Lee­re. Der zu­ge­hö­ri­ge Ac­count wird dann meist ge­sperrt und ist oh­ne ma­nu­el­le Ak­ti­on der In­ha­be­rin oder des In­ha­bers nicht mehr nutz­bar. Häu­fig lässt sich die­se Ein­stel­lung mit we­ni­gen Klicks im Shop-Ba­ckend kon­fi­gu­rie­ren.

  3. Sichere Passwörter vorschreiben

    Zu den häu­figs­ten Schwach­stel­len in On­line-Shops ge­hört laut BSI-Stu­die ei­ne un­ge­nü­gen­de Pass­wor­t­richt­li­nie. Un­si­che­re Pass­wör­ter, die bei­spiels­wei­se nur we­ni­ge Zei­chen lang sind, kei­ne Son­der­zei­chen oder Zif­fern be­inhal­ten, sind leicht ma­schi­nell zu kna­cken. So­fern den Kun­din­nen und Kun­den die Nut­zung ei­nes si­che­ren Pass­worts mit­hil­fe ei­ner ent­spre­chen­den Richt­li­nie vor­ge­schrie­ben wer­den kann, soll­ten Shop­be­trei­ber in je­dem Fall da­von Ge­brauch ma­chen.

  4. Zwei-Faktor-Authentisierung aktivieren

    Bei Online-Zahlungen ist sie bereits Pflicht: Die sogenannte starke Authentifizierung, auch als Zwei- oder Multi-Faktor-Authentisierung bezeichnet, verringert das Risiko eines missbräuchlichen Zugriffs auf Kundenprofile im Online-Shop beträchtlich. Zum Log-in ist dabei neben einem Passwort auch ein separates Gerät notwendig, auf dem zum Beispiel ein einmalig verwendbarer PIN-Code generiert wird. Eine Multi-Faktor-Authentisierung gehört noch nicht bei allen Shopsystemen zum Funktionsumfang.

  5. Captchas einbinden

    Auch die „Captcha“ genannte Anwendung stellt einen wirksamen Schutz gegen automatisierte Log-in-Versuche dar: Sie stellt sicher, dass der Zugriff tatsächlich durch einen Menschen und nicht maschinell erfolgt. Vor der Anmeldung wird die Nutzerin oder der Nutzer dabei zum Beispiel zur korrekten Eingabe einer verfremdet dargestellten Zeichenfolge aufgefordert – oder muss alle Fotos anklicken, die einen bestimmten Gegenstand zeigen, etwa eine Verkehrsampel. Achtung, DSGVO: Die Einbindung eines Captchas erfordert in der Regel mindestens eine Anpassung der Datenschutzerklärung. Das bekannte Google-Produkt „reCaptcha“ ist nach Einschätzung von Expertinnen und Experten sogar ausschließlich nach vorheriger Einwilligung einsetzbar.

  6. Ausführung von Fremdcode verhindern

    Spezielle Eingaben in Formularfelder eines Online-Shops können es Kriminellen ermöglichen, Schadcode auf dem Server auszuführen. Ein wichtiger Schritt zur Verhinderung eines derartigen Angriffs besteht darin, die Formulareingaben vor der Übertragung auf ihre Gültigkeit zu prüfen (Validierung). Problematische Inhalte – beispielsweise Eingaben im HTML-Format – können dann blockiert oder durch eine sogenannte Maskierung unschädlich gemacht werden. Auch die Implementierung einer strengen „Content Security Policy“ (CSP) kann die Ausführung eingeschleuster Schadskripte unterbinden. Die CSP wird im HTML-Code der Website deklariert.

  7. Regelmäßig Updates durchführen

    Softwarehersteller bemühen sich in der Regel, bekannte Schwachstellen in ihren Produkten durch Updates zu beheben. Aus diesem Grund sollten Betreibende von Online-Shops die Aktualisierung ihrer Shopsoftware gegebenenfalls nicht auf die lange Bank schieben. Das Gleiche gilt übrigens auch für das Website-CMS (z. B. WordPress). Produkte, für die der Hersteller keine Updates und Sicherheits-Patches mehr anbietet (End-of-Life-Produkte), stellen ein hohes Sicherheitsrisiko dar und sollten nicht verwendet werden.

Stand: Januar 2025. Alle Angaben ohne Gewähr.
Bildnachweis: iStockphoto / gorodenkoff

Unsere Produktempfehlungen

Für Geschäftskunden

Sie möchten in Ihre Firmen-IT investieren und dabei die IT-Sicherheit verbessern? Wir unterstützen Sie bei der Finanzierung.

Zum Business Investitionsdarlehen

Für Firmenkunden

Sie möchten Ihre Unternehmens-IT ausbauen oder auf den neuesten Stand bringen? Wir unterstützen Sie bei der Finanzierung.

Zur Investitionsfinanzierung

Das könnte Sie auch interessieren

Cybersicherheit von A bis Z

Welche IT-Sicherheitsbegriffe Unternehmen jetzt kennen sollten.

Zum Artikel

Kollege KI

Was künstliche Intelligenz wie ChatGPT Unter­nehmen zu bieten hat.

Zum Artikel

IT-Sicherheit: So hilft der Staat

Wie sich Unter­nehmen mit staatlicher Hilfe gegen Cyber­angriffe schützen.

Zum Artikel