Digitalisierung & IT-Sicherheit

Mehr IT-Sicherheit im E-Commerce

Wie sich Betreiber von Online-Shops gegen Cyberattacken absichern können.

Ob handwerklich gerösteter Kaffee, aus Portugal importierte Surfkleidung oder hoch spezialisierter Industriebedarf: In Deutschland betreiben – vorsichtigen Schätzungen zufolge – etwa 60.000 Unternehmen einen eigenen Online-Shop. Den potenziellen Kundenkreis mithilfe des Internets zu erweitern, ist eine plausible Idee. Laut dem Statistischen Bundesamt haben 80 Prozent der 16- bis 74-Jährigen in Deutschland schon mindestens ein Mal Waren und Dienstleistungen über das Internet bestellt. Das sind knapp 49 Millionen Menschen. Die Umsätze im Online- und Versandhandel haben sich demnach seit 2015 preisbereinigt verdoppelt.

Doch wo Licht ist, ist auch Schatten. Denn so wie andere Unternehmen geraten auch Betreiber von Online-Shops immer öfter in das Visier von Cyberkriminellen. Kein Wunder, denn mit einem erfolgreichen Angriff auf einen Online-Shop lässt sich häufig eine große Menge sensibler Daten entwenden – darunter Namen und Anschriften sowie Zahlungsdaten von Kunden, die sich zum Beispiel im Darknet zu Geld machen lassen. Zwei aktuelle Beispiele: Im Dezember 2022 wurde ein deutscher Versandhandel für Büro-, Lager- und Betriebseinrichtungen Opfer einer Cyberattacke. Das Unternehmen informierte seine Kunden daraufhin, dass bei dem Angriff auch persönliche Kontaktdaten entwendet wurden. Ebenfalls 2022 wurde der Online-Shop eines Buchhändlers mit einem sogenannten Brute-Force-Angriff attackiert. Dabei erhielten die Angreifer Zugriff auf eine „mittlere fünfstellige Zahl“ von Nutzeraccounts. Unternehmen sind im Rahmen der Datenschutz-Grundverordnung (DSGVO) dazu verpflichtet, die Datenschutzbehörden und ihre Kunden über den Diebstahl sensibler Daten zu informieren.

Gravierende Sicherheitslücken in Shopsystemen

Viele Online-Anbieter setzen auf Shopsysteme von der Stange. Doch die bieten häufig keinen ausreichenden Schutz vor Cyberangriffen. Das hat eine Studie des Bundesamtes für Sicherheit in der Informationstechnik ergeben. Getestet wurden einige der meistgenutzten Systeme in Deutschland. Kernergebnis: In jeder der zehn untersuchten Lösungen, ob Open Source oder proprietär, stand alone oder CMS-Plugin, fanden sich Schwachstellen. Diese können Cyberkriminellen unter anderem die Abschöpfung von Verbraucherdaten aus Formularfeldern im Shop ermöglichen.

Als Betreiber eines Online-Shops ist man nicht nur im Sinne seiner Kunden verpflichtet, diese Sicherheitslücken nach bestem Wissen und Gewissen zu schließen, sondern auch im eigenen Interesse als Unternehmer: Neben beträchtlichen Reputationsschäden kann ein Datendiebstahl bei nachweislichen Verstößen oder Fahrlässigkeit auch hohe Bußgelder der zuständigen Aufsichtsbehörde nach sich ziehen.

Doch welche Schritte kann man als Unternehmer neben grundlegenden Maßnahmen zur IT-Sicherheit ergreifen, um seinen Online-Shop bestmöglich vor Cyberattacken zu schützen? Mehr dazu lesen Sie in unseren Tipps.

7 Tipps für einen sicheren Online-Shop

https-Verschlüsselung aktivieren

Die Verschlüsselung einer Datenverbindung zwischen Anbieter und Nutzer sollte heutzutage Standard sein. Mithilfe des Algorithmus TLS (für „Transport Layer Security“) wird verhindert, dass sensible Daten – etwa bei der Übertragung durch ein Formular – auf dem Weg zu ihrem rechtmäßigen Empfänger von Dritten ausgelesen werden können. Eine korrekt verschlüsselte Verbindung wird in der Adresszeile des Webbrowsers meist durch ein Vorhängeschloss symbolisiert, die volle Adresse beginnt in diesem Fall mit der Zeichenfolge „https“. Um ihre Website zu verschlüsseln, müssen Anbieter ein entsprechendes Zertifikat bei einem darauf spezialisierten Anbieter erwerben. Hochsensible Informationen wie Passwörter sollten stets mit einem aktuellen Algorithmus verschlüsselt auf dem Server hinterlegt werden – niemals im Klartext.

Login-Versuche begrenzen

Cyberangriffe wie die eingangs erwähnte Brute-Force-Attacke auf eine Online-Buchhandlung basieren auf einer Vielzahl von Login-Versuchen, bei denen systematisch zahlreiche Kombinationen von Nutzername und Passwort durchprobiert werden. Limitiert der Shopanbieter die maximale Zahl falscher Passworteingaben, laufen solche Attacken ins Leere. Der zugehörige Account wird dann meist gesperrt und ist ohne manuelle Aktion des Inhabers nicht mehr nutzbar. Häufig lässt sich diese Einstellung mit wenigen Klicks im Shop-Backend konfigurieren.

Sichere Passwörter vorschreiben

Zu den häufigsten Schwachstellen in Online-Shops gehört laut BSI-Studie eine ungenügende Passwortrichtlinie. Unsichere Passwörter, die beispielsweise nur wenige Zeichen lang sind, keine Sonderzeichen oder Ziffern beinhalten, sind leicht maschinell zu knacken. Sofern den Kunden die Nutzung eines sicheren Passworts mithilfe einer entsprechenden Richtlinie vorgeschrieben werden kann, sollten Shopbetreiber in jedem Fall davon Gebrauch machen.

Zwei-Faktor-Authentisierung aktivieren

Bei Online-Zahlungen ist sie bereits Pflicht: Die sogenannte starke Authentifizierung, auch als Zwei- oder Multi-Faktor-Authentisierung bezeichnet, verringert das Risiko eines missbräuchlichen Zugriffs auf Kundenprofile im Online-Shop beträchtlich. Zum Log-in ist dabei neben einem Passwort auch ein separates Gerät notwendig, auf dem zum Beispiel ein einmalig verwendbarer PIN-Code generiert wird. Eine Multi-Faktor-Authentisierung gehört noch nicht bei allen Shopsystemen zum Funktionsumfang.

Captchas einbinden

Auch die „Captcha“ genannte Anwendung stellt einen wirksamen Schutz gegen automatisierte Log-in-Versuche dar: Sie stellt sicher, dass der Zugriff tatsächlich durch einen Menschen und nicht maschinell erfolgt. Vor der Anmeldung wird der Nutzer dabei zum Beispiel zur korrekten Eingabe einer verfremdet dargestellten Zeichenfolge aufgefordert – oder er muss alle Fotos anklicken, die einen bestimmten Gegenstand zeigen, etwa eine Verkehrsampel. Achtung, DSGVO: Die Einbindung eines Captchas erfordert in der Regel mindestens eine Anpassung der Datenschutzerklärung. Das bekannte Google-Produkt „reCaptcha“ ist nach Einschätzung von Experten sogar ausschließlich nach vorheriger Einwilligung einsetzbar.

Ausführung von Fremdcode verhindern

Spezielle Eingaben in Formularfelder eines Online-Shops können es Kriminellen ermöglichen, Schadcode auf dem Server auszuführen – so geschehen Anfang 2022 über das von einem deutschen Computerhersteller genutzte Shopsystem. Durch die Ausnutzung einer sogenannten Stored-XSS-Lücke waren Adressdaten von Shopkunden für Unbefugte zugänglich. Ein wichtiger Schritt zur Verhinderung eines derartigen Angriffs besteht darin, die Formulareingaben vor der Übertragung auf ihre Gültigkeit zu prüfen (Validierung). Problematische Inhalte – beispielsweise Eingaben im HTML-Format – können dann blockiert oder durch eine sogenannte Maskierung unschädlich gemacht werden. Auch die Implementierung einer strengen „Content Security Policy“ (CSP) kann die Ausführung eingeschleuster Schadskripte unterbinden. Die CSP wird im HTML-Code der Website deklariert.

Regelmäßig Updates durchführen

Softwarehersteller bemühen sich in der Regel, bekannte Schwachstellen in ihren Produkten durch Updates zu beheben. Aus diesem Grund sollten Betreibende von Online-Shops die Aktualisierung ihrer Shopsoftware gegebenenfalls nicht auf die lange Bank schieben. Dasselbe gilt übrigens auch für das Website-CMS (z. B. WordPress). Produkte, für die der Hersteller keine Updates und Sicherheits-Patches mehr anbietet (End-of-Life-Produkte), stellen ein hohes Sicherheitsrisiko dar und sollten nicht verwendet werden.

Alle Angaben ohne Gewähr; Stand: August 2023
Bildnachweis: iStockphoto / gorodenkoff

Unsere Produktempfehlungen

Für Geschäftskunden

Sie möchten in Ihre Firmen-IT investieren und dabei die IT-Sicherheit verbessern? Wir unterstützen Sie bei der Finanzierung.

Zum Business Investitionsdarlehen

Für Firmenkunden

Sie möchten Ihre Unternehmens-IT ausbauen oder auf den neuesten Stand bringen? Wir unterstützen Sie bei der Finanzierung.

Zur Investitionsfinanzierung