GlobalSign Blog

04 Mai 2017

So sichern Sie eine E-Commerce Website

Stellen Sie sich vor, Sie führen einen kleinen Laden in einem Einkaufszentrum.

Welche Sicherheitsvorkehrungen treffen Sie mindestens?

Bestimmt haben Sie Schlösser an den Türen, Überwachungskameras und eine Alarmanlage – oder so ähnlich.

Die meisten Sicherheitsvorkehrungen sind sichtbar und Leute können sie nachvollziehen und verstehen.

Aber was, wenn Sie ein Online-Händler sind? Ihr Geschäft wird nicht von herkömmlichen Ladendieben heimgesucht. Eher handelt es sich um gewiefte Hacker, die die Oberhand haben, wenn es um Schwachstellen von Online-Shops geht.

Einfach gesagt: sie sind ständig auf der Suche nach Schwachstellen, die sie ausnutzen können.

Aber sie klauen nicht nur wie herkömmliche Diebe ein paar Dinge, um diese auf dem Schwarzmarkt zu verkaufen.

Sie sind auf der Suche nach etwas viel Wertvollerem. Daten! Von Kreditkarteninformationen bis hin zu Kunden-IDs; solange Sie Ihren E-Commerce Shop und Ihr Unternehmen nicht ausreichend schützen, riskieren Sie deren Sicherheit.

Um Ihnen zu helfen haben wir die folgenden, einfachen Tipps zusammengestellt, die Ihnen beim Schutz Ihrer E-Commerce Seite und Ihres Unternehmens helfen sollen…

Die Auswahl an E-Commerce Hosting-Angeboten

Die Entwicklung Ihrer Website war bestimmt nicht billig. Das Design, das Programmieren, die Optimierung und das Promoten einer Website kostet alles Geld.

Aber würden Sie all das für eine billige Hosting-Option aufs Spiel setzen?

In der Tat haben Sie heutzutage die Qual der Wahl, wenn es ums Hosting geht. Aber lassen Sie sich nicht von billigen Angeboten hereinlegen. Oft sparen Sie an der falschen Stelle.

Es ist fast so, als würden Sie einen Rennwagen bauen, aber statt Reifen Fahrradräder nutzen.

Falls Sie Ihren Hosting-Dienst mit hunderten oder tausenden von Benutzern teilen, befinden Sie sich sehr wahrscheinlich in ‚lauter Gesellschaft‘. Und niemand mag laute Nachbarn. Sie sind unverschämt, rücksichtslos und bescheren der Umgebung einen schlechten Ruf.

Falls Sie einen Server nach dem Motto ‘Nutzen Sie so viel sie wollen für nur einen Euro’ haben, woher wissen Sie dann ob Ihr Host in Sicherheit investiert? Unwahrscheinlich. Es ist wahrscheinlich, dass die IP Ihres Servers dauernd auf den Blacklists erscheint.

Für seriöse E-Commerce Händler ist der Virtual Private Server die wohl beste Option. Damit kann die Balance zwischen skalierbarer Leistung und vertretbaren Kosten und ausgezeichnete Optionen zur Anpassung von Sicherheit geboten werden.

Es ist leicht Sicherheit für Ihren Server einzuführen und falls Sie es nicht alleine schaffen, bieten seriöse Anbieter normalerweise einen Managed Server-Dienst an.

Zu HTTPS wechseln

Bis vor kurzem wurde das sichere HTTPS mit einem SSL Zertifikat meist nur für die Zahlungsschritte auf Ihrer Website genutzt. Das ist natürlich nach wie vor der Fall, aber Website-Besitzer entscheiden sich nach und nach dafür ihre ganze Website zu sichern.

Hauptsächlich war Google dafür ausschlaggebend. 2014 hat Google bekannt gegeben, dass sie verstärkt Sicherheit unterstützen und HTTPS ins Suchmaschinenranking miteinbeziehen. Dies wurde von Browsern weiter unterstützt, indem diese in Zukunft HTTP-Seiten benachteiligen. Google hat kürzlich langfristige Pläne bekanntgegeben, alle HTTP-Seiten als unsicher anzuzeigen und Mozilla hat 2015 ähnliches verkündet.

Falls Sie zu HTTPS wechseln wollen, müssen Sie zunächst ein SSL Zertifikat auswählen. Sie können ein SSL Zertifikat von einem seriösen SSL Anbieter erwerben.

Normalerweise erhalten Sie Hilfe bei der Installation des SSL Zertifikats, aber dann müssen Sie ein paar Schritte durchführen, um Ihre Seite auf HTTPS umzustellen, wie zum Beispiel interne Links umwandeln, 301-Umleitung einrichten und Links in E-Mail-Transaktionen abändern.

Im Großen und Ganzen ist ein SSL Zertifikat der Mindestpreis, wenn es um Online-Sicherheit geht und es scheint in Zukunft immer mehr an Bedeutung zu gewinnen, je mehr Browser sich gegen HTTP Seiten wenden.

Wählen Sie eine sichere Plattform und sichern Sie diese auch in Zukunft

Es gibt heutzutage eine weite Auswahl an E-Commerce Plattformen. Sie brauchen sowohl eine E-Commerce Plattform, die Ihren gewünschten Anforderungen entspricht, als auch einen guten Ruf bei Sicherheit und regelmäßige Updates.

Tools wie MagentoWooCommerce und PrestaShop sind alles beliebte E-Commerce Plattformen, aber mit steigender Beliebtheit steigt auch das Risiko. Hacker sind ständig auf der Suche nach Schwachstellen in diesen Tools, und so werden regelmäßig Sicherheitsupdates herausgegeben.

Es ist dabei wichtig zu bedenken, dass eine Seite sobald sie live ist, weiterhin gepflegt und auf dem aktuellen Stand gehalten werden muss. Diese Verantwortung kann man nicht einfach von einem Website-Entwickler, Designer oder vom Web Hosting Anbieter erwarten.

Im Endeffekt sind Sie für die Sicherheit verantwortlich, auch wenn Sie kein technischer Experte sind. Es ist Ihre Aufgabe jemanden in Ihrem Team zu finden, egal ob intern oder über einen Anbieter oder Partner, der sich um Ihre Sicherheit kümmert.

Prüfen Sie die Website Ihres Software-Anbieters regelmäßig auf Updates und fragen Sie Ihren Sicherheits-Experten, ob diese für Ihre Website eingeführt wurden.

Am sichersten ist jedoch wohl eine umfassende E-Commerce Sicherheits-Anwendung, die Sie nicht nur vor den häufigsten Schwachstellen schützt, sondern auch prüft ob Sie die aktuellste Version haben.

Sichern Sie Ihren Admin-Bereich

Einer der einfachsten und billigsten Schritte Ihre Website-Sicherheit zu verbessern ist es Ihren Admin-Bereich zu sichern.

Falls Sie eine bekannte E-Commerce Plattform wie Magento oder WooCommerce (auf WordPress basierend) nutzen, nutzen Sie einen Standard-Admin-Bereich. Indem Sie dies ändern, verhindern Sie die faulen Hacker, die nur auf der Suche nach einem leichten Ziel sind.

Ein wichtiger Punkt ist es Ihren Administratoren-Benutzernamen zu ändern. Hacker suchen nach einfachen Zielen – wenn Ihr Standard-Benutzername z.B. ‚Admin‘ lautet, machen Sie es Hackern leicht. Suchen Sie originelle Logindaten, die schwer zu erraten sind.

Sie können den Zugriff auf den Admin-Bereich auch einschränken, indem Sie eine Whitelist mit IP-Adressen erstellen, die nur von Ihrem Server-Administratoren geändert werden kann, so dass nur bekannte IP-Adressen Zugriff auf Ihren Admin-Bereich haben.

Erstellen Sie zudem Benachrichtigungen, die an den Administrator weitergegeben werden, wenn bestimmte Fälle eintreten, wie eine bestimmte Anzahl an fehlgeschlagenen Login-Versuchen oder Login-Versuche von unbekannten IP-Adressen.

Dies sind erstaunlich einfache und billige, aber effektive Vorkehrungen.

Erstellen Sie regelmäßig Backups

Stellen Sie sich vor Ihre Website wurde gehackt!

Ein schlechtes Gefühl – der Tag ist im Eimer.

Aber noch schlimmer wird es Ihnen gehen, wenn Sie kein Backup Ihrer Seite haben! Und Sie dachten der Tag kann nicht mehr schlimmer werden.

Und vergessen Sie nicht, Datenverlust kann auch durch Versagen von Hardware oder menschlichem Versagen vorkommen.

Man kann nie vorsichtig genug beim Backup von Daten sein. Und denken Sie daran – es ist Ihre Verantwortung.

Gehen Sie nicht davon aus, dass Ihr Hosting-Anbieter oder Ihr Web-Designer sich schon darum kümmern wird. Ihre Daten gehören Ihnen und sind daher auch Ihre Verantwortung.

Sie können manuell ein Backup Ihrer Daten erstellen, aber Sie laufen Gefahr, dass Sie es vergessen oder es einfach nicht mehr so regelmäßig wie geplant machen, und jetzt ist leider das aktuellste Backup doch schon zwei oder drei Monate alt. Wenig hilfreich!

Die beste Lösung ist ein voll automatisierter Backup-Dienst. Sie können dabei sicher sein, dass Sie ein Backup Ihrer Daten haben, und es sicher und aktuell ist.

Speichern Sie nie Zahlungsinformationen Ihrer Kunden

Manche E-Commerce geben Ihnen die Möglichkeit Kreditkarteninformationen von Kunden aufzunehmen und zu speichern. Sie sollten dies NIEMALS tun.

Es ist nicht nur verpönt, sondern kann Ihnen auch hohe Bußgelder einfangen, falls Ihr System angegriffen wird.

Im Idealfall sollten Sie die Zahlungsgateways von Anbietern, die dies speziell anbieten nutzen und Zahlungen nicht direkt über Ihre Seite anbieten. Sie bieten die höchsten Sicherheitsvorkehrungen für vertraulichen Daten.

Falls Sie Ihr Geschäft gerade starten und ein kleines Budget haben, bieten sich Dienste wie PayPal an. Sie können sofort loslegen und zusätzlich zu den vielen anderen Vorteilen, nutzen viele Kunden PayPal lieber als andere Zahlungsmöglichkeiten, und es ist daher gut ihnen die Auswahl zu geben.

Außerdem ist es empfohlen sich an die Akkreditierung ‘Payment Card Industry Data Security Standard’ (PCI DSS) zu halten.

Um PCI-DSS zu erfüllen muss Ihre Website die Integrität von finanziellen Kundendaten sicher stellen und Sie müssen starke Zugangskontrollen auf Ihrer gesamten Website vorweisen.

Nutzen Sie eine GeoLocation Anti-Betrug Software

Hacking beschränkt sich nicht nur auf die lokalen Umgebungen – es ist ein globales Problem.

Wenn Kartendetails in einem Teil der Welt gestohlen wurden, kann es sein, dass die Details elektronisch ans andere Ende der Welt geschickt werden und dort für Online-Betrug verwendet werden.

Mal davon abgesehen, dass Sie Umsatz verlieren können, indem Sie Produkte aus falschen Bestellungen verschicken und daher mehr Rückbuchungen erfolgen, das letzte was Sie wollen ist als einfaches Ziel für Betrüger bekannt zu sein.

Sie können das Problem mit einem GeoLocation Anti-Betrug Tool angehen. Mit dem Tool erhalten Sie Betrugs-Scorings in Echtzeit, die das Level an Risiko der jeweiligen Transaktion einschätzen.

Der Algorithmus prüft eine Anzahl an Kriterien rund um die IP-Adresse der Bestellung und berücksichtigt dabei beliebte Verhüllungsmethoden, wie die Benutzung von Proxies. Dies wird mit einer Datenbank von Milliarden an Transaktionen abgeglichen, um eine vereinheitliche Betrugsrisikobewertung abzugeben.

Falls Sie unsicher sind, können Sie am Ende entweder die Bestellung erstatten oder weitere manuelle Checks durchführen.

Und damit haben wir eine gute Überleitung zum nächsten Thema…

Erstellen Sie manuelle Sicherheitsrichtlinien & -vorgänge

Unterschätzen Sie nie wie effektiv beständige manuelle Vorgänge sein können.

Nehmen wir nochmal das Beispiel aus dem letzten Abschnitt: Sie erhalten eine Bestellung mit hoher Risikobewertung, aber Sie denken die Bestellung ist ok.

Was tun Sie oder Ihr Team? Sie können a) Ihrem ‚Bauchgefühl‘ folgen oder b) weitere Nachforschungen anstellen.

Wir empfehlen b). Und hier kommen Ihre Sicherheitsrichtlinien & -vorgänge ins Spiel.

Auch wenn Sie bei Vorgängen und Abläufen gähnen müssen; oft kann es so einfach wie ein Anruf beim Kunden auf der angegebenen Nummer sein. Falls der Kunde nicht antwortet, können Sie eine E-Mail schicken und zwei Arten von Identifizierung anfordern.

Sie müssen nur die richtige Methode für Ihre Umstände finden.

Sie können diese aber auch auf Dinge wie Passwortrichtlinien und physische Sicherheit ausweiten, so wie gestohlene oder verlorene Dinge wie Laptops, mit denen auf Ihr System zugegriffen wird.

Mehrlagige Sicherheit

Es gibt keine Zauberpille mit der Ihre Seite sicher wird. Daher ist es im Idealfall gut, wenn Sie verschiedene Level an Sicherheit nutzen.

Beginnen Sie zum Beispiel mit einer Firewall. Sie können eine herkömmliche Firewall nutzen oder eine wFirewall über eine Web-Anwendung, je nach Budget. Sie dienen als ersten Schutz gegen die häufigsten Angriffe, wie SQL Injection oder Cross-Site Scripting.

Mit einem Content Delivery Network (CDN) können Sie Ihre Seite verbessern. Ihre Website-Seiten werden dabei auf verschiedenen geografisch verstreuten Servern gespeichert.

CDN bietet in Bezug auf Sicherheit den Vorteil, dass es sich bösartigen Traffic merkt und verhindert, dass Ihre Seite angegriffen wird.

Außerdem kann ein CDN Distributed Denial of Service Angriffe (DDoS) abwehren.

Alternativ dazu können Sie DDoS-Angriffen auf Ihren Server  auch mit kostenloser Opensource Software vorbeugen.

Zusammenfassung

Sicherheit ist zwar nicht kostenlos, aber trotzdem billiger als gehackt zu werden.

Es gibt keine einheitliche Lösung, die eine E-Commerce Website einwandfrei und sicher macht.

Am besten sind Lösungen geeignet, die die richtige Auswahl bei der Software und Hosting Plattformen treffen und alles aktuell und sicher halten.

Aber stellen Sie sich auch auf schlechte Nachrichten ein. Erstellen Sie automatische Backups Ihrer Website.

Ein Ansatz auf mehreren Ebenen mit verschiedenen Tools macht Sinn, aber vergessen Sie nicht die guten alten niedergeschriebenen Richtlinien, die eine wichtige Rolle spielen, um Ihre Website sicher zu machen.

Artikel teilen