… und wie sie sich schließen lassen
Zu den Risiken, die Online-Händler gegenüber stationären Händlern exklusiv haben, gehören Sicherheitslücken im Shopsystem. Sie machen den Shopbetreiber erpress- und seinen Auftritt sabotierbar, stellen Kundendaten bloß oder machen den Shop zum Werkzeug von Kriminellen. Fünf der häufigsten und gefährlichsten Sicherheitslücken stellen wir ihnen in dieser Übersicht vor:
1. Vernachlässigte Aktualisierungen von Shopsystem und/oder Server
Keine einigermaßen komplexe Software ist vollständig fehlerfrei. Sicherheitsexperten machen immer wieder Lücken in Shopsystemen oder der zugrunde liegenden Basissoftware – meist dem Webserver – publik, nachdem sie die Entwickler informiert und diese Updates oder Patches veröffentlicht haben. Die Betreiber von Shops müssen diese Updates oder Patches in vielen Fällen allerdings von Hand einspielen – wenn sie das vernachlässigen, werden ihre Shops anfällig für Angriffe aller Art, und es ist nur eine Frage der Zeit, bis Cyberkriminelle solche Shops angreifen oder für ihre Zwecke missbrauchen.
Die Apache-Versionen 2.2.0 bis 2.2.19 etwa sind anfällig für DoS-Attacken, selbst wenig begabte Kriminelle können Shop-Systeme lahmlegen, die auf Servern aufsetzen, die solche Lücken aufweisen.
Gegenmaßnahme: Etablieren Sie eine feste Routine, nach der Sie die Aktualität Ihrer Systeme prüfen, etwa „jeden zweiten Dienstag im Monat“, und handeln Sie sofort, wenn Sie Handlungsbedarf entdecken.
2. Session ID statt Session Cookie
Einige ältere Online-Shops halten die Identität ihrer Kunden nicht in Session-Cookies, sondern, meist durch Url-Rewriting, in Session IDs fest, die Bestandteil der Url werden. Leitet ein angemeldeter Kunde nun zum Beispiel die Shop-Url zu einem bestimmten Produkt an einen Bekannten weiter, oder teilt er sie gar über ein soziales Netzwerk, teilt er damit auch die Session-ID, und andere, die den Shop über diese Url aufrufen, erscheinen dort unter seiner Identität, können seine persönlichen Daten einsehen und sogar in seinem Namen Bestellungen aufgeben.
Gegenmaßnahme: Je nach Shopsystem kann die Session-ID auch ohne “Mitschleifen” über die URL gespeichert werden. Dies kann durch Hidden Fields oder Cookies realisiert werden.
3. Ungesicherte Möglichkeit, Produkte per E-Mail zu empfehlen
Praktisch jedes Shopsystem bietet den Kunden eine Möglichkeit, Produkte per E-Mail weiter zu empfehlen. In vielen Fällen öffnet das Shopsystem dazu einfach den E-Mail-Client des Nutzers. Manchmal bietet es aber auch ein eigenes Formular, in das der Kunde die Adresse des Empfängers und einige individuelle Grußworte eintragen kann. Ein solches Formular öffnet mitunter dem Missbrauch Tür und Tor: Mit Hilfe einer entsprechenden Software lassen sich über eine solche Empfehlungsfunktion abertausende von E-Mails an alle möglichen Empfänger verschicken, ohne die Identität des Absenders zu enthüllen. Spamversender lieben solche Formulare, und nutzen sie, bis die Absender-Adresse des Shopbetreibers in allen Spamfiltern als verbrannt gilt.
Gegenmaßnahme: Ersetzen Sie das Formular durch eine Funktion, die den auf dem Gerät des Benutzers verwendeten E-Mail-Client verwendet – Branchenriese Amazon fährt offenbar sehr gut damit. Wenn das keine Option für Sie ist, sichern Sie das Formular über ein CAPTCHA oder ein für menschliche Augen unsichtbares zusätzliches Formularfeld ab. Füllt ein Bot dieses zusätzliche Formularfeld, kann das Shopsystem die Nachricht ohne weiteres verwerfen.
4. Fehler bei der Bestellbestätigung
Nach jeder Bestellung schickt ein Onlineshop-System eine E-Mail als Bestellbestätigung an den Kunden. Welche Informationen darin stehen, kann der Shopbetreiber weitgehend selbst konfigurieren. Ein häufiger Fehler: In der Bestätigungs-E-Mail wiederholt der Shopbetreiber die Zahlungsinformationen und andere persönliche Daten seines Kunden. Damit konterkariert der Shopbetreiber jede in seinem Shopsystem verwendete SSL-Verschlüsselung und setzt die persönlichen, sensiblen Daten seines Kunden einem unkalkulierbaren Risiko aus.
Gegenmaßnahme: Maskieren Sie alle personenbezogenen Daten in der E-Mail-Bestätigung, die das System an Ihre Kunden schickt. Von IBANs oder Kreditkartendaten sollten beispielsweise nur die jeweils ersten und letzten paar Stellen in der E-Mail genannt, alle anderen Ziffern durch ein X ersetzt werden.
5. Verzicht auf sichere Kundenpasswörter
Kunden, die ein neues Benutzerkonto in einem Onlineshop anlegen, können gewöhnlich ihr Passwort frei wählen. Gelingt es Kriminellen jedoch, die Zugangsdaten von Shopkunden zu erbeuten, fällt das auf den Shopbetreiber zurück – im mindesten Fall hat er die Scherereien, wenn Cyberkriminelle unter solchen erbeuteten Identitäten Bestellungen auslösen. Kriminelle können allzu einfache Passwörter erraten oder einfach alle Passwörter und Passwort-Kombinationen aus Wörterbüchern durchprobieren. Deshalb sollten Shopsysteme beim Anlegen von Kundenkonten nur sichere Passwörter zulassen.
Gegenmaßnahme: Setzen Sie in ihrem Shopsystem ein Plugin ein, das Ihre Kunden zwingt, sichere Passwörter zu verwenden. Für Shopware etwa gibt es das Plugin „Sicheres Passwort bei der Registrierung“ (https://store.shopware.com/cnf2423031599859/sicheres-passwort-bei-der-registrierung.html), das ein mindestens acht Zeichen langes Kennwort aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthält. (dme)
