Security im E-Commerce
In vier Schritten zu einer sicheren E-Commerce-Lösung - Wir zeigen, wie Sie Ihren Kunden von Beginn an ein sicheres Einkaufserlebnis bieten.
Es war vermutlich nur ein einfacher Entwicklungsfehler, der im Dezember 2015 bei eBay zu einer Sicherheitslücke führte, die das Potenzial hatte, Kundenpasswörter während des Anmeldeprozesses abzufangen. Die Folgen von Hackerangriffen, die sich solche Pannen zunutze machen, können jedoch erheblich sein – und für den Nutzer äußerst unangenehm: SPAM-Mails, Phishing oder gestohlene Kreditkartendaten sind nur einige davon.
In vier Schritten zu einem sicheren Online-Shop
Und das Beispiel eBay zeigt: Auch große Player bleiben davon nicht verschont. Bis zu 87 Prozent aller Websites weisen mittlere, knapp 50 Prozent sogar schwerwiegende Sicherheitslücken auf. Der dadurch jährlich entstehende Schaden liegt weltweit bei über 400 Milliarden US-Dollar. Dem Unternehmen droht bei einem Datenverlust nicht nur ein erheblicher Imageverlust. Da Online-Händler für die Sicherheit der Kundendaten verantwortlich sind, müssen sie bei Datenlecks auch entsprechend dafür haften. Prozesse und Methoden, die auf die Sicherheit einer E-Commerce-Lösung abzielen, sind für die Händler deshalb unerlässlich. Allerdings beschränken sich diese nicht auf eine bestimmte Phase in einem Projekt, sondern ziehen sich durch die gesamte Laufzeit bis hin zum Tag der Livestellung und Inbetriebnahme. Sicherheit ist ein unverzichtbarer Teil des Prozessdesigns, Teil der Implementierung, Teil der Systeminfrastruktur und Teil des Betriebs. Besonders beachten sollten Sie dabei folgende Punkte:
1. Definieren Sie klare Anforderungen
Es klingt banal, aber es ist so wichtig: Sicherheit beginnt bereits vor dem Projektstart. Und jeder Web-Shop hat dabei andere Anforderungen. In einem B2B-Shop, der etwa technische Dokumente gegen Gebühr zum Download zur Verfügung stellt, ist es natürlich extrem wichtig, die Identifikation oder Registrierung der Kunden und den Zugangsschutz sehr sicher zu konzipieren. Für einen Telko-Anbieter, der alle seine Produkte als Self-Service in einem Portal anbietet, ist es genauso von entscheidender Bedeutung, dass nur der berechtigte Nutzer auf seine Vertrags- und Rechnungsdaten Zugriff hat. Obwohl es bei beiden Beispielen um die Implementierung eines Zugriffsschutzes geht, sind die zugrunde liegenden Anforderungen unterschiedlich. Diese müssen bereits in der „Requirements-Engeneering“-Phase erfasst werden und bilden die Basis für die spätere Umsetzung.
2. Setzen Sie Standards
„Secure Coding Standards“ helfen den Entwicklern, sichere Codes fürs Web zu schreiben. Im Idealfall greifen sie dabei auf sicherheitsgetestete Frameworks zurück. Obwohl diese präventive Investition in die Sicherheit der Web-Anwendung immens wichtig ist, gibt es noch immer keinen anerkannten Industriestandard oder eine Norm, die die Sicherheit von Web-Applikationen definiert. Daher muss sich jede Agentur oder jeder Online-Händler selbst in die Verantwortung nehmen und ein eigenes Portfolio von Standards in den Bereichen Qualitätssicherung, Sicherheit und Testing erarbeiten.
Wir haben deshalb bereits vor einigen Jahren begonnen, die Best-Practices oder Empfehlungen von Experten, beispielsweise dem Open Web Application Security Project (OWASP), zu sammeln, damit nicht jeder Auftraggeber selbst einen Standard suchen muss und um so wirklich messbare Sicherheit bieten zu können.
3. Suchen Sie Ihre Sicherheitslücken
Darüber hinaus setzen wir am Ende einer jeden Entwicklung auf einen „Web Application Security Test“, der prüft, ob unsere Security Standards tatsächlich eingehalten werden. Hierzu arbeiten wir zum einem mit zertifizierten „Ethical Hackers“ zusammen – also speziell ausgebildeten IT-Experten, die das Wissen eines Hackers besitzen, aber eben für uns tätig sind. Zum anderen geschieht dies mit Hilfe verschiedener Software-Tools (wir setzen zum Beispiel IBM AppScan ein), die Angriffe auf die Applikation simulieren. Jede verdächtige Reaktion der Applikation wird dabei dokumentiert und muss später manuell verifiziert oder falsifiziert werden. Am Ende steht ein Bericht, der die gefundenen Sicherheitslücken dokumentiert und technische Hilfestellungen bereitstellt, die bei der Behebung des Problems unterstützen.
Betrachten Sie dabei jede Sicherheitslücke, die Sie in dieser Phase entdecken, nicht als einen Fehler der Programmierer, sondern als Erfolg! Immerhin haben Sie diesen noch in der Entwicklungsphase entdeckt. Denn je später ein Fehler ans Licht kommt, umso teurer wird dessen Behebung.
4. Betreiben Sie kontinuierliches Monitoring
Nicht beeinflussbare Faktoren wie die Ausführungsumgebung (Browser), verschiedene Devices (Desktop und Mobile) und heterogene Systeme stellen E-Commerce-Lösungen vor nicht immer im Vorfeld planbare Herausforderungen. Punktelle Sicherheits- und Penetrationstests, bei denen Experten (z.B. zertifizierte Ethical Hacker) gezielt Angriffsversuche durchführen, helfen dabei, diese Faktoren im Blick zu behalten. Denn die Zahl der neu entdeckten Sicherheitslücken und die Wege, wie Lücken ausgenutzt werden können, wächst täglich.
Außerdem besteht die Option, zusätzlich eine „Web Application Firewall“ (WAF) zu installieren. Diese kontrolliert jede eingehende Anfrage, bevor sie an die eigentliche Web Application geleitet wird. Dafür muss eine WAF ein komplexes Regelwerk besitzen, das individuell an die jeweilige Web Application angepasst ist. Verdächtige Anfragen werden sofort abgewiesen und unter vorher definierten Bedingungen könnte ein Alarm ausgelöst werden (etwa durch eine E-Mail an einen Administrator, wenn pro Sekunde von einer IP-Adresse 100 Requests gesendet werden, die den Code einer SQL-Injection enthalten). Da eine WAF ein unabhängiges System ist, gelangen Angriffsversuche erst gar nicht in die Nähe der zu schützenden Applikation bzw. deren zu schützenden Daten.
Von Beginn an sicher sein
Der Grundstein für eine sichere E-Commerce-Lösung muss also bereits bei der Planung gelegt werden – noch bevor die Software tatsächlich zum Einsatz kommt. Außerdem ist die regelmäßige Prüfung der Software sowie daraus entstehende Aktualiserungen unumgänglich und unbedingt notwendig. Nur so ist es möglich, die Software auf dem neuesten Stand zu halten und ihre Sicherheit gewährleisten zu können.
Dieser Artikel wurde auf e-commerce-magazin.de veröffentlicht.