Hackerangriffe, Malware, Viren und andere Bedrohungen aus dem World Wide Web kosten Online-Shop-Besitzer jährlich viel Zeit und Geld. Da die Webserver für potenzielle Käufer leicht erreichbar sein sollen, stehen sie im Internet an besonders exponierter Stelle und sehen sich damit vielfältigen Risiken ausgesetzt.
Erst kürzlich wurde bekannt, dass circa 8.000 Installationen des Shop-Systems Magento mit einem Schadcode infiziert sind. Dieser schiebt den Besuchern der Webseiten ein Exploit-Kit unter, über welchen die Drahtzieher Zugriff auf Logins und Finanzdaten haben. Es gibt jedoch zahlreiche Methoden zur Verbesserung der Serversicherheit, mit denen Online-Händler sich und ihr Angebot vor derartigen Angriffen schützen können.
Wie lässt sich die Serversicherheit direkt im Unternehmen erhöhen?
Einer der größten Risikofaktoren für die IT-Sicherheit im Online-Handel ist der Mensch, oft sogar der Administrator selbst. Angefangen von falschen Konfigurationen über nicht eingespielte Updates bis hin zum Übersehen oder Ignorieren von Warnmeldungen innerhalb der Log-Dateien können zahlreiche Fehler auftreten, die Sicherheitslücken im System öffnen.
Den besten Schutz der Unternehmens-IT bietet eine klare Aufgabenverteilung. Der Adminzugriff sollte ebenso eine Seltenheit sein wie der Zugriff auf sicherheitsrelevante Dateien. Der Administratorzugang dient lediglich der Ausübung verwaltender Tätigkeiten und sollte keinesfalls zum Surfen im Internet benutzt werden. Nur so lässt sich bei einem etwaigen Befall mit Computerviren deren Verbreitung über angehängte Netzlaufwerke verhindern.
Ein wichtiges Element der Server-Sicherheit ist außerdem das regelmäßige Einspielen von Sicherheitspatches und Systemupdates. Für gewöhnlich schließen diese Updates zuvor bekannt gewordene Sicherheitslücken und verringern damit die Gefahr für Angriffe von außen. Gleiches gilt für die Virenabwehr über ein zentrales Tool, das ebenfalls immer auf dem aktuellsten Stand sein sollte.
Für erfahrene Anwender kann es sich darüber hinaus lohnen, den Server, insbesondere das Dateisystem oder die Log-Dateien regelmäßig auf auffällige Änderungen zu überprüfen. Spezielle Tools helfen dabei, mögliche Serverattacken besser zu erkennen oder die Auswirkungen erfolgreicher Angriffe genauer einzuschätzen.
Unterstützung von außen
Betreibern von Online-Shops fehlt oft das nötige Know-how, um sich selbst ausreichend um die Sicherheit ihrer Server zu kümmern. Hier lohnt es sich, Experten zurate zu ziehen, die entsprechende Dienstleistungen anbieten. Dabei ist prinzipiell zwischen zwei Formen der Betreuung zu unterscheiden.
Im Rahmen der externen Informationssicherheit übernehmen viele IT-Firmen alle anfallenden Aufgaben, ohne gleichzeitig die Infrastruktur zur Verfügung zu stellen. Bei dieser Variante wird die Expertise eingekauft, während die jeweiligen Maßnahmen direkt beim Auftraggeber umgesetzt werden. Diesem obliegt in diesem Fall auch die Anschaffung der IT-Anlagen.
Bei der zweiten Möglichkeit kümmert sich der Auftragnehmer, beim Managed Server beispielsweise der Hoster, um sämtliche Belange. Gemeinsam mit dem Online-Händler erarbeitet er ein geeignetes Konzept und stellt auf Miet- oder Leasingbasis auch die erforderlichen Geräte bereit. Zugleich besitzt er das nötige Wissen, mit dem sich eine angemessene Server-Sicherheit realisieren lässt. Solche Angebote sind vor allem für Shop-Besitzer interessant, die sich keine eigene Hardware anschaffen möchten oder können.
IT-Sicherheitsgesetz - neue Regeln für E-Commerce-Anbieter
Seit dem 25. Juli 2015 sind Betreiber geschäftsmäßiger Telemedien, darunter auch Besitzer von Online-Shops, dazu verpflichtet, unerlaubte Zugriffe und Störungen auf ihrer Webseite durch geeignete Vorkehrungen zu verhindern. Darüber, wie genau diese Pflicht zu erfüllen ist, herrscht jedoch bisher weitgehend Unklarheit. Beispielhaft genannt wird nur der Einsatz "anerkannter Verschlüsselungssysteme", die dem aktuellen Stand der Technik entsprechen müssen.
Eine Ausnahmeregelung greift lediglich dann, wenn die Schutzmaßnahmen für den Shop-Betreiber aus technischen Gründen nicht möglich oder wirtschaftlich unzumutbar sind. Eine technische Unmöglichkeit dürfte allerdings nur in äußerst seltenen Fällen vorliegen.
Online-Händler sollten hier lieber auf Nummer sicher gehen, da bei Zuwiderhandlungen Abmahnungen, hohe Bußgelder und auch Schadensersatzansprüche von Kunden zu erwarten sind, deren Daten entwendet und missbraucht wurden. (bw)