- Anzeigen -


Sie sind hier: Home » Markt » Tipps & Hinweise

TLS-Verschlüsselung und PSD2-Vorbereitung


Einen Online-Shop aufbauen: Fünf unverzichtbare Cyber-Sicherheitsmaßnahmen
Einige Hosting-Anbieter bieten DDoS-Schutz als Teil ihrer Pakete an - Sollte das nicht der Fall sein, sollte man zu einer externen, Cloud-basierten Lösung wechseln



Von Lucy Carney, Webtexterin bei Website Builder Expert

Einen Online-Shop aufzubauen ist eine Erfahrung für sich. Aber neben dem Spaß, den die Umsetzung machen kann, gibt es eine Reihe von Anforderungen zu berücksichtigen. Eine der wichtigsten: Geschäftsprozesse und Kundendaten vor Datenschutzverletzungen zu schützen. Und damit nicht zuletzt auch den Ruf der eigenen Marke. Der Aufbau eines sicheren Online-Shops beginnt bei der Auswahl des richtigen Hosting-Anbieters und endet bei der täglichen Nutzung der Website. Im Wesentlichen sind es fünf Kernbereiche, die man beim Aufbau eines sicheren Online-Shops berücksichtigen sollte:

1. SSL und ein sicherer Hosting-Dienst
Einer der wichtigsten Aspekte beim Aufbau einer Website ist die Wahl eines guten Hosting-Anbieters. Die ist umso wichtiger beim Aufbau eines Webshops, denn über die Website laufen die Zahlungsabwicklungen der Kunden. Ein Hosting-Anbieter speichert die Dateien der Website auf seinen Servern. Er macht jedoch deutlich mehr als eine Website zu "hosten". Der Hoster sichert die Verfügbarkeit der Seite, er federt Spitzen im Datenverkehr ab, sorgt dafür, dass die Performance stimmt und so weiter. Man sollte sich allerdings nicht einfach darauf verlassen, dass ein Hosting-Anbieter automatisch für die Sicherheit eines Online-Shops sorgt. Die führenden Hoster bieten grundsätzlich SSL-Zertifikate (Secure Sockets Layer) an, andere zusätzliche Sicherheitsvorkehrungen wie

>> Firewalls
>> Automatische Backups
>> Schutz vor Hacken
>> Schutz vor DDoS (Distributed Denial of Service)
>> Malware-Erkennung und –Entfernung

SSL-Sicherheit ist allerdings ein absolutes Muss für einen Online-Shop. SSL-Zertifikate verschlüsseln alle Daten, die die Website durchlaufen, wie etwa Anmeldedaten und Zahlungsinformationen. Ohne SSL sind private Daten anfällig für Hackerangriffe und Sicherheitslecks. Man sollte grundsätzlich prüfen welche Art von SSL-Zertifikat im Hosting-Plan enthalten ist. Meistens ist nur eine Basisversion enthalten. Bei einem Online-Shop sollte man Extended Validation (EV) SSL-Zertifikate erwägen. Sie gewährleisten die höchste SSL-Sicherheitsstufe und inklusive der Überprüfung und Verifizierung des Unternehmens.

2. TLS-Verschlüsselung und PSD2-Vorbereitung zum Schutz von Finanztransaktionen
Will man Kundendaten optimal schützen kommt Transport Layer Security (TLS) ins Spiel. Sie ähnelt der SSL-Sicherheit, ist aber eine verbesserte Version. Die Begriffe werden oft beliebig ausgetauscht, da TLS die Daten sichert, die zwischen Kunden und Shop ausgetauscht werden - ähnlich wie das SSL tut.

Einfach formuliert, tut TLS drei Dinge: TLS stellt sicher, dass beide Parteien tatsächlich die sind, als die sie sich ausgeben. TLS überprüft, ob die geteilten Daten fehlerfrei sind. Und TLS verschlüsselt Daten, damit sie sicher von einer Partei an die andere weitergegeben werden können. TLS wird normalerweise zusammen mit dem SSL-Zertifikat installiert, sodass man keine zusätzlichen Arbeiten ausführen muss.

Die Vorbereitung auf die im September in Kraft getretene PSD2-Verordnung kann allerdings einiges an Aufwand mit sich bringen. Die Payment Services Directive soll Verbrauchern Vorteile bringen, Betrugsfälle senken, den Weg für neue Zahlungsmethoden öffnen und sie zugleich sicherer machen. Zahlungsbetrug hat im Laufe der Jahre zugenommen. PSD2 sollte also ein Segen für jeden Online-Shop sein. Wer nur unzureichend vorbereitet ist, für den entwickeln sich die neuen Regelungen aber leicht zum Albtraum.

Das entscheidende Argument für die PSD2 ist ein besserer Schutz von Finanztransaktionen über die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA). Dabei wird 3D Secure 2.0 zur Zahlungsabwicklung verwendet und ein mehrstufiges Identifikationssystem für sämtliche Kunden eingeführt, die im Europäischen Wirtschaftsraum Zahlungen auslösen. Das erhöht die Sicherheit beim Zahlungsverkehr. Die Abwicklung übernimmt die Bank des Kunden. Als Shop-Betreiber muss man sich also keine Gedanken darüber machen, ob der Shop SCA-konform ist.

Das System muss aber für dieses neue mehrstufige Authentifizierungssystem mittels 3D Secure 2.0 vorbereitet sein. Es geht darum, den Weg für sicherere Transaktionen zu ebnen, ohne den Kunden zu viel zuzumuten. PSD2-Zertifikate tragen dazu bei.

3. Schutz vor DDoS-Angriffen
DDoS steht für Distributed Denial of Service. Hacker überfluten eine Site mit Datenverkehr, um den Server zum Absturz zu bringen. In der Folge ist die Seite für Besucher nicht erreichbar. Das schadet Marke und Ruf gleichermaßen. Ganz zu schweigen von den finanziellen Schäden als Folge von Umsatzverlusten. DDoS-Angriffe dienen häufig der Ablenkung, um andere Bereiche in dieser Zeit gezielt anzugreifen.

Einige Hosting-Anbieter bieten DDoS-Schutz als Teil ihrer Pakete an. Sollte das nicht der Fall sein, sollte man zu einer externen, Cloud-basierten Lösung wechseln. Die filtert den Datenverkehr, erkennt Bedrohungen und reagiert auf DDoS-Angriffe. Das sind zahlungspflichtige Optionen, aber die Investition lohnt sich, da DDoS-Angriffe eine reale Bedrohung für Online-Shops sind.

4. Datenschutzgrundsätze der Datenminimierung
Für Unternehmen in der Europäischen Union hat die DSGVO (Datenschutz-Grundverordnung) 2018 viel verändert. Einer der Hauptaspekte der Verordnung ist die Datenminimierung, um das Risiko von Sicherheitsverletzungen und Datenlecks zu verringern.

Datenminimierung heißt einfach, die Menge der erfassten personenbezogenen Daten zu begrenzen und diese nur so lange wie nötig zu speichern. Unabhängig davon, ob die DSGVO in der EU oder die Vorschriften der Federal Trade Commission in den USA eingehalten werden, die Datenminimierung ist ein wesentlicher Bestandteil sicherer Online-Geschäftsprozesse. Wenn Daten gehortet und länger als nötig aufbewahrt werden, steigt die Wahrscheinlichkeit, dass sie anfällig für Datenschutzverletzungen werden. Shop-Betreiber laufen zudem Gefahr, ihren Shop für fehlerhafte, nicht überprüfte Daten zu öffnen. Das kann die Qualität der Datenbanken beeinträchtigen.

Wer nur relevante, wichtige Daten erhebt, schützt Unternehmen und Kunden. Beim Umgang mit den Daten sollte man folgendes berücksichtigen:

>> Sind die Daten für einen bestimmten Zweck erforderlich? Ist es beispielsweise wirklich notwendig, das Geburtsdatum eines Besuchers zu erfassen, wenn er nur ein Produkt kaufen will?
>> Sind genügend Daten vorhanden, um die Aktion abzuschließen? Beispielsweise benötigen Sie eventuell eine Kundenadresse für Versandzwecke oder eine E-Mail-Adresse, um eine Bestätigung zu senden.
>> Werden unkritische Daten gespeichert? Überprüfen Sie die Daten in Ihrem System. Gibt es hier veraltete oder nicht mehr relevante Daten? Falls ja - löschen Sie sie!

Bewahren Sie niemals die Zahlungsdaten Ihrer Kunden auf. In der Regel bearbeitet ein externer Zahlungsdienstleister die Zahlungsdaten. Bitten Sie in diesem Fall nicht um die Zahlungsdaten. Wenn diese Angaben zum Abschließen der Transaktion erforderlich sein sollten, bewahren Sie die Daten nicht auf. Andernfalls sind die Daten einem massiven Risiko ausgesetzt.

Um die Privatsphäre der Kunden zu respektieren, sollte man Daten nur mit deren Erlaubnis erheben und nur nach den unbedingt erforderlichen Informationen fragen. Verifizieren Sie Informationen, wo immer das möglich ist, und verzichten Sie darauf Daten zu horten.

5. Interne Sicherheit
Man kann alles Mögliche tun, um einen Online-Shop zu schützen. Aber interne Fehler öffnen externen Bedrohungen Tür und Tor. Zunächst sollte man sicherstellen, dass nur starke und sichere Passwörter verwendet werden. Verwenden Sie niemals gemeinsame Passwörter. Unterschiedliche Administratoren sollten immer nur eindeutige Passwörter verwenden. Passwort-Manager helfen, die Übersicht zu behalten. Ändern Sie Passwörter regelmäßig und nutzen Sie Zwei-Faktor-Authentifizierung, wo immer das möglich ist.

Das sicherste Passwort ist allerdings nutzlos, wenn die Person, die die Sicherheitsverletzung verursacht, Eigentümer dieses Passworts ist. In Zahlen: im US-Geschäft passieren jeden Tag 2.500 interne Sicherheitsverstöße. Einige Mitarbeiter kompromittieren ihre Arbeitgeber mutwillig. Weitaus häufiger sind Datenschutzverletzungen aber das Resultat eines Versehens. Es wird auf eine Link in einer Phishing-E-Mail geklickt, Anmeldedaten werden von verschiedenen Personen verwendet oder ein Firmen-Laptop geht verloren. Der beste Weg gegen interne Bedrohungen, ist, Mitarbeiter zu schulen, regelmäßige Trainings durchzuführen und zeitnah zu reagieren, wenn eine Datenschutzverletzung vorliegt.

Fazit
Cyber-Bedrohungen werden sich weiterentwickeln, zunehmen und sich verändern. Aber es gibt Möglichkeiten, die Risiken zu minimieren. In einem Ladengeschäft setzen Sie vielleicht eine Videoüberwachung ein. Bei einem Online-Shop muss jeder sich der Risiken bewusst sein, und Maßnahmen ergreifen sie zu managen und zu begrenzen.
(GlobalSign: ra)

eingetragen: 28.10.19
Newsletterlauf: 02.12.19

GlobalSign: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Tipps & Hinweise

  • Sicherheitsmaßnahmen gegenüber Bedrohungen

    Steigende Compliance-Anforderungen und europäische Richtlinien wie die DSGVO oder die NIS-Richtlinie für kritische Infrastrukturen haben die Umsetzung von Cybersecurity-Maßnahmen in Unternehmen bereits wesentlich vorangetrieben. Jedoch erfüllen Unternehmen häufig lediglich die Mindestanforderungen - während Angreifer über umfassende und ausgefeilte Möglichkeiten verfügen, sich Zugang zu Unternehmensnetzwerken zu verschaffen. Mittelständische Unternehmen, beispielsweise in der produzierenden Industrie oder im Gesundheitswesen, stehen im Fokus von Hackern: Mittels Ransomware-Angriffen können Cyber-Akteure ganze Produktionsstraßen lahm legen oder Krankenhäuser vom Netz nehmen. Insbesondere in diesen Branchen ist der Schaden nach einer Attacke besonders groß, da sie enorme wirtschaftliche Auswirkungen zur Folge haben und eine Vielzahl von Menschen betreffen. Für Hacker sind zudem vor allem mittelständische Unternehmen interessant, die wirtschaftlich erfolgreich sind, aber gleichzeitig nicht über die gleichen umfassenden Sicherheitsmaßnahmen verfügen wie große, börsennotierte Konzerne.

  • Nahezu kein Expertenwissen mehr benötigt

    Cyberkriminelle greifen mit gefälschten Rechnungen vermehrt Unternehmen des produzierenden Gewerbes in Deutschland an. Das hat Proofpoint herausgefunden. Die Angreifer versenden dabei gefälschte Rechnungen, die als Köder verwendet werden oder aber die E-Mail beinhaltet einen Link zu einer Website, auf der das gefälschte Dokument zum Download zur Verfügung steht. Die Dokumente sind mit dem Remote Access Trojaner NanoCore infiziert. Laut Proofpoint enthalten Anhänge eine komprimierte ausführbare Datei (mit der Erweiterung ".Z"), während bösartige Links den Empfänger veranlassen, die auf onedrive.live.com gehostete Malware herunterzuladen.

  • Fünf Sofortmaßnahmen zur Systemhärtung

    Guardicore gibt Sicherheitsempfehlungen für das Support-Ende von Windows Server R2, Windows Server 2008 und Windows 7. Ab 14. Januar 2020 werden Nutzer dieser Microsoft-Betriebssysteme keine kostenlosen Sicherheitsupdates und Online-Aktualisierungen mehr erhalten. Ohne sicherheitsrelevante Updates sind die betroffenen IT-Systeme gegen neu entdeckte Schwachstellen nicht mehr geschützt. Zwar sind die genannten Betriebssysteme teilweise bereits über ein Jahrzehnt alt, aber Schätzungen zufolge ist allein Windows Server 2008/2008 R2 immer noch auf fast jedem dritten Server weltweit im Betrieb. Viele Organisationen können nicht auf aktuelle Betriebssystemversionen wechseln, weil sie komplizierten Gesetzes- und Zertifizierungsanforderungen unterliegen, oder einfach nicht das erforderliche Budget zur Verfügung haben. Gefragt sind deshalb Überbrückungslösungen - auch um zeitaufwendige Migrationsprozesse begleiten zu können.

  • Abfangen und Manipulieren von E-Mails

    Die E-Mail ist das Kommunikationsmittel Nummer eins. Unternehmen sind in der Pflicht, sich mit der E-Mail-Sicherheit zu beschäftigen, kommunizieren sie doch sowohl intern als auch extern. Nahezu täglich ist von Datenpannen und Datendiebstählen zu hören: Fremde verschaffen sich - zum Teil leider kinderleicht - Zugang zum internen Unternehmenssystem und greifen Daten ab oder manipulieren diese. Einfache, unverschlüsselte E-Mails stellen deshalb grundsätzlich eine Gefahr dar: Sie ähneln einer Postkarte, deren Inhalt jeder lesen kann. "Denn gehen E-Mails weder digital signiert noch verschlüsselt auf die Reise, können die Inhalte nicht nur ausspioniert, sondern auch manipuliert werden. Da Angriffe dieser Art in aller Regel nicht sicht- und nachweisbar sind, wird die E-Mail-Sicherheit leider nach wie vor oft stiefmütterlich behandelt. Wie oft und von wem E-Mails gelesen werden, kann ihnen niemand ansehen", warnt Patrycja Tulinska, Geschäftsführerin der PSW Group.

  • Neuer Standort und neue BC/DR-Strategie?

    Die Entfernung zwischen georedundanten Rechenzentren soll mindestens 200km betragen. So empfiehlt es das BSI seit diesem Jahr. Dies stellt viele Unternehmen vor Probleme, betrug die bisher empfohlene Distanz in der Vergangenheit doch gerade einmal fünf Kilometer. Diese geringe Distanz erlaubte es den Betreibern bisher, ihre Rechenzentren über HA-Systeme synchron zu spiegeln. Dies ist bei einem Abstand von 200km jedoch nicht mehr möglich: Die Latenz zwischen den Standorten ist einfach zu hoch, um Organisationen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle zu schützen. Was können Unternehmen nun tun, um ihre IT etwa gegen logische Fehler oder Ransomware-Attacken abzusichern, um minimalen Datenverlust und kurze Ausfallzeiten zu garantieren? Der neue Mindestabstand, den das BSI (Bundesamt für Sicherheit in der Informationstechnik) seit Dezember 2018 zwischen sich Georedundanz gebenden Rechenzentren empfiehlt, stellt in vieler Hinsicht eine Zäsur dar. Er stellt die Nutzung synchroner Spiegelung grundsätzlich infrage und hat damit einen direkten Einfluss darauf, wie Rechenzentren hierzulande betrieben werden. Wer eine "kritische Infrastruktur" betreibt, wird vom Gesetzgeber sogar dazu gezwungen der Empfehlung zu folgen. Und wer das Pech hat Teil eines Branchenverbandes zu sein, der den Empfehlungen des BSI folgt, wie etwa Mitglieder der Bankenbranche Bafin, haben ebenfalls keine Wahl. All diese Organisationen müssen auf die Entscheidung reagieren und den Abstand ihrer Rechenzentren auf mindestens 200km bringen.