Tipps für E-Commerce-Sicherheit, mit denen ihr eure Website schützt und die Wettbewerbsfähigkeit eures Unternehmens sicherstellt.

ecommerce security tips

Wenn ihr eine E-Commerce-Website betreibt oder im E-Commerce-Bereich tätig seid, dürftet ihr euch der möglichen Sicherheitsbedrohungen bewusst sein. Um euer Unternehmen und eure Kundschaft zu schützen, ist es wichtig, diesen Bedrohungen zuvorzukommen. In diesem Beitrag findet ihr dazu eine umfassende Liste mit Tipps.

Was ist E-Commerce-Sicherheit?

E-Commerce-Sicherheit umfasst eine Reihe von Schritten, die gewährleisten, dass Unternehmen ihre Geschäfte sicher abwickeln. Davon profitieren Unternehmen und Verbraucherinnen und Verbraucher gleichermaßen. Mithilfe dieser Richtlinien können Unternehmen Vertrauen aufbauen und ihren guten Ruf fördern.

Sicherheit im E-Commerce ist wichtig, um personenbezogene Verbraucherdaten wie Adressen und Zahlungsinformationen zu schützen. Diese Form von Datenschutz stärkt das Vertrauen in euer Unternehmen und beugt finanziellen Verlusten im Falle einer Datenschutzverletzung vor, die Schäden in Millionenhöhe verursachen kann.

Es gibt inzwischen eine Vielzahl von E-Commerce-Unternehmen, sodass Verbraucherinnen und Verbraucher frei wählen können, bei wem sie Geld ausgeben möchten. Wenn ihr nicht über die richtigen Tools verfügt, um die Daten eurer Kundschaft zu schützen, sieht sich diese nach anderen Angeboten um.

10 Tipps für E-Commerce-Sicherheit zum Schutz eures Unternehmens.

Es gibt unzählige Möglichkeiten, für mehr E-Commerce-Sicherheit zu sorgen. Einige davon gehen über das hinaus, wofür die meisten B2B- oder B2C-Unternehmen Zeit und Geld investieren sollten. Hier findet ihr zehn wichtige Tipps, mit denen ihr eure E-Commerce-Website vorbereiten könnt, um eure Kundschaft und euer Unternehmen zu schützen.

1. Empfehlt die Verwendung starker Passwörter.

Die grundlegendste Sicherheitsmaßnahme, die sowohl Kundschaft als auch Mitarbeitende ergreifen können, ist die Erstellung starker Passwörter. Ein solches Passwort besteht aus Zahlen, Sonderzeichen und teilweise sowohl aus Klein- als auch aus Großbuchstaben.

Ein weiterer Faktor, der bei der Erstellung starker Passwörter zu berücksichtigen ist, besteht darin, dass die einzelnen Anwenderinnen und Anwender eindeutige Passwörter für sämtliche ihrer Logins erstellen. Laut einer Umfrage von Google nutzen 52 % aller Anwenderinnen und Anwender ein und dasselbe Passwort für mehrere Websites.

ecommerce security statistic

Ein Passwort-Manager ist bestens geeignet, um eure Mitarbeitenden dazu zu bewegen, für jegliche Tools und Plattformen, die sie nutzen, starke Passwörter zu erstellen. Da jedes einzelne Passwort an einem sicheren Ort gespeichert wird, entfällt die Notwendigkeit, sich eine große Anzahl komplexer Passwörter zu merken, und das Risiko der Wiederverwendung von Passwörtern auf anderen Websites wird vermieden.

2. Implementiert mehrschichtige Sicherheit.

Räumt dem Schutz von Anwenderdaten höchste Priorität ein, indem ihr einen Plan für mehrschichtige Sicherheit implementiert. Ohne Maßnahmen für mehrschichtige Sicherheit kommt es unweigerlich zu Datenschutzverletzungen.

Es muss sichergestellt werden, dass nur die Mitarbeitenden im Unternehmen, die direkt mit einer Transaktion befasst sind, Zugang zu personenbezogenen Daten haben. Datenschutzverletzungen können katastrophale Kosten und Auswirkungen auf den Ruf eures Unternehmens haben, wenn es zu einem Datenverlust kommt. Aus diesen beiden Gründen ist es wichtig, in zusätzliche Sicherheitsmaßnahmen zu investieren (abgesehen von der Notwendigkeit starker Passwörter).

Was ist mehrschichtige Sicherheit?

Die meisten von uns sind inzwischen mit Multi-Faktor-Authentifizierung vertraut. Ein Beispiel hierfür ist die Anmeldung bei einer Website. Anwenderinnen und Anwender erhalten per SMS oder E-Mail einen Code, den sie in ein Feld eingeben, um ihre Identität zu verifizieren.

Ein weiteres Beispiel wäre, dass Anwenderinnen und Anwender die Mobile App für eine Website herunterladen und sich dann bei der Mobile App anmelden, um zu bestätigen, dass sie die Person sind, die versucht, auf die Website zuzugreifen. Ziel ist es, zusätzliche Sicherheitsmaßnahmen zu implementieren, um Datenschutzverletzungen zu verhindern.

Ein Content Delivery Network (CDN) ist ein weiteres nützliches Instrument für mehrschichtige Sicherheit. Bei diesem Ansatz werden Daten über ein verteiltes Server-Netzwerk gespeichert und gegen DDoS-Angriffe (Distributed Denial of Service) geschützt. Bei einem DDoS-Angriff werden mehrere Quellen gleichzeitig genutzt, um eine Website mit Traffic zu überlasten, sodass sie für die Anwenderinnen und Anwender nicht mehr erreichbar ist und kein Datenzugriff mehr möglich ist.

Warum ist mehrschichtige Sicherheit wichtig?

Die Verwendung eines Systems für mehrschichtige Sicherheit bietet zusätzliche interne und externe Sicherheitsebenen für Unternehmen. Jede Maßnahme erschwert es Hackern, sich mit gestohlenen Passwörtern anzumelden. Die Implementierung mehrschichtiger Sicherheit empfiehlt sich sowohl für eure Mitarbeitenden als auch für eure Kundschaft. Diese zusätzliche Maßnahme trägt zur Verbesserung des Rufs eurer Marke bei.

3. Verwendet eine Firewall.

Firewalls überwachen den gesamten ein- und ausgehenden Traffic einer Website, um verdächtigen Traffic zu blockieren. Firewalls sind individuell auf das jeweilige Unternehmen abgestimmt und werden anhand einer Reihe festgelegter Regeln aufgebaut, um nicht vertrauenswürdige Traffic-Quellen auszusortieren.

Zu den Arten von Angriffen, die Firewalls verhindern können, gehören DDoS-Angriffe und SQL-Einschleusung (Injection). SQL-Einschleusung ist eine gängige Cyber-Angriffstaktik, bei der schädlicher Code in das Grundgerüst einer Website eingefügt wird, um Daten auszulesen oder die Datenbank zu zerstören.

4. Nutzt einen Zahlungsdienstleister.

Es gibt eine Reihe von Tools, die sämtliche Finanzinformationen eurer Kundschaft verarbeiten und ihre Kreditkartendaten schützen können. Speichert keine Finanzdaten eurer Kundschaft auf Unternehmens-Servern. Zahlungsdienstleister verschlüsseln die Zahlungsdaten von Kundinnen und Kunden als zusätzliche Maßnahme zum Schutz vor Cyber-Angriffen.

5. Installiert ein SSL-Zertifikat für HTTPS-Sicherheit.

SSL-Technologie (Secure Socket Layer) verschlüsselt und schützt die Finanzdaten eurer Kundschaft auf dem Weg zwischen Endgeräten und Zahlungsabwickler.

Wenn ihr schon einmal eine Website besucht habt und in der Adressleiste die Meldung „Nicht sicher“ angezeigt wurde, liegt das daran, dass die Website kein SSL verwendet. Wenn eine Website SSL verwendet, wird HTTP zu HTTPS, dem Standard für Internet-Sicherheit, der für Anwenderinnen und Anwender sicherer ist.

Der Verzicht auf SSL stellt nicht nur ein Sicherheitsrisiko dar, sondern hält möglicherweise auch Anwenderinnen und Anwender vom Besuch eurer Website ab. Bei einigen Browsern erscheint sogar eine Popup-Warnung, dass die Seite nicht sicher ist. Eine Studie von John Cabot ergab, dass 64 % der Anwenderinnen und Anwender eine Website sofort verlassen, wenn ihnen die Warnung „Nicht sicher“ angezeigt wird.

ecommerce security statistic

SSL und HTTPS sind Standards für die Sicherheit im E-Commerce und sollten immer genutzt werden. Darüber hinaus trägt HTTPS zur Verbesserung der Suchmaschinen-Optimierung eurer Website bei, da sichere Seiten bei Google im Ranking steigen.

6. Aktualisiert eure Software und Hardware.

Es kann leicht passieren, dass man mit Software-Updates in Verzug gerät, vor allem, wenn sie häufig und für mehrere Geräte empfohlen werden. Das Ignorieren dieser Updates beeinträchtigt jedoch die Sicherheit eurer Website und muss daher vorrangig angegangen werden.

Software-Updates werden nicht nur für neue Frontend-Funktionen veröffentlicht. Tools werden häufig aktualisiert, um Sicherheitslücken zu schließen und die Sicherheit zu stärken. Sucht nach einer Plattform, die ihren Code durch häufige Verteilung von Patches auf dem neuesten Stand hält.

Überlegt außerdem, ob ihr euren Mitarbeitenden wöchentlich oder monatlich eine Stunde Zeit für das Herunterladen neuer Updates einräumen solltet, damit sie nicht das Gefühl haben, dass dies von ihrer Arbeitszeit abgeht.

7. Erfüllt die PCI-DSS-Anforderungen.

Der PCI-DSS (Payment Card Industry Data Security Standard) umfasst eine Reihe von Anforderungen, die für alle Unternehmen gelten, die Kreditkartendaten erfassen, verarbeiten und speichern.

Die meisten dieser Tipps für E-Commerce-Sicherheit tragen zur PCI-DSS-Konformität bei. So sind beispielsweise Firewalls, starke Passwörter, Schutz von Karteninhaberdaten und Antiviren-Software allesamt Bestandteile des PCI-DSS. Wenn ihr alle Tipps auf dieser Liste berücksichtigt, ist euer Unternehmen wahrscheinlich nahezu PCI-konform.

Werft einen Blick auf die Checkliste für PCI-Konformität von Adobe für E-Commerce-Unternehmen, um zu ermitteln, wo ihr steht:


Die Anfangsjahre.

In den Anfangsjahren des E-Commerce brauchte es noch eine Checkliste für PCI-Konformität, da es keine festgelegten Standards für die Gestaltung oder Konfiguration von Websites gab – ganz zu schweigen von Maßnahmen zum Schutz sensibler Daten wie Kreditkartennummern oder Daten-Tracking. Angesichts der zunehmenden Fälle von nicht autorisierten Transaktionen, die von Verbraucherinnen und Verbrauchern gemeldet wurden, führte Visa eine eigene Plattform mit Anforderungen und Standards ein, die von allen Einzelhändlern eingehalten werden mussten, die im Internet tätig waren und Visa als Zahlungsmittel akzeptierten.

Zu dieser Zeit arbeiteten auch andere Kreditkartenunternehmen an ähnlichen Projekten, doch für Visa galten die höchsten Anforderungen. Irgendwann schlossen sich die Anbieter zusammen und formulierten den Payment Card Industry Data Security Standard (PCI-DSS), um eine Reihe von formalen Anforderungen und Standards festzulegen, die alle Anbieter einbeziehen. Die Standards dienen nicht nur dem Schutz der Kreditkartenunternehmen, sondern schützen auch Einzelhändler sowie Verbraucherinnen und Verbraucher.

Definition einer Checkliste für PCI-Konformität und warum sie so wichtig ist.
Der PCI-DSS ist deshalb so wichtig, weil darin eine Reihe von grundlegenden Anforderungen und Standards für den Schutz der Kreditkartendaten von Verbrauchern festgelegt ist, die auch als Karteninhaberdaten bezeichnet werden. Die Standards helfen Unternehmen dabei, ein internes Programm zur Informationssicherheit zu entwickeln und es an ihre eigenen Geschäftsanforderungen anzupassen. Die Anforderungen und Standards tragen auch dazu bei, zu ermitteln, woher die Karteninhaberdaten kommen, auf welchen Wegen sie übertragen und wo sie schließlich gespeichert werden. Die Zuordnung der Datenbewegungen im Netzwerk eines Unternehmens ist einer der ersten Schritte, um zu ermitteln, wie diese Daten geschützt werden können.

Warum euer Unternehmen mit einer umfassenden Checkliste für PCI-Konformität besser aufgestellt ist.
Ein Programm zur PCI-Konformität ist nur ein Teilaspekt des umfassenden Programms zur Informationssicherheit eines Unternehmens. Zwischen den Programmen besteht eine symbiotische Beziehung. Das eine trägt zur Stärkung des anderen bei. Das Programm zur PCI-Konformität hilft dabei, eine Reihe grundlegender Standards zu ermitteln, die bei korrekter Umsetzung im Unternehmen zur Stärkung des umfassenden Programms zur Informationssicherheit beitragen.

Risiken bei Nichtkonformität.
Die Risiken reichen von Geldstrafen, die von den Kartenunternehmen verhängt werden, bis zum Verlust des Verbrauchervertrauens in die Unternehmen, die sich als nicht konform erweisen. Vertrauen wird über Jahre hinweg aufgebaut und kann ähnlich wertvoll sein wie jedes verkaufte Produkt. Achtet darauf, dieses Vertrauen nicht zu gefährden und den Schutz von Kartendaten nicht zu vernachlässigen, denn das kann langfristige negative Auswirkungen für euer Unternehmen haben.

Maßnahmen zum Schutz eures Unternehmens.
Die jüngste Aktualisierung des Standards, PCI-DSS v3, umfasst sechs Hauptanforderungen, die in zwölf Unteranforderungen aufgeteilt sind. Diese beinhalten wiederum mehr als dreihundert spezifische Standards, die erfüllt werden müssen. Diese Standards haben vor allem ein Ziel: den Schutz von Karteninhaberdaten. Darauf haben es die Cyber-Kriminellen abgesehen. Sobald sie in Besitz von Karteninhaberdaten sind, können sie diese zu ihrem eigenen Profit auf Kosten von Verbrauchern, Partnern, Unternehmen und Kreditkartenunternehmen missbrauchen.

Wenn ihr eine Checkliste für PCI-Konformität erstellen würdet, welche Punkte würde diese enthalten?

Der PCI-DSS umfasst eine Reihe allgemeiner Standards, die unabhängig vom Geschäftsmodell umgesetzt werden können. Im Laufe der Jahre hat der Council die Formulierung, Definitionen und Anwendbarkeit der Anforderungen verbessert. Diese Änderungen haben schrittweise dazu beigetragen, die PCI-DSS-Konformität insgesamt zu verbessern. Eure Checkliste für PCI-Konformität sollte Folgendes umfassen:

Wie unterstützt Magento Unternehmen dabei, PCI-Konformität sicherzustellen?

Magento bietet eine Anbindung an Bezahlsysteme, die eine bestimmte Version des PCI-DSS erfüllt – den PA-DSS bzw. Payment Application Data Security Standard. Dieser Standard ist ein eigenständiger Zertifizierungsprozess, der vom Council angeboten wird. Die Anbindung an Bezahlsysteme von Magento hat das Verfahren zur PA-DSS-Zertifizierung durchlaufen. Magento bietet zwar eine PA-DSS-konforme Anbindung an Bezahlsysteme, sorgt aber aufgrund der zahlreichen PCI-Kontrollen, die außerhalb der Plattform ansetzen, nicht automatisch für PCI-Konformität.

Wenn ihr weitere Informationen zur Vervollständigung eurer Checkliste für PCI-Konformität oder Empfehlungen für einen Qualified Security Assessor wünscht, kontaktiert Magento online.

PCI Compliance Checklist For eCommerce Businesses

Wie lässt sich Konformität messen?

Patch-Management-Reports sind ein Instrument zur Messung der Konformität. Sie informieren euch regelmäßig darüber, inwieweit eure E-Commerce-Plattform PCI-konform ist. Außerdem solltet ihr Hardware, Software, Server und Anwenderkonten regelmäßig auf Schwachstellen überprüfen.

Eine weitere Methode zur Messung der Konformität sind Penetrationstests. Penetrationstests sind Versuche, das eigene System zu hacken – entweder von innen oder von außen. Auf diese Weise könnt ihr Schwachstellen aufdecken und die Sicherheit eures Systems gewährleisten.

8. Sichert eure Daten.

Alle Daten sollten routinemäßig gesichert werden, damit sie im Falle einer Datenschutzverletzung oder eines Systemabsturzes wiederhergestellt werden können. Die meisten Sicherheitstipps zielen auf die Verhinderung von Cyber-Angriffen ab. Ihr müsst aber auch über einen Plan zur Wiederherstellung von Daten verfügen, falls andere Sicherheitsmethoden versagen.

9. Führt Best Practices ein.

Sicherheits-Tipps für E-Commerce sind nur so wertvoll, wie euer internes Team und eure Kundschaft es ermöglichen. Klärt eure Mitarbeitenden und eure Kundschaft über Online-Sicherheit auf – einschließlich der Erstellung starker Passwörter und der Implementierung von Multi-Faktor-Authentifizierung.

Informiert eure Anwenderinnen und Anwender über die Maßnahmen, die ihr zum Schutz von Kundendaten getroffen habt. Diese Transparenz trägt dazu bei, dass sie zu versierteren Online-Konsumentinnen und -Konsumenten werden.

10. Wählt den richtigen Hosting-Anbieter.

Ein guter Hosting-Anbieter verbessert eure Sicherheitsstrategie für E-Commerce durch folgende Maßnahmen:

  1. Überwachung auf Bedrohungen
  2. Bereitstellung von Upgrades zur kontinuierlichen Erhöhung der Sicherheit
  3. Zeitnahe Behebung technischer Probleme
  4. Einbindung zuverlässiger integrierter Sicherheitsfunktionen

Erste Schritte mit Adobe Commerce.

Je mehr Geschäfte online abgewickelt werden, desto wichtiger wird Cyber-Sicherheit. Eine einzige Datenpanne reicht aus, um eurer Kundschaft finanziellen Schaden zuzufügen und den Ruf eurer Marke zu zerstören. Doch wenn ihr in Sachen E-Commerce-Sicherheit wachsam bleibt, könnt ihr solche Vorfälle verhindern.

Fangt ganz oben auf der Liste an und stellt sicher, dass alle Mitarbeitenden eures Unternehmens starke Passwörter für sämtliche Logins verwenden. Möglicherweise ist es sinnvoll, eurem Team die Nutzung eines Passwort-Tools zu ermöglichen, das Passwörter für alle Logins vorschlägt und speichert.

Adobe Commerce ist als PCI-konformer Level-1-Lösungsanbieter zertifiziert und kann euer eigenes PCI-Zertifizierungsverfahren unterstützen. Adobe Commerce trägt dazu bei, die Sicherheit bei euren Online-Geschäften zu erhöhen, da ihr automatisch über Sicherheitsrisiken, Malware und unbefugten Zugriff informiert werdet.

Seht euch eine Produkteinführung oder den Überblick über Adobe Commerce an, um zu erfahren, wie Adobe Commerce erfolgreich in anderen Unternehmen eingesetzt wird.