E-Commerce-Sicherheit – Bedeutung, häufige Bedrohungen und moderne Best Practices.

An ecommerce security professional

Eine passende Strategie für E-Commerce-Sicherheit ist Grundlage für den Erfolg aller Online-Geschäfte. Bedrohungen haben unterschiedliche Quellen. Laut einer Studie von DataProt gelingt es 88 % der professionellen Hackerinnen und Hacker, in nur 12 Stunden in ein Unternehmen einzudringen. Da das Risiko für unbefugten Zugriff auf die Daten eures Unternehmens groß ist, müsst ihr euch vor Reputationsschäden und Störungen des Geschäftsbetriebs schützen.

Ecommerce security stat callout 1

Zwar haben viele E-Commerce-Unternehmen grundlegende Sicherheitsmaßnahmen implementiert, doch reicht das nicht aus, da sich die Angriffsmethoden kontinuierlich ändern. Zu hoffen, dass ihr über die richtigen Lösungen verfügt, ist nicht genug.

Ihr müsst die Methoden kennen und implementieren, die euer E-Commerce-Unternehmen nutzen kann, um seinen Onlineshop und seine Daten zu schützen. Dieser Post umfasst folgende Schwerpunkte:

Was ist E-Commerce-Sicherheit?

E-Commerce-Sicherheit umfasst verschiedene Richtlinien, die für sichere Online-Transaktionen sorgen. Genauso wie physische Geschäfte in Sicherheitspersonal oder Kameras investieren, um Diebstahl zu verhindern, müssen sich Online-Geschäfte vor Cyber-Angriffen schützen. Laut dem Global Security Report von Trustwave aus dem Jahr 2020 war die Einzelhandelsbranche der Sektor, der am stärksten von Cyber-Angriffen betroffen war.

Um euer Unternehmen ausreichend vor Angriffen schützen zu können, solltet ihr euch zunächst mit vier wichtigen Begriffen vertraut machen, die für das Verständnis von Protokollen im Bereich E-Commerce-Sicherheit unerlässlich sind.

Datenschutz.

Im Kontext von E-Commerce-Sicherheit beinhaltet Datenschutz die Abwehr unbefugter interner und externer Bedrohungen, um Zugriffe auf Kundendaten zu verhindern. Störungen des Datenschutzes gelten als Verletzung der Vertraulichkeit und können verheerende Folgen für den Datenschutz eurer Kundschaft sowie für eure Reputation als Einzelhändler haben. Maßnahmen zur Gewährleistung des Datenschutzes umfassen Antivirus-Software, Firewalls, Verschlüsselung und andere Methoden.

Integrität.

Integrität bezieht sich auf die Frage, wie präzise die Kundendaten eines Unternehmens sind. Saubere, kuratierte Kundendatensätze sind der Schlüssel für ein erfolgreiches E-Commerce-Business. Wenn fehlerhafte Kundendaten – wie Telefonnummer, Adresse oder Einkaufshistorie – zum Einsatz kommen, verlieren Menschen das Vertrauen in eure Fähigkeit, ihre Daten zu schützen, und in euer Unternehmen überhaupt.

Authentifizierung.

Authentifizierung weist nach, dass euer Unternehmen das tut, was es behauptet zu tun, und dass Kundinnen und Kunden die sind, die sie zu sein behaupten. Eure Website sollte einen gewissen Nachweis dazu erbringen, dass ihr tatsächlich das verkauft, was ihr behauptet, und die entsprechenden Waren den Erwartungen gemäß liefert. Das Verwenden von Kundenzitaten auf eurer Website und Veröffentlichen von Kundenreferenzen sind zwei Strategien, um die Glaubwürdigkeit eures Unternehmens zu erhöhen.

Außerdem sollten Kundinnen und Kunden ihre Identitäten verifizieren müssen, bevor ihre Online-Transaktionen verarbeitet werden. Das Vorschreiben von Zwei-Faktor-Authentifizierung (2FA) oder Verwenden „magischer“ Links zur Anmeldung bei Nutzungskonten sind Beispiele für Kundenauthentifizierung.

Ecommerce security: Two-step verification

Nichtabstreitbarkeit.

Nichtabstreitbarkeit bedeutet, dass weder Unternehmen noch Kundinnen oder Kunden Transaktionen leugnen können, an denen sie beteiligt waren. Nichtabstreitbarkeit ist in physischen Geschäften eher implizit, gilt aber auch für Online-Käufe. Maßnahmen für Nichtabstreitbarkeit wie digitale Signaturen sorgen dafür, dass keine der Parteien einen Kauf abstreiten kann, nachdem der Kauf getätigt wurde.

Häufige Bedrohungen für E-Commerce-Sicherheit.

Es gibt verschiedene Arten von Cyber-Angriffen, die euer Online-Business bedrohen können. Ihr solltet unbedingt wissen, welche Bedrohungen es gibt und wie man sie verhindern kann. Für den Anfang solltet ihr die grundlegenden Arten von Bedrohungen der E-Commerce-Sicherheit kennen.

Phishing.

Phishing ist eine Art von Cyber-Angriff, bei dem Opfer dazu verleitet werden, vertrauliche persönliche Daten wie Passwörter oder Sozialversicherungsnummern via E-Mail, SMS oder Telefon weiterzugeben. Phishing-Nachrichten vermitteln ein Gefühl von Dringlichkeit und stammen von Adressen oder Telefonnummern, die jenen ähneln, mit denen Opfer häufig interagieren. Hackerinnen und Hacker ergreifen weitere Maßnahmen, um zu erreichen, dass sie wie ein vertrauenswürdiges Unternehmen wirken. Dazu können beispielsweise Links zu Seiten gehören, die eine Website nachahmen, die das Opfer erkennen würde.

Phishing funktioniert aber nur dann, wenn Kundinnen und Kunden die Daten auch weitergeben, die Angreifende fordern. Sagt euren Kundinnen und Kunden, dass ihr sie niemals per E-Mail oder SMS nach persönlichen Daten fragen werdet. So können sie leichter achtsam bleiben.

Malware und Ransomware.

Malware, eine Abkürzung für „malicious software“ (schädliche Software), dient dazu, ein Computer-System zu stören oder zu beschädigen bzw. sich unbefugten Zugriff darauf zu verschaffen. Ransomware zum Beispiel ist eine Art von Malware, die Dateien von Opfern verschlüsselt, bis sie den Angreifenden für die Freigabe der Dateien bezahlen.

Malware kann für euch, euer Personal und eure Kundschaft große Probleme bedeuten. Angriffe können eure Geschäftsabläufe zum Stillstand bringen und euren Zugriff auf kritische Systeme unterbinden. Und das Entfernen von Malware ist kostspielig.

Mit vorbeugenden Maßnahmen wie der Installation von Antivirus- und Anti-Spyware-Software, einer regelmäßigen Aktualisierung eurer Systeme und der Verwendung sicherer Authentifizierung könnt ihr Malware-Angriffe abwehren.

SQL-Injection.

Zwar ist das Speichern von Daten in einer SQL-Server-Datenbank ein ziemlich normaler Vorgang, doch ist er leider nicht automatisch sicher. SQL-Server speichern Daten in verschiedenen Tabellen, die Programme abrufen können. Wenn diese Server nicht geschützt sind, können Angreifende eigene Abfragen verfassen und injizieren, wodurch sie die Möglichkeit erhalten, beliebige Daten in einer SQL-Datenbank anzuzeigen oder zu ändern.

Erste Schritte zum Verhindern von SQL-Injection bestehen darin, eure Entwickelnden an Sicherheitsschulungen teilnehmen zu lassen, jegliche Bearbeitungen an Datentabellen als nicht vertrauenswürdig zu behandeln und moderne Technologien zur Web-Entwicklung anzuwenden.

Cross-Site-Scripting (XSS).

Cross-Site-Scripting (XSS) ist ein Vorgang, bei dem Angreifende schädlichen Code in eine Web-Seite einfügen. XSS wirkt sich zwar nicht auf die ganze Site aus, setzt Kundinnen und Kunden auf dieser Seite aber Cyber-Angriffen wie Phishing und Malware aus.

Durch regelmäßiges Scannen auf Schwachstellen im Code eurer Website bzw. in API-Integrationen sowie durch rasches Patchen der Schwachstellen könnt ihr XSS-Angriffe verhindern.

Brute-Force-Angriffe.

Brute-Force-Angriffe stellen den Versuch dar, sich Zugriff auf eure Site zu verschaffen, indem Angreifende auf die Administrationskonsole eines Onlineshops abzielen und versuchen, dessen Passwort durch „rohe Gewalt“ zu ermitteln. Sobald Angreifende eine Verbindung zu eurer Site hergestellt haben, führen sie automatisierte Programme (Skripte) aus, um jede mögliche Kombination aus Buchstaben, Ziffern und Sonderzeichen zu erraten, aus denen euer Passwort bestehen könnte.

Ihr könnt eure E-Commerce-Site schützen, indem ihr ein komplexes, sicheres Passwort für euer Administrator-Panel wählt und es regelmäßig ändert. Bittet eure Kundschaft darum, bei allen Treueprogrammkonten das Gleiche zu tun.

Change your password for ecommerce security

E-Skimming.

E-Skimming ist eine Methode, die dazu dient, auf E-Commerce-Sites Kreditkartendaten und persönliche Daten von Zahlungsverarbeitern zu stehlen. Bei dieser Art von Angriff verschaffen sich Hackerinnen und Hacker Zugriff auf Checkout-Seiten und fangen Zahlungsdaten in Echtzeit ab, die Kundinnen und Kunden gerade eingeben. E-Skimming kann Folge von XSS-, Phishing- oder Brute-Force-Angriffen sein.

Um E-Skimming zu verhindern, müsst ihr regelmäßig Patches auf eurem Webserver installieren, den Adserver-Code analysieren und dafür sorgen, dass APIs anderer Anbieter aktuell sind. Wenn eure Site bereits von E-Skimming betroffen war, findet heraus, ob eure Cyber-Versicherung für die Schäden zahlt, und schaltet die Warenkorbseite ab, um die Quelle des Angriffs zu ermitteln und zu eliminieren.

Spam.

Spam ist eine irrelevante Nachricht, die Adressaten dazu auffordert, auf schädliche Links zu klicken. Spam wird überwiegend per E-Mail verbreitet. Manchmal werden aber auch infizierte Links in den Kommentaren von Blogs, in Social-Media-Posts oder in Kontaktformularen platziert. Spam beeinträchtigt die Sicherheit einer Website und verringert die Geschwindigkeit beim Browsen.

Durch das Löschen unerwünschter Kommentare und das Aktivieren von reCAPTCHA in Formularen könnt ihr Spam-Angriffe verhindern. ReCAPTCHAs zwingen Benutzende dazu, eine leicht verzerrte Reihe von Ziffern und Buchstaben einzugeben, die Spambots nicht erkennen können.

Captcha for ecommerce security

Durch das Löschen von Spam-Kommentaren, die es trotzdem schaffen, und das Durchführen einer Ursachenanalyse, um zu ermitteln, woher sie stammen, könnt ihr nicht nur für saubere Reports über Formularantworten sorgen, sondern auch eine geeignete Problemlösung finden.

Bots.

Bots dienen dazu, Preis- und Bestandsdaten auf Websites auszulesen. Anschließend verschaffen sich Hackerinnen und Hacker Zugriff auf die entsprechende Site und nutzen diese Daten, um Preise zu erhöhen oder die beliebtesten Artikel einem Warenkorb hinzuzufügen. Wenn Kundinnen und Kunden nicht kaufen können, was sie wünschen oder benötigen, gehen Umsätze zurück. Shops erhalten dann negative Bewertungen bzw. negative Presse.

Durch das Verwenden von reCAPTCHA-Tools auf eurer Site, das Prüfen eurer API-Verbindungen und das Blockieren alter Browser-Versionen könnt ihr Bots bekämpfen. Außerdem könnt ihr Warnhinweise für ungewöhnlich hohen Webtraffic, fehlgeschlagene Validierungen von Geschenkkarten sowie fehlgeschlagene Anmeldeversuche einrichten, da diese Elemente auf angreifende Bots hinweisen können.

Trojaner.

Trojaner stellen eine Art von Malware dar, die sich als nützliches Programm ausgibt. Da Trojaner harmlos erscheinen, werden sie von Team-Mitgliedern oder Kundinnen und Kunden ggf. auf ihre Computer geladen, wo dann Malware-Code aktiviert wird und Angreifende persönliche Informationen stehlen können.

Leistungsstarke Antivirus-Software und Firewalls bieten gewissen Schutz, doch solltet ihr euer Personal und eure Kundschaft daran erinnern, beim Öffnen von E-Mail-Anhängen Vorsicht walten zu lassen und Downloads von nicht genehmigten Drittanbietern zu unterlassen.

Best Practices für E-Commerce-Sicherheit.

Hackerinnen und Hacker erfinden ständig neue Strategien zum Datendiebstahl. Neben dem Schutz vor bekannten Bedrohungen gibt es allgemeine Best Practices für E-Commerce-Sicherheit.

1. Einsatz von mehrschichtiger Sicherheit.

Mehrschichtige Sicherheit bedeutet, in einem Technologiesystem durchgehend sekundäre und tertiäre Ebenen an Sicherheitskontrollen bereitzustellen. Wenn eine Ebene kompromittiert wird, müssen Angreifende mindestens in eine weitere Ebene eindringen, um sich die beabsichtigten Informationen verschaffen zu können. Mehrere Sicherheitsebenen erhöhen die Zahl der Hindernisse, die Angreifende überwinden müssen, um eure Site zu infiltrieren.

Eine besonders wichtige Ebene stellen dabei Content Delivery Networks (CDNs) dar. Branchenführende CDNs nutzen maschinelles Lernen, um Bedrohungen und infektiösen Traffic abzuwehren. Eine weitere Ebene kann Multi-Faktor-Authentifizierung für Personal sein, das sich bei Unternehmenssystemen anmeldet, sowie für Kundschaft, das sich bei Treueprogrammkonten anmeldet. Wenn Personal oder Kundschaft ihre Daten eingeben, müssen sie auch einen weiteren Code eingeben, der ihnen per SMS, E-Mail oder Authentifizierungs-Mobile-App zugesandt wurde.

2. Schutz der Website mit SSL-Zertifikaten.

Secure Sockets Layer (SSL)-Zertifikate verifizieren die Identität einer Website und sorgen für eine verschlüsselte Verbindung. SSL-Zertifikate schützen Kreditkartendetails und andere potenziell sensible Transaktionen, die auf eurer E-Commerce-Website stattfinden. Sie hindern Hackerinnen und Hacker daran, eure Site im Rahmen eines Phishing-Angriffs zu verwenden.

3. Verwendung von Firewalls.

Firewall-Software und Plug-ins lassen bei einer E-Commerce-Site vertrauenswürdigen Traffic zu, sperren aber nicht vertrauenswürdige Verbindungen. Eine Regulierung des Traffic-Flusses erleichtert das Erkennen von Anomalien und erlaubt es, Bedrohungen zu stoppen, bevor sie in euer Netzwerk eindringen. Firewalls sind zur Abwehr von Cyber-Bedrohungen wie XSS, Spam und schädlichen SQL-Injections also besonders sinnvoll.

4. Installation von Antivirus- und Anti-Malware-Software.

Angreifende nutzen oft gestohlene Kreditkartendaten, um Bestellungen aufzugeben. Dadurch besteht das Risiko, dass euer Store betrügerische Aktivitäten unterstützt. Antivirus- und Anti-Malware-Software nutzt ausgeklügelte Algorithmen, um schädliche Transaktionen zu markieren, und bietet Bewertungen für das Betrugsrisiko, um zu ermitteln, ob Transaktionen legitim sind. Durch regelmäßiges Scannen eurer Site lassen sich Malware-Angriffe deutlich reduzieren.

5. Schulung eures Personals.

Euer gesamtes Personal sollte die Vorschriften kennen, die dem Schutz von Kundendaten dienen. Ihr könnt folgende Maßnahmen ergreifen, um Risiken zu reduzieren: Durchsetzen von Passwort-Updates, Begrenzen des Zugriffs auf sensible Informationen und Vorschreiben von Cyber-Sicherheits- und Datenschutzschulungen für Personal. Denkt daran, den Zugriff auf alle Systeme zu widerrufen, wenn Personal euer Unternehmen verlässt, damit es Daten weder an Cyber-Angreifende verkaufen noch selbst Cyber-Verbrechen begehen kann.

6. Schulung eurer Kundschaft.

Manche Sicherheitsverletzungen sind das Ergebnis von Kundenverhalten. Kundinnen und Kunden haben Anmeldedaten für viele Sites und verwenden dasselbe Passwort zum Teil immer wieder. Wenn ihr lange, komplexe Passwörter vorschreibt und Kundschaft an die Risiken von Phishing-Angriffen erinnert, könnt ihr das Potenzial für Cyber-Angriffe verringern.

Die Bedeutung von E-Commerce-Sicherheit.

Laut einer Studie von Juniper Research ist zu erwarten, dass bis 2023 33 Milliarden Konten gehackt werden. Je mehr Menschen online einkaufen, desto mehr suchen Cyber-Angreifende nach Wegen, um schwache Sicherheitsprotokolle und Schwachstellen in Netzwerken auszunutzen.

Ecommerce security stat callout 2

Cyber-Kriminalität zu stoppen, bevor sie beginnt, ist die beste Methode zur Abwehr von Angriffen. Wenn ihr achtsam bleibt und Best Practices für E-Commerce-Sicherheit anwendet, könnt ihr Daten eures Unternehmens und eurer Kundschaft schützen. Eure Kundinnen und Kunden werden die zusätzlichen Maßnahmen zu schätzen wissen, die ihr zu ihrem Schutz ergreift: Sie werden sich ernst genommen fühlen, was die Markenaffinität erhöht.

Schützt eure E-Commerce-Site.

E-Commerce-Sicherheit ernst zu nehmen, ist für eure Kundschaft und euer Unternehmen unerlässlich. Der Schutz von Kreditkartendaten und persönlichen Informationen der Kundschaft ist essenziell für das Aufbauen und Wahren eures Rufs als vertrauenswürdige Marke. Durch den Schutz eurer Site könnt ihr dafür sorgen, dass ihr über die finanziellen und betrieblichen Funktionen zur vorgesehenen Lieferung von Waren und Dienstleistungen verfügt.

Über die Best Practices für E-Commerce-Sicherheit auf dem neuesten Stand zu bleiben, wird stets eine Herausforderung sein. Das gilt besonders, weil Online-Handel immer noch wächst und sich kontinuierlich entwickelt. Darum verfügen manche E-Commerce-Tools über integrierte Sicherheitsfunktionen, die sich an neue Best Practices für Cyber-Sicherheit anpassen.

Adobe Commerce wurde für hohe E-Commerce-Sicherheit entwickelt. Die Cloud-basierte Headless-Architektur von Adobe Commerce erlaubt es euch, eine Integration mit anderen wichtigen Systemen in eurem Technologie-Stack vorzunehmen, während Daten zuverlässig und sicher übertragen werden. Im Backend testet Commerce kontinuierlich auf Schwachstellen, stellt auf der Server-Ebene Patches bereit, verwaltet Firewall-Konfigurationen und entscheidet über die Problembehandlung.

Seht euch ein Übersichtsvideo an, um mehr darüber zu erfahren, wie Adobe Commerce euer Unternehmen dabei unterstützen kann, sich vor Cyber-Angriffen zu schützen.