Vier von fünf Webseiten weisen teilweise gravierende Sicherheitslücken auf, schätzen Experten. Betreiben Sie eine kommerzielle Webseite oder einen Onlineshop? Dann machen Sie mit uns den Test, wie es um den Schutz ihres Internetauftritts vor Hackern bestellt ist.
Auf den ersten Blick könnte man meinen, dass das Thema Sicherheit bei einem Onlineshop vernachlässigt werden kann. Einen Ladendetektiv braucht man nicht; ein Diebstahl ist schließlich ziemlich schwierig zu realisieren – es sei denn, das Warenlager wird ausgeräumt. Des Weiteren sind auch Betrugsfälle schwierig. Als Betreiber verschickt man die Ware meist erst, wenn per Vorkasse, Lastschrift oder Kreditkarte bezahlt wurde.
In der Tat sind die Fälle, bei denen Täter in Onlineshops versuchen, den Anbieter um Geld oder Waren zu prellen, relativ selten. Für Shopbetreiber ist dies aber kein Grund, sich entspannt zurückzulehnen, denn Gefahren drohen von anderer Seite. Dabei kann man erschrecken, wie leicht es bei vielen Onlineshops für Hacker ist, ihr Unwesen zu treiben.
Autsch! Kundenkonten geplündert
Dass der Shopbetreiber direkt finanziell geschädigt wird, kommt höchst selten vor. Die Gründe liegen auf der Hand. Angriffe auf Webseiten sind weitestgehend anonym möglich; sobald jedoch Geld- oder Warenflüsse ins Spiel kommen, können Spuren nachverfolgt werden.
Das Ziel der Hacker sind deshalb nicht die Shops direkt, sondern die Kundenkonten. Dort finden sich solch interessante Informationen wie die Bankverbindung und eventuell sogar Kreditkarteninformationen. Indirekt wird damit natürlich auch der Shopbetreiber geschädigt, denn nur ein einziger Fall von gestohlenen Kundendaten, der in die Öffentlichkeit gelangt, kann zum finanziellen Aus eines Shops führen.
Doch trotzdem: „Die meisten Betreiber von Webshops unterschätzen die Bedrohung, der sie ausgesetzt sind, bei weitem. Außerdem scheuen viele die Kosten, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Die Vogel-Strauß-Mentalität ist hier weit verbreitet. Tatsächlich bieten heute keine anderen IT-Systeme eine vergleichbar große Angriffsfläche auf niedrigstem Sicherheitsniveau“, erklärt Matthias Straub, E-Business-Experte beim IT Security-Spezialisten Integralis.
Dabei muss es gar nicht teuer sein, die Sicherheit des eigenen Shops zu erhöhen. Eine häufige Angriffsmethode ist beispielsweise die so genannte Brute-Force-Attacke. Dabei versuchen Hacker, sich unter dem Benutzernamen eines Kunden einzuloggen. Dazu verwenden sie Roboterprogramme, die automatisch tausende Kombination von Benutzername und Passwort eingeben – so lange, bis ein Treffer erzielt wurde.
In vielen Fällen genügen dafür wenige Minuten, denn bei vielen Shops können die Kunden ihre Passwörter frei wählen – ohne die Vorgabe einer Mindestlänge, ohne die Pflicht, Sonderzeichen einzubauen. Ohne groß suchen zu müssen, findet man im Internet Dutzende Listen von Lieblingspasswörtern der Deutschen. Wetten, dass auch bei Ihren Kundendaten Treffer dabei sind?
So leicht sollte man es den Hackern dann doch nicht machen. Auch wenn es wenig benutzerfreundlich ist: Wenn Sie bei Passwörtern nur mindestens 8-stellige Begriffe, in denen zusätzlich auch noch mindestens ein Sonderzeichen vorkommen muss, akzeptieren, haben Sie den Datenklau schon erheblich erschwert.
Wenn dann zusätzlich auch noch automatisierte Eingabeversuche dadurch verhindert werden, dass nach mehrfachen Fehleingaben ein Benutzerkonto und die IP-Adresse des Eingebenden gesperrt werden, laufen Brute-Force-Attacken ins Leere.
Risikofaktor Eingabefeld
Sicherheitslücken können sich nicht nur im Login-Feld auftun, sondern überall dort, wo es zur Interaktion zwischen Shop und Nutzer kommt. Also zum Beispiel bei einer Suchmaske oder einem Feld, in das der Kunde die Anzahl der gewünschten Produkte eingeben kann. Bei schlecht gesicherten Shops sind das die Einfallstore, die Hacker nutzen, um schädlichen Code einzuschleusen.
Die häufigsten Angriffsarten sind laut Einschätzung der Integralis-Experten SQL-Injection, Parameter Tampering, Cross-Site-Scripting, Forceful Browsing und Cookie Poisoning.
„Fehler in der Verarbeitung von Benutzereingaben werden von Hackern gerne ausgenutzt, um den Webshop zu unterwandern. Wird beispielsweise bei der Eingabe einer Bestellmenge nicht vom Webshop überprüft, ob es sich bei der Eingabe tatsächlich um eine Zahl handelt, kann ein Hacker auf diesem Weg eigene Kommandos an die Datenbank des Webshops absetzen. In vielen Fällen können dadurch extrem sensible Daten wie Kreditkarteninformationen in die Hände der Hacker gelangen und von diesen missbraucht werden“, erläutert Straub.
Sogar das komplette Lahmlegen eines Shops wäre auf diesem Weg möglich.