Viele Onlineshops und kommerzielle Webseiten weisen Schwachstellen auf, die von Hackern ausgenutzt werden können. Dadurch drohen Manipulationen der Seite, das Ausspionieren von Kundendaten sowie schlimmstenfalls ein komplettes Lahmlegen der Website. Wir sprachen mit Hendrik Lennarz, Sicherheitsexperte bei Trusted Shops, über die häufigsten Sicherheitslücken und Techniken, seine Webseite zu schützen.
Welche Gefahren drohen Onlineshops im Internet, wenn die Website nicht richtig abgesichert wird?
Hendrik Lennarz: Mindestens 80 Prozent aller Webseiten weisen Schwachstellen auf. Onlineshops gelten jedoch als besonders gefährdet, da sie in der Regel eine Vielzahl sensibler Kundendaten verwalten und die Durchführung von Transaktionen mit monetärem Wert ermöglichen.
Was sind mögliche Angriffsszenarien?
Hendrik Lennarz: Gängige Angriffsszenarien können sowohl dem Shopbetreiber als auch dem Shopkunden auf direktem Wege Schaden zufügen. Die Übernahme von Benutzerzugängen, die Manipulation von Produktpreisen in der Datenbank oder die Nicht-Erreichbarkeit des Onlineshops sind beispielsweise nur einige der Gefahren, die drohen, wenn ein Shopbetreiber seine Webseite nicht gegen bekannte Angriffe absichert.
Da für diese Angriffe heute grundsätzlich keine speziellen Werkzeuge, Skripte oder Programme notwendig sind, steigt die Gefahr für jeden Shop, dass verdientes Vertrauen bei den Kunden schnell wieder verspielt ist, sollte der Onlineshop Opfer eines Angriffs werden.
Veraltete Software stellt Sicherheitsrisiko dar
Welche Fehler werden Ihrer Meinung nach von Shopbetreibern diesbezüglich häufig gemacht?
Hendrik Lennarz: Man muss unterscheiden zwischen technischen Fehlern, die in der Programmierung oder der Systemkonfiguration gemacht werden, und Fehlern, die mehr die Logik einzelner Vorgänge im Onlineshop betreffen. Der Klassiker unter den technischen Schwachstellen ist natürlich die fehlende Validierung der Benutzereingabefelder einer Webseite. Dies kann das Einschleusen von schädlichem Code (Cross-Site-Scripting) ermöglichen, der dem Angreifer beispielsweise Zugangsdaten und Passwörter zugänglich macht.
Von Hackern gern gesehen ist zudem die Verwendung veralteter Versionen von Standardsoftwarepaketen, denn dies erleichtert ihm die Arbeit, da er nicht einmal nach Schwachstellen suchen muss, weil diese bereits bekannt und öffentlich in den Foren des Anbieters dokumentiert wurden. So muss er nur einen entsprechenden Onlineshop finden und die bekannte Schwachstelle ausnutzen.
Logische Fehler sind nicht weniger kritisch, da sie oftmals als Wegbereiter für technische Angriffe dienen. So ermöglicht beispielsweise die Ausgabe detaillierter Fehlermeldungen bei einem gescheiterten Login-Versuch einen Try-and-Error-Angriff auf das System. Gibt man hingegen eine einheitliche Fehlermeldung aus – unabhängig davon, ob nun der eingegebene Benutzername oder das Passwort falsch waren – erhält der Angreifer keine zusätzlichen Informationen.
Solche Schwachstellen werden von Experten als so genannte „Low-Hanging Fruits“ bezeichnet. Was ist damit gemeint?
Hendrik Lennarz: Das bedeutet einerseits für den Angreifer einen sehr geringen Aufwand, eine Schwachstelle in einem Online-Shop auszunutzen, und andererseits für den Shopbetreiber, dass diese Schwachstellen mit relativ wenig Aufwand behoben werden können und somit die Schwierigkeit für einen schädigenden Angriff steigt.
Eingabemasken, wie etwa das Login für registrierte Kunden, zählen zu den meist genannten Sicherheitsrisiken. Sollte man als Shopbetreiber sicherheitshalber dann nicht besser auf eine Kundenregistrierung verzichten?
Hendrik Lennarz: Ja, es ist natürlich richtig, dass die Kundenregistrierung eines Onlineshops besonders häufig das Ziel zahlreicher Angriffe darstellt. Auf diese Funktionalität jedoch vollständig zu verzichten, ist meines Erachtens nicht die richtige Lösung, da ein persönlicher Bereich vom Benutzer erwartet wird und demnach zur Benutzerfreundlichkeit des Onlineshops beiträgt.
Zudem denke ich, dass häufig nicht die technische Umsetzung des Login-Bereichs die eigentliche Schwachstelle darstellt, sondern eher der „gemeine” Benutzer, der es verwendet. Vorgegebene Passwortrestriktionen wie beispielsweise eine bestimmte Mindestlänge oder die Verwendung wenigstens eines Sonderzeichens können derartige Angriffe bereits erschweren.
Bei solchen Fragen muss der Shopbetreiber ein ausgewogenes Mittel zwischen einer angemessenen Benutzerfreundlichkeit und technischer Sicherheit finden.
Vielen Dank für das Gespräch!