Der Traffic im Netz nimmt stetig zu. Knapp 70% der deutschen Internetnutzer shoppen online. Ein wichtiger Faktor dabei ist natürlich die Sicherheit. Und dies trifft für beide Seiten zu: Die Kunden wollen, dass ihre Daten möglichst sicher aufbewahrt werden und die Shop-Betreiber wollen ihren Kunden eine möglichst sichere Umgebung bieten, damit diese guten Gewissens ihre Daten für den Einkauf preisgeben. Diese Situation wird jedoch durch Angriffsszenarien wie Meltdown und Spectre zunehmend bedroht. Wir zeigen, wer gefährdet ist und wie man sich dagegen schützen kann.

IT-Sicherheitsgesetz

Auch die Bundesregierung hat erkannt, dass mit der zunehmenden Online-Nutzung Regelungen bezüglich der Sicherheit in der Informationstechnologie notwendig sind. Mitte 2015 trat deshalb ein „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ – vereinfacht auch IT-Sicherheitsgesetz genannt – in Kraft. Die Regierung leistet damit nach eigenen Angaben einen wichtigen Beitrag zur digitalen Infrastruktur und IT-Sicherheit in Deutschland. Die Bürger profitieren von diesem Gesetz, während sich für Shop-Betreiber daraus hauptsächlich Pflichten ergeben. Sie müssen beispielsweise ihren Internetauftritt vor unerlaubten Zugriffen schützen und dafür technische und organisatorische Maßnahmen ergreifen. Außerdem sind sie dazu verpflichtet, immer den aktuellen Stand der Technik zu gewährleisten.

Wichtige Faktoren in Online-Shops

Welche Faktoren spielen in Online-Shops überhaupt eine wichtige Rolle? Hier ist zunächst einmal die Seitenladezeit zu nennen. Diese ist mittlerweile sogar eine der Top-Ranking-Faktoren bei Google. Wessen Webseite zu langsam lädt, hat keine Chance in den Ergebnissen der beliebten Suchmaschine aufzutauchen. Auch die Skalierbarkeit und die Wahl des richtigen Servers sind wichtig für den Erfolg des Online-Shops. Hier sollte man sich gründlich informieren und bei fehlendem Wissen am bestens einen Experten zu Rate ziehen. Weitere Infos rund um die Implementierung eines erfolgreichen Online-Shops findest du hier.

Diese Parameter sind natürlich alle potenzielle Risikofaktoren, wenn es um die Sicherheit in der Shop-IT geht. Ein Thema, das vor allem bei Kunden im Fokus steht, ist der Datenschutz. Hier sollte man entsprechende Maßnahmen ergreifen und mögliche Kunden umfassend über diese informieren. Ein großes Thema in diesem Zusammenhang ist die seit dem 25. Mai bindende DSGVO. Unternehmen müssen sich hier auf eine deutliche Ausweitung der Rechte von Kunden beispielsweise in Bezug auf die Auskunftspflicht einstellen, zentral geht es dabei auch um den Schutz personenbezogener Daten. Pflicht ist seitdem auch, dass jede Webseite, die personenbezogene Daten verarbeitet, ein gültiges SSL-Zertifikat hat.

Was gefährdet die Sicherheit der Shop-IT?

Ein Risikofaktor sind die bereits erwähnten Angriffsszenarien Meltdown und Spectre, die Anfang des Jahres für große Aufregung gesorgt haben. Die Sicherheitslücken finden sich auf nahezu jedem Hauptprozessor aktueller Rechner und man kann derzeit fast nichts dagegen unternehmen. Besonders Intel, aber auch ARM und zum Teil AMD, sind von diesen Schwachstellen betroffen. Ein besonderes Risiko besteht hier in verteilten Systemen wie beispielsweise Cloud-Umgebungen oder im Zusammenschluss mehrerer Computer, auf denen eine gemeinsame Shop-Software betrieben wird. Auch werden Online-Auftritte von immer häufiger auftretenden DDoS-Angriffen bedroht. Dabei können ganz erhebliche Schäden für Unternehmen aller Branchen entstehen. DDoS-Attacken können hohe Kosten verursachen oder u. U. sogar bis hin zum Ausfall des gesamten Geschäftsbetriebs führen.

Was können Shop-Betreiber tun, um die Sicherheit im eigenen Shop zu erhöhen?

Kurzfristig helfen hier Updates und Patches, diese können jedoch mit erheblichen Nebenwirkungen einhergehen wie z. B. Einbußen bei der Performance oder sogar neue Sicherheitslücken. Langfristig sollte man in Bezug auf Meltdown und Spectre die neue Mikroprozessor-Generation abwarten, die jedoch nicht vor Ende des Jahres zur Verfügung stehen wird. Empfehlenswert ist auch das Erarbeiten einer eigenen Sicherheitsstrategie, je nach persönlichen Anforderungen und Komplexität des eigenen Systems. Auch sollten Aktualisierungen auf mehreren Ebenen durchgeführt werden, dies betrifft zum Beispiel die Hardware, das Betriebssystem, den Hypervisor und die einzelnen Anwendungen und allem voran die Webbrowser, da auch hier Angriffe stattfinden können. Aus diesem Grund sollte man nicht nur die Server im Rechenzentrum oder der Cloud im Auge behalten, sondern auch die eigenen Office-PC’s. Unterstützung bietet hier ein Managed Service, bei dem sich der Hoster um Sicherheitsaspekte wie Updates oder Patches kümmert. Auch gegen mögliche DDoS-Attacken kann man Vorkehrungen treffen. Eine grundsätzliche Sicherheit vor solchen Angriffen gibt es zwar nicht, mit entsprechenden Services lassen sich mögliche Störungen aber reduzieren. 

Die Sicherheit in der Shop-IT spielt also sowohl für die Betreiber als auch für die Kunden eine große Rolle. Betreiber sollten sich bei der Implementierung ihres Online-Shops von Anfang an Gedanken über Sicherheitsvorkehrungen machen. Ein Restrisiko bleibt jedoch auch dann, denn für Angriffsszenarien wie Meltdown und Spectre gibt es keine Metrik, die in einem SLA definiert werden könnte.

Höre dir hierzu auch unsere Snapshot-Folge an: