Schutz vor Datenklau 05.05.2015, 09:25 Uhr

Datensicherheit im Visier

Kunden erwarten zu Recht, dass ihre Daten bei Online-Händlern in sicheren Händen sind. Damit das so ist und auch so bleibt, müssen Shop-Betreiber wachsam sein
Man mit Kapuze hinter Zahlen
(Quelle: Fotolia.com/adimas)
Von Bernhard Münkel
Millionen Zugangsdaten hier, Hunderttausende Adressen dort: Ebay, Adobe, Sony, Vodafone - ihnen allen wurden bereits im großen Stil Kundendaten gestohlen. Wenn große Unternehmen ­betroffen sind, berichten die Medien über den Datenklau. Doch wie viele Fälle dieser Art bleiben unentdeckt, weil sie kleineren Webshops widerfahren sind? Experten für Datensicherheit wie Markus Robin, Geschäftsführer der SEC Consult Unternehmensberatung, weisen darauf hin, dass Hacker auch kleinere Online-Shops ins Visier nehmen.
Nahezu jedes dritte Unternehmen in Deutschland verzeichnete in den vergangenen zwei Jahren Datensicherheits-Vorfälle, ergab eine aktuelle Umfrage im Auftrag des Branchenverbands Bitkom unter 458 Unternehmen. Kleinere Firmen sind häufiger betroffen als große. Während bei ­Unternehmen mit bis zu 500 Mitarbeitern fast jedes Dritte bereits mit Datensicherheits-Vorfällen zu tun hatte, ist es bei größeren Unternehmen nahezu jedes Fünfte.
Die Angriffe erfolgen sowohl von innen durch Mitarbeiter als auch von außen über das Internet, zeigt eine Bitkom-Umfrage. "Große Unternehmen sind zwar häufiger Angriffsziel, können die ­Attacken aber aufgrund ihrer personellen, finanziellen und technischen Ressourcen besser abwehren“, sagt Dieter Kempf, Präsident des Branchenverbands Bitkom.

Verschiedene Angriffspunkte

Betrachtet man die Angriffe auf Online-Shops im Detail, so konzentrieren sich diese auf bestimmte Schwachstellen. Bei Angriffen von außen besonders häufig betroffen ist der Webserver mit den dahinter liegenden Datenbanken, auf den das jeweilige Shop-System aufsetzt. Bedingt durch die Komplexität der Systeme gibt es dort die meisten Angriffspunkte. Häufig nutzen die Hacker gezielt Pufferüberläufe im Hauptspeicher des Servers aus, um ein­geschleuste Codes auszuführen oder sensible Speicherbereiche auszulesen.
Eine andere Art der Attacke ist, in den Shop-Auftritt Teile einer fremden Webseite durch Cross-Site Scripting (Ausnützen ­einer Sicherheitslücke in der Webanwendung) einzufügen, um von ahnungslosen Kunden Konto- oder Zugangsdaten zu erfragen. Einfacher ist es für manchen Hacker, persönliche Daten und Kennwörter bereits zwischen Kundenrechner und Server aus dem Netz zu fischen. Die Datensicherheit ist deshalb immer dann bedroht, wenn Daten nicht verschlüsselt werden.
Eine der wichtigsten Voraussetzungen für die Datensicherheit des Online-Shops ist daher die verschlüsselte Übermittlung der Daten, damit sie von Außenstehenden nicht abgefangen und für betrügerische Zwecke missbraucht werden können. Der Standard für die Verschlüsselung heißt TLS (Transport Layer Security), besser bekannt unter der Bezeichnung seines Vorgängers SSL (Secure Sockets Layer). Seit Version 3.0 wird das SSL-Protokoll unter dem Namen TLS weiterentwickelt. Im Browser kann der Nutzer am Schlosssymbol leicht erkennen, ob er sich gerade auf einer gesicherten Seite befindet.
"Inhaber von geschäftsmäßig betriebenen Webseiten müssen garantieren können, dass ihre Server vor unbefugten ­Zugriffen geschützt und sie gegen äußere Einwirkungen gesichert sind", erklärt Christian Heutger, Geschäftsführer der PSW Group, eines IT-Dienstleisters für Datensicherheit. Der Experte für Datensicherheit verweist darauf, dass jeder noch so kleine Webshop zum sicheren Betrieb verpflichtet ist. Ein SSL-Zertifikat verhindert, dass Nutzerdaten wie Passwörter, Bankverbindungen oder Personendaten von Cyber-Kriminellen ausgespäht werden. "Obendrein garantiert ein SSL-Zertifikat, dass der Webshop-Betreiber durch eine dritte Instanz geprüft und seine Identität sichergestellt wurde“, betont Heutger.



Das könnte Sie auch interessieren