INTERNET WORLD Business Logo Abo
Spectre meltdown cybercrime sicherheit Hacker an Tastatur
Security 02.05.2018
Security 02.05.2018

Tipps für Shop-Betreiber So sicher muss die Shop-IT sein

shutterstock.com/Welcomia
shutterstock.com/Welcomia

Immer wieder sorgen Sicherheitslücken für Schlagzeilen, wie zu Jahresbeginn "Meltdown" und "Spectre". Das Thema ist zwar aus den Schlagzeilen, aber nicht vom Tisch: Auch Shop-Betreiber müssen handeln.

Als Anfang des Jahres die ersten Meldungen über die flächendeckenden ­Sicherheitslücken "Meltdown" und "Spectre" bekannt wurden, war die Aufregung groß. Die Schwachstellen finden sich in nahezu jedem Hauptprozessor (Central Processing Unit, CPU) aktueller Rechner. Manche bezeichneten sie sogar als die "schlimmsten CPU-Bugs aller Zeiten". 

Genau genommen sind "Meltdown" und "Spectre" jedoch gar keine Sicherheitslücken. Es handelt sich vielmehr um Angriffsszenarien, die von der Google-Gruppe "Project Zero", dem Unternehmen Cyberus Technology und Wissenschaftlern der Technischen Universität Graz entdeckt und beschrieben wurden. Für solche Angriffe nutzen Kriminelle gängige Mechanismen, mit denen aktuelle Prozessoren die Ausführung von Programmen beschleunigen. Dazu gehört beispielsweise die sogenannte "Out of ­Order Execution", mit der sich Prozesse in einer anderen als der vom Programm vorgesehenen Reihenfolge abarbeiten lassen, oder die "Speculative Execution", die ­Daten bereits in den Hauptspeicher lädt, bevor sie tatsächlich angefordert wurden. Angreifer verwenden diese Mechanismen, um sensible Daten aus dem Hauptspeicher eines Systems auszulesen. 

"'Spectre' und 'Meltdown' sind entstanden, weil eine Entscheidung zwischen schnelleren Zugriffen und dem Schutz von besonders sensiblen Daten getroffen wurde und nicht beide Ziele gleichzeitig verfolgt wurden", erklärt Ramon Mörl, Geschäftsführer des Münchner IT-Sicherheitsspezialisten IT Watch. "Meltdown" betrifft im Wesentlichen Prozessoren der Firma Intel mit Ausnahme der Intanium-Familie. Für "Spectre"-Angriffe sind neben den Intel-Chips auch AMD-CPUs anfällig sowie Prozessoren, die auf der ARM-Architektur basieren. 

Auch über den Browser lassen sich Daten stehlen

Da bei einer der "Spectre"-Varianten der schädliche Code über interpretierte Sprachen wie Javascript untergeschoben werden kann, lässt sich ein Angriff auch über einen Browser ausführen. Ein Angreifer könnte so beispielsweise Passwörter, Kreditkartennummern oder andere sensible Informationen auslesen, die Shop-Besucher im Browser eingeben. "Auch Kunden, die sich anmelden, können über 'Spectre' und 'Meltdown' angegriffen werden. Ihre Identität kann gestohlen werden", sagt IT-Watch-Geschäftsführer Mörl.

Da nahezu alle Rechner betroffen sind, müssen sich auch Shop-Betreiber mit dem Problem auseinandersetzen. Denn nach dem "Gesetz zur Erhöhung der ­Sicherheit informationstechnischer Systeme", kurz auch IT-Sicherheitsgesetz ­genannt, sind die Betreiber von Web-Angeboten wie zum Beispiel Online-Shops verpflichtet, den aktuellen "Stand der Technik" zu gewährleisten. Das bedeutet in erster Linie, dass Unternehmen alle verfügbaren organisatorischen und technischen Maßnahmen ergreifen müssen, um eine bestmögliche Sicherheit ihrer Systeme zu erzielen. 

Die eigentlichen Ursachen für "Meltdown" und "Spectre" lassen sich allerdings erst mit einer neuen Mikroprozessor-Genera­tion beheben, die nicht vor Ende dieses Jahres zur Verfügung stehen wird. Als Soforthilfe haben Prozessor- und Betriebssystemhersteller sowie die Anbieter der gängigsten Browser daher eine Reihe von Updates und Nachbesserungen, ­sogenannte  Patches, bereitgestellt, die das Risiko minimieren sollen. Die ersten Patches hatten ­jedoch zum Teil erhebliche Nebenwirkungen wie Performance-Einbußen bis zu 50 Prozent oder ständige System-Neustarts. Einige Patches führten sogar zu ­erheblichen neuen Sicherheitsrisiken. 

Was Shop-Betreiber jetzt tun sollten

Tobias Glemser, Geschäftsführer des ­Sicherheitsdienstleisters Secuvera und ­Experte des Teletrust - Bundesverbands IT-Sicherheit, rät Shop-Betreibern, zunächst einmal das eigene Risiko einzuschätzen: "Bin ich in einer verteilten Umgebung? Wer ist für das Betriebssystem verantwortlich? Das wären zwei Einstiegsfragen für die Risikobetrachtung." Verteilte Systeme, also ein ­Zusammenschluss mehrerer Computer oder Cloud-Server, auf denen beispielsweise die Shop-Software gemeinsam betrieben wird, stellen ein besonderes Risiko dar, da sie die Angriffsfläche für "Meltdown" und "Spectre" erhöhen. 

E-Commerce-Anbieter sollten aber nicht nur ihre Server im Rechenzentrum oder in der Cloud im Blick haben, sondern auch ihre eigenen Office-PCs, so der Teletrust-Experte weiter: "Auf den Rechnern werden sensible Daten verarbeitet, etwa die administrativen Passwörter zum Shop-Backend und anderen Anwendungen. Da Angriffe grundsätzlich auch über den Browser möglich sind, ist hier ein hohes Risiko zu erwarten." 

Sicherheitsstrategie erarbeiten und umsetzen

IT-Watch-Geschäftsführer Ramon Mörl rät, eine Strategie zu erarbeiten und umzusetzen, die mehrere Schutzschilde hintereinander vorsieht. Diese sollten dann auch Applikationen wie die Shop-Software oder das Warenwirtschaftssystem berücksichtigen: "Gerade in Server-Landschaften ist es zwingend notwendig, dass jede Anwendung, die gestartet wird - oder werden kann -, bekannt und bezüglich ihrer Funktion so weit geprüft ist, dass sie keine Daten unberechtigt nach außen gibt."

Shop-Betreiber sollten daher Aktualisierungen auf mehreren Ebenen vornehmen beziehungsweise diese von ihren Cloud- und Hosting-Partnern fordern. Die erste Ebene ist die Hardware, in diesem Fall ­also Patches für Computer-Komponenten wie Prozessoren und Motherboards. Teilweise werden solche Updates nicht automatisch eingespielt, sondern müssen aktiv gesucht und geladen werden. Die zweite Ebene ­betrifft die Betriebssysteme wie Windows, Mac OS, Linux oder Android, die ebenfalls über Updates auf den neuesten Stand gebracht werden sollten. 

Die dritte Ebene ist der sogenannte ­Hypervisor, eine Art virtueller Verwalter, über den auf einer Hardware mehrere virtuelle Rechner parallel und unabhängig voneinander ausgeführt werden können. Dazu zählen Systeme wie VMware ESXi, Microsoft Hyper-V, Xen und XenServer. Auch für sie liegen Patches vor. Die vierte und letzte Ebene betrifft einzelne Anwendungen, in diesem Fall vor allem die Webbrowser. Auch hier sind die wichtigsten Systeme mittlerweile gepatcht. 

Größeres Risiko für  Shops in der Cloud

Shops in Cloud- oder Hosting-Umgebungen, in denen viele Nutzer sich über virtuelle Maschinen die Rechenleistung ­eines Prozessors teilen, sind einem erhöhten Risiko ausgesetzt. In einer solchen Umgebung wäre es prinzipiell möglich, aus einem virtuellen System heraus die Daten anderer Anwender auszulesen. "Im Fokus der Angreifer würden vermutlich nicht einmal die Kundendaten des Shops direkt liegen, sondern vielmehr die administrativen Zugangsdaten, um die Shop-Software oder das Betriebssystem zu kontrollieren", sagt Tobias Glemser, "damit könnten unter anderem personenbezo­gene Daten der Kunden kopiert, Shop-Daten verändert oder der Shop schlicht gelöscht werden." 

Wer einen Shop in einer Cloud betreibt, sollte sichergehen, dass der Provider alle verfügbaren Patches und Updates eingespielt hat. In der Regel ist das auch geschehen: "Alle großen Cloud-Provider und Hoster haben bereits Patches eingespielt“, so Glemser. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat zudem einen Anforderungskatalog namens "C5 Cloud Computing" entwickelt, der grundsätzlich festlegt, welche Sicherheitseigenschaften ein Cloud-Dienst besitzen sollte. Darüber hinaus kann sich ein Shop-Betreiber über Service Level Agreements (SLA) das Einspielen aktueller Patches von seinem Provider oder Hoster garantieren lassen.

Restrisiko ist Sache des Shop-Betreibers

Dennoch bleibt ein Restrisiko: "Leider ist bei 'Spectre' und 'Meltdown' das Thema Sicherheit im Sinne von Integrität und Vertraulichkeit betroffen - für beide gibt es keine Metrik, die in einem SLA definiert werden könnte", sagt Ramon Mörl von IT Watch. "Übergibt ein Shop-Betreiber Teile seiner Daten oder des Betriebs an Dritte, ist er zunächst selbst dafür verantwortlich zu bewerten, welche Daten aus Eigeninteresse und welche aus allgemeinen, meist rechtlichen oder auch branchentypischen Auflagen besonders zu schützen sind."

Auch wenn die Patches gegen "Meltdown"- und "Spectre"-Angriffe zum Teil zu erheblichen Problemen geführt haben - eine Alternative zur schnellen Aktualisierung aller Systeme gibt es nicht. "Es muss Standard sein, Patches zeitnah produktiv einzuspielen", sagt Glemser. Grundsätzlich rät er jedem Shop-Betreiber, ein Patch-Konzept aufzubauen, das alle Komponenten wie Shop-Software, Webserver und Datenbankserver, aber auch Hosting- und andere Dienstleister berücksichtigt: "Wer sich erst jetzt durch 'Spectre' und 'Meltdown' die Frage stellt, wie er den im IT-Sicherheitsgesetz geforderten 'Stand der Technik' einhalten soll, hat bisher seine Hausaufgaben nicht gemacht."

Das könnte Sie auch interessieren