Von Bernhard Münkel

Millionen Zugangsdaten hier, Hunderttausende Adressen dort: Ebay, Adobe, Sony, Vodafone - ihnen allen wurden bereits im großen Stil Kundendaten gestohlen. Wenn große Unternehmen ­betroffen sind, berichten die Medien über den Datenklau. Doch wie viele Fälle dieser Art bleiben unentdeckt, weil sie kleineren Webshops widerfahren sind? Experten für Datensicherheit wie Markus Robin, Geschäftsführer der SEC Consult Unternehmensberatung, weisen darauf hin, dass Hacker auch kleinere Online-Shops ins Visier nehmen.

Nahezu jedes dritte Unternehmen in Deutschland verzeichnete in den vergangenen zwei Jahren Datensicherheits-Vorfälle, ergab eine aktuelle Umfrage im Auftrag des Branchenverbands Bitkom unter 458 Unternehmen. Kleinere Firmen sind häufiger betroffen als große. Während bei ­Unternehmen mit bis zu 500 Mitarbeitern fast jedes Dritte bereits mit Datensicherheits-Vorfällen zu tun hatte, ist es bei größeren Unternehmen nahezu jedes Fünfte.

Die Angriffe erfolgen sowohl von innen durch Mitarbeiter als auch von außen über das Internet, zeigt eine Bitkom-Umfrage. "Große Unternehmen sind zwar häufiger Angriffsziel, können die ­Attacken aber aufgrund ihrer personellen, finanziellen und technischen Ressourcen besser abwehren“, sagt Dieter Kempf, Präsident des Branchenverbands Bitkom.

Betrachtet man die Angriffe auf Online-Shops im Detail, so konzentrieren sich diese auf bestimmte Schwachstellen. Bei Angriffen von außen besonders häufig betroffen ist der Webserver mit den dahinter liegenden Datenbanken, auf den das jeweilige Shop-System aufsetzt. Bedingt durch die Komplexität der Systeme gibt es dort die meisten Angriffspunkte. Häufig nutzen die Hacker gezielt Pufferüberläufe im Hauptspeicher des Servers aus, um ein­geschleuste Codes auszuführen oder sensible Speicherbereiche auszulesen.

Eine andere Art der Attacke ist, in den Shop-Auftritt Teile einer fremden Webseite durch Cross-Site Scripting (Ausnützen ­einer Sicherheitslücke in der Webanwendung) einzufügen, um von ahnungslosen Kunden Konto- oder Zugangsdaten zu erfragen. Einfacher ist es für manchen Hacker, persönliche Daten und Kennwörter bereits zwischen Kundenrechner und Server aus dem Netz zu fischen. Die Datensicherheit ist deshalb immer dann bedroht, wenn Daten nicht verschlüsselt werden.

Eine der wichtigsten Voraussetzungen für die Datensicherheit des Online-Shops ist daher die verschlüsselte Übermittlung der Daten, damit sie von Außenstehenden nicht abgefangen und für betrügerische Zwecke missbraucht werden können. Der Standard für die Verschlüsselung heißt TLS (Transport Layer Security), besser bekannt unter der Bezeichnung seines Vorgängers SSL (Secure Sockets Layer). Seit Version 3.0 wird das SSL-Protokoll unter dem Namen TLS weiterentwickelt. Im Browser kann der Nutzer am Schlosssymbol leicht erkennen, ob er sich gerade auf einer gesicherten Seite befindet.

"Inhaber von geschäftsmäßig betriebenen Webseiten müssen garantieren können, dass ihre Server vor unbefugten ­Zugriffen geschützt und sie gegen äußere Einwirkungen gesichert sind", erklärt Christian Heutger, Geschäftsführer der PSW Group, eines IT-Dienstleisters für Datensicherheit. Der Experte für Datensicherheit verweist darauf, dass jeder noch so kleine Webshop zum sicheren Betrieb verpflichtet ist. Ein SSL-Zertifikat verhindert, dass Nutzerdaten wie Passwörter, Bankverbindungen oder Personendaten von Cyber-Kriminellen ausgespäht werden. "Obendrein garantiert ein SSL-Zertifikat, dass der Webshop-Betreiber durch eine dritte Instanz geprüft und seine Identität sichergestellt wurde“, betont Heutger.

Nicht nur Verschlüsselung, auch die regelmäßige Aktualisierung sorgt für mehr ­Sicherheit, denn Programmierfehler sind in Standardapplikationen an der Tagesordnung. "Immer wieder werden neue Fehler gefunden und anschließend mit Patches und Updates behoben. Das erfordert vom Shop-Betreiber eine kontinuierliche Pflege seiner Systeme. Will er nicht selber die Ressourcen vorhalten, ist er gut beraten, die Datensicherheit seines Shops von einem Hosting-Provider betreuen zu lassen, der ihm den Dienst im Rahmen eines Managed Service anbietet“, rät Wilhelm Seucan, Geschäftsführer des Hosting-Anbieters Centron.

Andre Beunink, IT-Experte bei Trusted Shops, empfiehlt: "Shop-Betreiber sollten auf etablierte Shop-Systeme setzen, da ­diese bereits von Haus aus einen gewissen Sicherheitsstandard mitbringen. Eigenentwickelte Shop-Lösungen sind in der Regel anfälliger." Denn auch Neuprogrammierungen und Anpassungen an einem Shop-System können Fehler enthalten.

Wird dann noch aus Kostengründen an der Sicherheitsüberprüfung des Codes ­gespart, bleiben Softwarefehler oft verborgen. Wenn sie von Hackern entdeckt werden, laden sie zum Missbrauch ein. Je komplexer eine Installation jedoch ist, umso größer ist der Aufwand bei Erstellung und Pflege - und das kostet. Zu Beginn seien die meisten Shop-Betreiber sehr auf die Einhaltung aller wichtigen Regeln bedacht, beobachtet Seucan. Oft gehen sie aber schon nach kurzer Zeit die ersten Kompromisse ein.

"Der häufigste Fehler aus technischer Sicht ist, dass sehr nachlässig mit Software-Updates und der Beseitigung von Bugs umgegangen wird“, erklärt der Centron-Geschäftsführer: "In solchen Fällen wird oft mit dem Gedanken 'wird schon gutgehen‘ ein Auge zugedrückt.“

Der Blick auf die technische Datensicherheit ­eines Shop-Systems deckt aber nur ein Problem auf. Laut der Bitkom-Umfrage wurden die Vorfälle zur Datensicherheit bei 65 Prozent der befragten Unternehmen von innen, also "vor Ort“ von Mitarbeitern verursacht.

"Ein großes Problem ist der nachlässige Umgang mit Passwörtern am Arbeitsplatz. Nach unserer Erfahrung ereignen sich die meisten Sicherheitsvorfälle auf Kundenseite durch einen kompromittierten Rechner, bei dem auch Passwörter ausspioniert werden können“, berichtet Seucan.

Regeln, wie Kunden die interne IT absichern können, bieten seit vielen Jahren die IT-Grundschutz-Kataloge vom Bundesamt für Sicherheit in der Informationstechnik (BSI). Hilfestellung bekommen Shop-Betreiber auch bei spezialisierten Sicherheits-Consultants oder beim Hosting-Anbieter, sofern Managed Services vereinbart sind.

Wenn ein Shop-Betreiber diese Regeln ­beachtet und entsprechende Hilfe in Anspruch nimmt, ist er bereits gut gerüstet. Doch Daten lassen sich nicht allein durch Verschlüsselung und Passwörter schützen. Auch wenn der Shop-Betreiber darauf bedacht ist, seine Kundendaten technisch zu schützen, gibt es noch wei­tere Stellen, an denen die Datensicherheit bröckeln kann.

Viele Unternehmen geben ihre Daten für Marketingmaßnahmen an Dienstleister und Callcenter weiter. Wer garantiert, dass diese sie auch schützen? Werden Mitarbeiter oder Dienstleister das Material möglicherweise entwenden oder weitergeben? Eine gute Reputation des Dienstleisters und ein ausgefeiltes Vertragswerk sind hier hilfreich. "So oder so: Die letzte Verantwortung hat der Shop-Betreiber“, betont Markus Robin von SEC Consult.

Fazit: Datensicherheit erfordert Aufmerksamkeit und Investition, fehlende Datensicherheit kann die Existenz kosten.