How to: IT-Sicherheit für Betreiber von Online-Shops

Spyware, Malware, Hacking: Im Internet lauern einige Gefahren. Sensible Daten können abgegriffen werden, ob nun mit Bezug auf die eigene oder andere Personen. Aber auch „Lösegeldforderungen“ kommen vor und können eine ernsthafte Bedrohung darstellen, wenn beispielsweise durch einen Virus kein Zugriff mehr auf die eigenen Systeme besteht. Online-Händler haben dabei nicht nur um ihrer selbst Willen ein Interesse an einem sicheren Auftritt, sondern auch wegen ihrer Kundschaft. 

So gibt die Datenschutz-Grundverordnung vor, dass jeder Verantwortliche technische und organisatorische Maßnahmen treffen muss, um die Sicherheit von Daten Betroffener zu gewährleisten. Dieser Beitrag liefert einige praktische Tipps, wie man für einen sicheren Shop sorgen kann - vom Passwort bis zur Verschlüsselung.

Ohne Schlüssel kein Eintritt: Passwörter 

„Du kommst hier nicht rein!“ lautete der Titel des OnlinehändlerMagazins von Anfang 2019. Während es dort noch um die Frage ging, wie es eigentlich um das digitale Hausrecht von Shopbetreibern steht, passt dieses Motto auch im Rahmen der Zugangssicherung: Wer keinen Zugang hat, soll auch nicht reinkommen – können. Das gilt im Online-Shop gleichermaßen für die Konten von Kunden als auch für das Backend oder den Händler-Bereich, da hier regelmäßig zahlreiche Einstellungen vorgenommen oder Bestellungen bearbeitet werden können. Um eine taugliche Zugangssicherung sicherzustellen, kommt es dabei zum einen auf das Passwort an sich an, zum anderen aber auf das „Drumherum“.

Schatz!123: Gute Passwörter gehen anders

 

Ein einfaches Passwort, möglicherweise auch noch mit Klein- und Großbuchstaben sowie Zahlen – das geht jedenfalls in die richtige Richtung. Ungünstig wird es, wenn die Bequemlichkeit siegt. Das kann sich auf verschiedene Arten zeigen, etwa wenn das Passwort für eine Vielzahl von Seiten genutzt wird oder der Inhalt eher generisch ist und damit auch das Passwort zahlreicher anderen Personen darstellt. 

Es nützt jedoch wenig, ein ellenlanges Passwort mit Sonderzeichen zu wenden, das dann vermutlich für Dritte kaum zu erraten, für sich selbst aber auch kaum zu merken ist. Dabei stellt sich nun eine wichtige Frage: Was macht ein sicheres Passwort überhaupt aus?

Auf die Länge kommt es an...

Ein sicheres Passwort ist so lang, wie es nur geht. Mehr Zeichen bedeuten mehr Möglichkeiten, die ein Hacker bzw. dessen System durchgehen muss. Einen Königsweg gibt es hinsichtlich der Passwortlänge aber kaum. Acht Zeichen stellen ein gutes Minimum dar, aber die ideale Länge hängt am Ende auch stark davon ab, was geschützt werden soll. Gängige Schlüssel für Wlan-Netzwerke beispielsweise haben oftmals 15 und mehr Stellen.

...so wie auf den Inhalt...

Dabei sollte man sich jedoch nicht nur auf das Alphabet beschränken, sondern alle Zeichen nutzen, die zur Verfügung stehen. Das umschließt Groß- und Kleinschreibung, Zahlen und Sonderzeichen – selbst ein Leerzeichen kann genutzt werden, wenn die Voreinstellungen dies erlauben. 

Wenn es sonst ein gutes Zeichen ist, dass die Wörter, welche man benutzt, in Wörterbüchern auftauchen, gilt dies für Passwörter hingegen nicht. Hier ist es beispielsweise eine Hilfe, Buchstaben teilweise durc5 Zah!en od3r Ze1chen zu ersetzen. Auf Namen und Daten von Angehörigen, Haustieren und ähnlichem sollte schließlich ebenfalls verzichtet werden, genauso wie auf das bloße Anhängen oder Voranstellen von Sonderzeichen und Zahlen. Wer ist damit sich selbst einfacher machen will, tut dies auch für potentielle Unbefugte. 

...und das „Drumherum“.

Recht einleuchtend ist, dass das Passwort nicht für mehrere verschiedene Dienste genutzt werden sollte. Kommt es zu einer Datenschutzpanne oder wird das Passwort entschlüsselt, liegt der Zugang andernfalls gleich zu mehreren Accounts offen. 

Wie aber steht es um die Empfehlung, Passwörter regelmäßig zu ändern? Dieses Verfahren ist in vielen Unternehmen verbreitet und wird oft auch Privatpersonen angeraten. Tatsächlich wird davon in den letzten Jahren aber Abstand genommen: Das National Institute of Standards and Technology (NIST) in den USA empfiehlt dieses Vorgehen schon seit 2017 nicht mehr, und auch das Bundesamt für Sicherheit in der Informationstechnik führt die regelmäßige Änderung in seinem IT-Grundschutz-Kompendium nicht mehr auf. Die häufige Folge regelmäßiger Änderungen sind nämlich schwache oder fortlaufende Passwörter – immerhin muss sich jedes Mal ein neuer Begriff gemerkt werden. Im Ergebnis führt das zu einem schwächeren Gesamtschutz.

Davon abgesehen, gilt: Passwörter sollten nicht weitergegeben, und sofern nötig, nur an äußert sicherer Stelle notiert werden. Sie sollten stets unbeobachtet eingegeben und im Falle des Bekanntwerdens für Dritte selbstverständlich geändert werden. Eine gute Vorsorge für abhanden gekommene Passwörter ist dabei ebenfalls wichtig. Für diesen Fall stellen die jeweiligen Plattformen unterschiedliche Möglichkeiten zur Verfügung, ein vergessenes Passwort zu ändern. Beliebt sind etwa Sicherheitsfragen wie „Wie heißen ihre Kinder?“. Oft handelt es sich bei den Antworten auf solche Fragen zwar um solche, die man selbst gut kennt – wie in diesem Beispiel könnten sie aber auch durch Dritte auf einfachste Weise über soziale Medien recherchiert werden. Hier sollte stattdessen auf eine Zwei-Faktor-Authentifizierung gesetzt werden, bei welcher die Identifizierung beispielsweise über eine Nachricht an die Handynummer erfolgt. 

Wie merken? Passwort mit System

Befolgt man diese Vorgaben an möglichst sichere Passwörter, verliert man aber früher oder später den Überblick, und womöglich auch den Verstand. Daher kann es hilfreich sein, seine Passwörter mit einem System zu organisieren, und/oder ein System zur Verwaltung zu nutzen. Um sichere Passwörter auf einem System beruhend zu kreieren, gibt es verschiedene Methoden, die natürlich auch nach eigenen Bedürfnissen abgeändert werden können. Zwei davon stellen wir hier vor:

• Die Spruch-Methode

Grundlage des Passwortes ist ein Satz, der idealerweise auch eine Zahl enthält. Aus den Anfangsbuchstaben wird dann das Passwort abgeleitet. Hier sollte für jede Plattform natürlich ein anderer Satz gewählt werden.

Beispiel: Ich handle online in meinem Shop und auf vier Marktplätzen! → IhoimS+a4M!

• Die Karten-Methode

Eine weitere Möglichkeit stellt die Verwendung von Passwort-Karten dar. Hier gibt es verschiedene Anbieter und auch kostenfreie Versionen, wie beispielsweise von Ines IT oder Deutschland sicher im Netz e.V. Mit Hilfe der Karte findet eine Codierung statt – wie genau, das entscheidet sich nach dem genutzten System. Hier sollte man die Karte allerdings meist auch dabei haben, um auch unterwegs das Passwort bilden zu können. Dabei kann eine solche Karte auch selbst hergestellt werden. 

Schließlich können auch Tools zur Passwort-Verwaltung, sog. Passwort-Manager, genutzt werden. Hier kann nach der Eingabe eines Master-Passworts oder einer anderen Verifikation, beispielsweise per Fingerabdruck am Smartphone eine Datenbank mit den gespeicherten Passwörtern abgerufen werden. Sie funktionieren je nach Variante systemübergreifend oder sind sogar schon im Betriebssystem implementiert, wie es etwa mit dem „Schlüsselbund“ bei Apple der Fall ist. Viele dieser Tools unterstützen über die bloße Speicherung hinaus zudem durch das Erstellen sicherer Passwörter. Dass Passwort-Manager hilfreich sein können, betont auch das Bundesamt für Sicherheit in der Informationstechnik. Doch natürlich gibt es Schattenseiten: Hier muss nur das Master-Passwort geknackt werden, und sämtliche gespeicherten Passwörter liegen ggf. offen – ein Einfalltor für Identitätsdiebstahl. Will man solch einen Manager nutzen, sollten in Frage kommende Modelle daher dringend auf ihre Gestaltung und Absicherung hin geprüft werden. 

Grippe im System – Gefahr durch Viren

Von der Bequemlichkeitkeit sollte man sich auch im Bereich der Bedrohung durch Viren nicht lähmen lassen. Ein Computervirus ist ein verhältnismäßig altes Phänomen im Bereich der IT. Dabei handelt es sich um Programme, die sich ganz wie ihre biologischen Vorbilder in einen Wirt, also etwa ins Computersystem einpflanzen und dort extremen Schaden anrichten können. Unter den umgangssprachlichen Begriff der Computerviren fallen dabei auch Programme wie Würmer oder Trojaner. Die Verbreitung läuft oft automatisch und die Infizierung völlig unbemerkt ab.

Eine klassische und bekannte Methode, sich solche Schadsoftware einzuhandeln, ist das Öffnen von Links oder Anhängen aus E-Mails. Dabei besteht bei Schadsoftware nicht nur die Gefahr, dass der Computer oder das jeweilige Gerät angegriffen wird. Die Programme können beispielsweise auch einen Keylogger enthalten, der Eingaben erfasst und an den Übeltäter weiterleitet – womit natürlich auch Zugangsdaten zu Shop- oder Warenwirtschaftssystemen ausgelesen werden können. 

Nur aktuell ist gut: Antivirenscanner

Auf das Öffnen von Nachrichten rein sicherheitshalber zu verzichten kann wohl kaum der richtige Weg sein, die Integrität seines Systems zu schützen. 

Der Schlüssel lautet hier: Antiviren-Software, bzw. -Scanner. Das Angebot ist vielfältig, es gibt kostenfreie und sehr kostenintensive Modelle. Auf was die Wahl fällt, sollte nach den persönlichen Bedürfnissen entschieden werden. Aktuelle Übersichten gibt es in vielen Computerzeitschriften. Eine ausführliche Übersicht über diverse Programme und deren Schutzwirkung gibt es außerdem auf der Website https://www.bundespolizei-virus.de/virenscanner/ – einem Projekt der Initiative „bleib-Virenfrei“, das hier über den weit verbreiteten gleichnamigen Trojaner informiert. 

Die unterschiedlichen Fähig- und Möglichkeiten verschiedener Systeme abzuwägen, benötigt vielleicht ein wenig Zeit, allerdings ist dann auch bekannt, auf was sich verlassen werden kann. Auf bloße Online-Virenscanner sollte dabei nicht alleinig zurückgegriffen werden: Sie kontrollieren den Computer zwar im Zeitpunkt des Scans, aber das war es dann auch. Ist ein Virus zu diesem Zeitpunkt schon auf dem Gerät und wird entdeckt, kann es zu spät sein. Spielt er sich nach dem Scan auf, bleibt er bis zum nächsten Scan womöglich unentdeckt und hat Zeit zum Schalten und Walten. 

Damit kann nun der Bogen zur anfangs erwähnten Bequemlichkeit geschlagen werden: Mit der einmaligen Installation eines Antiviren-Programms ist es nicht getan. Da Schadsoftware permanent weiterentwickelt wird, sollte besonders auf regelmäßige Updates des Schutzes geachtet werden. Nicht jedes Programm inkludiert diese oder führt sie automatisch durch. 

Firewall: Die „Brandschutzmauer“ für Systeme und Rechner

Abseits der Antivirenprogramme gibt es die Firewalls. Während die eigentliche Firewall besonders in größeren Netzwerken wie jenen von Unternehmen eingesetzt wird, um die Datenströme zwischen internem und externem Netzwerk zu kontrollieren, ist die Personal Firewall das bekanntere Modell: Diese findet sich direkt auf dem Computer und schützt nur diesen, nicht aber das gesamte interne Netzwerk. Solche Firewalls sind ein fester Bestandteil für den Schutz für Schadsoftware. Es sollte aber beachtet werden, dass sie Virenscanner nicht obsolet machen, sondern gerade das Gemenge aus verschiedenen Schutzmaßnahmen für Sicherheit sorgt.

Kauderwelsch kann helfen: Die Verschlüsselung

Ein absolut sicherer Schlüssel zu einem Zimmer kann schön und gut, aber völlig nutzlos sein, wenn die Terassentür offensteht. Ein Bereich der IT-Sicherheit, der dem ein oder anderen Online-Händler im Zusammenhang mit der DSGVO nochmals bekannt geworden ist, ist die Verschlüsselung der Internetverbindung. Sie gibt die Prinzipien vor, dass die Verarbeitung vertraulich ablaufen soll. Damit muss auch der Zugriff Unbefugter ausgeschlossen sein. Werden Daten unverschlüsselt übertragen, können sie aber von Dritten erfasst und ausgelesen werden. Das ist besonders bei der Eintragung und Übertragung sensibler Daten mit Risiken verbunden, etwa wenn es um Kreditkarteninformationen geht.

Dass eine Website Daten verschlüsselt überträgt, kann innerhalb der URL am Präfix „https://“ erkannt werden. Ohne Verschlüsselung ist es hingegen „http://“ – es fehlt das „s“, welches für Secure steht. Für geschäftsmäßig angebotene Telemedien, worunter auch Online-Shops fallen, ist ein „als sicher anerkanntes Verschlüsselungsverfahren“ gem. § 15 Abs. 7 S. 3 TMG, ohnehin vorgeschrieben. Dabei ist auch vorgegeben, dass der Stand der Technik berücksichtigt werden muss, sodass es auch an dieser Stelle regelmäßige Aktualisierungen braucht. Doch nicht nur rechtliche Gründe sprechen dafür, den Shop mit einer Übertragungsverschlüsselung auszustatten. Neben diesem Punkt und dem Schutz-Aspekt sprechen praktische Gründe für die Implementierung einer Verschlüsselung: Einerseits wird die Verschlüsselung für das Ranking bei Google beachtet, andererseits sind Websites in bestimmten Browsern ohne diese gar nicht mehr ohne Weiteres abrufbar. 

SSL-Zertifikate erhält man bei entsprechenden Zertifizierungsstellen, oft ist auch der Webhost der richtige Ansprechpartner dafür. Es gibt unterschiedliche Versionen, die Teils an Telefonnummern (Organisationsvalidierung) oder sogar an Einträge in öffentliche Register, wie das Handelsregister, anknüpfen (Erweitere Validierung) und damit auch Website-Besuchern eine besondere Sicherheit ihrer Daten signalisieren - letztere färben die Adresszeile in vielen Browsern grün. Die Kosten bewegen sich bei wenigen Euro pro Monat. Einige Hosts stellen die Zertifikate außerdem kostenfrei bereit. 

Auch die Geräte selbst können und sollten verschlüsselt werden. So sind die Daten von Online-Händlern, aber auch ihrer Kundschaft, vor unerlaubtem Zugriff besser geschützt. Ein Angriff lauert womöglich schließlich nicht nur digital, sondern auch ganz analog.

Software: Vertrauen ist gut, Kontrolle besser

Wie sich zeigt, kann Software absichern, wie beispielsweise ein Virenscanner, oder schädlich sein, wie ein Virus. Software kann aber auch schlicht Sicherheitslücken aufweisen, oder auf jegliche Art von Sicherung verzichten. Wollen Online-Händler auf Nummer Sicher gehen, sollten sie bei jeglicher verwendeter Software überprüfen, ob sie ihren Ansprüchen an IT-Sicherheit gerecht wird – und das auch zukünftig. Viele Gefahren lassen sich natürlich nicht voraussehen. Mit Software, die fortlaufend mit Updates oder Patches versorgt wird, und das idealerweise mit geringen oder völlig ohne Kosten, stellen Online-Händler eine wichtige Weiche auf dem Weg zu einem nachhaltigen Sicherheitskonzept. 

IT-Sicherheit ist anspruchsvoll, und kleine aber entscheidende Details von Software nicht immer ersichtlich. Ein guter erster Anhaltspunkt für die Auswahl von Software kann dabei schon die Präsentation des Produkts durch den Anbieter sein: Spielt IT-Sicherheit dort eine Rolle? Werden Updates und/oder Support beschrieben, und wie lange werden diese bereitgestellt? Gibt es eine Auszeichnung mit einem bekannten Gütesiegel? Und ist der Anbieter selbst seriös?Ist ein zum Download angebotenes Programm selbst echt?  

Beispiele für Software, die berücksichtigt werden sollte:

• Shopsysteme
• Warenwirtschaftssysteme
• Browser
• E-Mail-Clients
• Betriebssysteme
• Apps für mobile Anwendungen
• Web-Applikationen
• Cloud-Dienste
• Anwendungen von Zahlungsdienstleistern

Gerade Open Source Software sieht sich dabei hin und wieder dem Vorwurf ausgesetzt, Risiken mit sich zu bringen. Schließlich kann der Programmcode einfach verändert, bzw. manipuliert werden. Allerdings steht hinter vielen Open Source-Programmen oft eine große, ambitionierte Community, die Probleme schnell aufgreift und löst, oder Support leisten kann. Gleichzeitig sollte natürlich auch hier auf Integrität geachtet werden.

Arbeiten unterwegs: Offenes Wlan – Für Alle! 

Online-Händler sind in vielen Fällen prädestiniert dafür, unterwegs arbeiten zu können. Im seltensten Fall wird dabei auf das eigene Datenvolumen des mobilen Internets zurückgegriffen, schließlich ist dieses schnell verbraucht. Öffentliche W-Lan-Hotspots sind dann das Mittel der Wahl. Oftmals handelt es sich dabei aber um ungesicherte Netzwerkverbindungen - daran erkennbar, dass auf die fehlende Verschlüsselung hingewiesen wird, oder sich ein Hinweis in der Datenschutzerklärung findet.

Ist das der Fall, sollten Online-Händler behutsam sein und auf die Eingabe sensibler Informationen wie Zugangsdaten verzichten und auch keine sensiblen Daten abrufen. Es ergibt sich das Risiko, dass diese ausgespäht werden. Noch dazu darf nicht vergessen werden, dass W-Lan-Netze frei benannt werden dürfen. Es ist daher nicht auszuschließen, dass eine Person in betrügerischer Absicht einen scheinbaren Hotspot unter dem Namen eines bekannten Anbieters bereitstellt, der tatsächlich aber etwa dem Phishing dient. Schon bei der Wahl eines Hotspots sollten die Augen daher offen gehalten werden, die automatische Anmeldung möglichst vermieden. Hier droht schließlich auch die Gefahr einer Datenpanne, die in Zeiten der DSGVO einen großen Aufwand auslöst.

Sollte die Nutzung eines öffentlichen W-Lans unumgänglich sein, rät das Bundesamt für Sicherheit in der Informationstechnik Bürgern zur Nutzung eines Virtual Private Networks (VPN). Dabei werden die Daten zwischen dem (Mobil-)Gerät und dem genutzten VPN-Server verschlüsselt übertragen, es wird quasi ein Tunnel zum Server errichtet. Die Angebote sind vielfältig, und auch hier gibt es kostenfrei und kostenpflichtige Varianten. Die Auswahl sollte anhand der eigenen Bedürfnisse ausgerichtet werden, ein wichtiger Punkt ist dabei etwa die Schnelligkeit und Stabilität der Verbindung. Gleichzeitig sollte darauf geachtet werden, dass DSGVO-konforme Lösungen gewählt werden.

Lieber Vorsorge als Nachsorge: Zusammenfassung

Auch für kleine Online-Händler ergeben sich diverse Schalter und Hebel, mit denen sie für ein gutes Sicherheitskonzept hinsichtlich ihrer IT sorgen können. Gerade die stimmige Gesamtheit der Maßnahmen ist dabei wichtig. Es gilt: Eine Kette ist nur so stark wie ihr schwächstes Glied. Wer sich gegen Gefahren aus dem World Wide Web schützen will, tut gut daran, entsprechende Angebote sorgfältig zu prüfen oder sich gar individuell beraten zu lassen - Pflicht ist das aber nicht grundsätzlich. 

Zum Schluss ein paar allgemeine Tipps:

• Regelmäßige Backups aller relevanten Daten schützen vor üblen Konsequenzen wie Datenverlust. Diese lassen sich auch automatisieren. 
• Software sollte angesichts immer neuer Gefahren immer auf dem neuesten Stand sein. Angebote mit Updates und Support sorgen vor.
• Genutzte Software sollte die Anforderungen der DSGVO erfüllen, nicht nur im Sinne der Kundschaft.
• Bei der Arbeit unterwegs, im Hotel im Urlaub, der Bahn etc. sollten besondere Vorkehrungen getroffen werden (bspw. geschütztes Wlan, VPN-Tunnel)
• Die Gefahr geht besonders im Internet nicht von einer einzelnen böse dreinschauenden Person mit Skimaske an einem Laptop aus, wie Stockfotos gerne vermitteln. Sie sollte durchaus ernst genommen werden.