Mit einem Online-Shop werden in der Regel eine ganze Reihe von Nutzerdaten erfasst und auch abgespeichert. Das reicht von den persönlichen Daten wie Adresse, Geburtsdatum und Kontaktdaten bis zu Zahlungsdaten. Je nach Konfiguration werden beispielsweise auch sensible Kreditkartendaten oder Kontodaten erfasst und gespeichert.
Die Absicherungen von Online-Shops ist daher ein wichtiges Thema und sollte unabhängig von der Größe und Bekanntheit eines Shops ernst genommen werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in diesem Zusammenhang einige Hinweise veröffentlicht, die dem Schutz von Shops und Webseiten allgemein dienen.
Die Nutzung eines Zertifikates für die Kommunikation zwischen den Nutzern und dem Server des Online-Shops ist aus zwei Gründen wichtig. Einerseits kann die Kommunikation der Kunden dann nicht mehr mitgelesen werden. Damit sind Zahlungsdaten und allgemein alle gesendeten Daten geschützt. Auf der anderen Seite kann sich ein Kunde aber bei verschlüsselten HTTPS-Verbindungen auch sicher sein, dass er wirklich mit dem Server kommuniziert und die Antworten nicht von einem Dritten kommen, der schneller als der Shop antwortet. Man-in-the-Middle-Angriffe werden damit deutlich erschwert.
Die Nutzung von Zertifikaten hat noch einen weiteren Vorteil: viele Kunden schätzen sichere Verbindungen und Shops mit HTTPS als besonders vertrauenswürdig ein. Das wirklich sich auf die Absprungrate aus – die Zahl der Bestellungen steigt damit.
Viele Kunden nutzen beim Anlegen von Accounts immer die gleichen Passwörter und diese haben dazu oft nur eine sehr geringe Sicherheitsstufe. Phrasen wie „12345678“ oder das beliebte „Passwort“ als Passwort kommen leider immer noch viel zu häufig vor.
Diesem Verhalten können Online-Shops – zumindest ansatzweise – vorbeugen, in dem sie die Regeln für Passwörter restriktiv setzen. Passwörter sollten dabei mindestens 8, besser 10 Zeichen enthalten. Sonderzeichen sollte dabei mindestens enthalten sein, dazu wenigstens eine Zahl. Groß- und Kleinschreibung zu beachten ist ebenfalls sehr hilfreich und macht die Passwörter sicherer. Falls eine Shop-Software diese grundlegende Funktion nicht anbietet, sollte man überlegen, ob der Einsatz wirklich sinnvoll ist.
Sichere Passwörter nutzen allerdings nicht viel, wenn die Software Sicherheitslücken einhält. Daher sollte man als Betreiber eines Online-Shops darauf achten, die aktuellste Version der Shop-Software zu verwenden. Werden darüber hinaus noch Plug-ins eingesetzt, sollten auch diese immer auf den neusten Stand gehalten werden.
Bei vielen Systemen (beispielsweise WordPress mit den WooCommerce Shops) werden Betreiber automatisch benachrichtigt, wenn neuere Versionen vorliegen. Diese Funktion sollte man auch in keinen Fall deaktivieren.
Ansonsten helfen spezialisierte Sicherheitsportale und die Newsletter der Anbieter von Shop-Software, um auf den neusten Stand zu bleiben und reagieren zu können, wenn es neuere Software-Varianten gibt.
Um zu verhindern, dass bei Sicherheitslücken zu viel Schaden angerichtet werden kann, sollten die Zugriffsrechte auf die Dateien selbst möglichst restriktiv eingestellt werden. Das Rechte zum Schreiben benötigen nur die wenigsten Dateien in einem Shopsystem und sollte daher auch nur dann vergeben werden, wenn es wirklich notwendig ist.
Prinzipiell gilt dabei: je weniger Berechtigungen man vergibt, desto weniger Schaden kann im Falle eines erfolgreichen Angriffs auf den Shop angerichtet werden.
Für größere Shopsysteme ist es sinnvoll, die Sicherheit grundlegend extern validieren zu lassen. Das ist in der Regel mit Kosten verbunden, die aber meistens unter dem Schaden liegen, den ein erfolgreicher Angriff verursachen kann.
Für kleinere Shops kann man einige dieser Sicherheitstests – etwas technisches Know-How vorausgesetzt – auch selbst durchführen.
Prinzipiell sollte man sich als Betreiber bewusst machen, dass man mit einem Online-Shop auch für die Daten der Kunden Verantwortung übernimmt und im Zweifelsfalls dafür haftet. Ein sicheres Shopsystem kann hier helfen, Probleme gar nicht erst aufkommen zu lassen.
Um Ihnen ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn Sie diesen Technologien zustimmen, können wir Daten wie Ihr Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn Sie Ihre Zustimmung nicht erteilen oder widerrufen, können bestimmte Merkmale und Funktionen beeinträchtigt werden.