Onlineshop Sicherheit - Risiken richtig minimieren!

Ist Ihr Onlineshop sicher und zuverlässig, sind Ihre Daten gut geschützt? Die Onlineshop- Sicherheit wird in vielen Fällen erst dann wichtig, wenn es zu spät ist, und zwar, wenn die Händler Ihre Daten schon teilweise oder, noch schlechter, vollständig verloren haben. Damit dies nicht geschieht, sollte man sich früh genug gegen alle wichtigen Risiken absichern.

Die wichtigsten Risiken, gegen die sich ein Onlineshop-Betreiber absichern soll, sind:

  • Hardware-Ausfall,
  • Software-Ausfall,
  • menschliche Fehler,
  • Hacker-Angriffe,
  • Datendiebstahl.

Hardware-Ausfall

Beispiel: Festplatte, RAID, Netzteil, Arbeitsspeicher Ausfall jederzeit möglich.

Jeder Server oder sogar ein Rechenzentrum kann einen Ausfall haben. Am schlimmsten ist es, wenn eine Festplatte oder RAID kaputtgehen, dabei gehen alle Daten und Servereinstellungen komplett verloren. Genau für diesen Fall sollte man vorbereitet sein. Auch temporärere Ausfälle können zu großen Problemen und Umsatzverlusten führen.Hardware-Ausfall

Empfehlung 1 → Sourcen Sie das Problem komplett auf Ihren Hoster aus, indem Sie auf eine komplett virtualisierte Server-Infrastruktur umziehen. Der Hoster wird sich dann darum kümmern, dass Ihr Shop immer online ist und keine Daten wegen Hardware-Ausfälle verloren gehen. Der Nachteil, was wir z.B. bei einigen unseren Kunden beobachten, ist, dass eine solche Lösung teurer ist und eine schlechtere Performance aufweist im Vergleich zu den klassischen Lösungen mit multiplen physischen Servern.

Empfehlung 2 → Wenn ein virtueller Server nichts für Sie ist, kann man eine Serverinfrastruktur aus physischen Servern aufbauen, und zwar so, dass für Ihre Datenbank und Ihren Webserver jeweils zwei oder mehr Server zur Verfügung stehen. Wenn ein Server ausfällt, wird der andere die Arbeit weiterhin leisten, bis der erste repariert wird. Die Vorteile hier sind klar: niedrigere Kosten und höhere Performance. Wir haben noch nie erlebt, dass zwei Server zugleich einen schweren Hardware-Ausfall hatten.

Empfehlung 3 → Egal für welche Server-Infrastruktur Sie sich entscheiden, sollten Sie für eine ordentliche Backup-Strategie sorgen, die Ihre Bedürfnisse am besten abdeckt:

  • Sparen Sie nie, wenn es um Speicherplatz geht – Speicherplatz ist billig, Ihre Daten sind teuer.
  • Die gesicherten Daten sollen vollständig sein – d.h. gesichert werden sollen alle Skripte, alle Produktbilder und sonstigen Inhalte, sowie die komplette Datenbank.
  • Die gesicherten Daten sollen frisch genug sein, damit jeder Serverausfall ohne große Probleme zu überwinden ist.
  • Für eine Datenbank wäre ein zusätzliches Backup in Plaintext denkbar, um einen Datenverlust komplett auszuschließen, denn auch InnoDB-Datenbanken können brechen, obwohl es gar nicht sein sollte.
  • Halten Sie die wichtigen Backups nie auf demselben Server.

Empfehlung 4 → Setzen Sie auf eine verteilte System-Infrastruktur! Nutzen Sie für unterschiedliche Aufgaben unterschiedliche Systeme

  • Warenwirtschaft für Anschaffung, Lagerverwaltung und Bestellabwicklung, z.B. Büroware oder JTL
  • ein oder mehrere Onlineshops um die Produkte zu vermarkten und Bestellungen aufzunehmen, und
  • ein PIM-System um Produktinformationen qualitativ zu pflegen, z.B. TreoPIM, Akeneo oder Pimcore.

Wenn ein System ausfällt, werden die anderen immer noch funktionsfähig bleiben. So werden Sie Betriebsausfälle vermeiden können.

Software-Ausfall

Beispiel: Auf dem Server wird die PHP-Version aktualisiert und der Onlineshop funktioniert nicht mehr.

Software-AusfallSoftware-Ausfälle passieren viel öfter als Hardware-Ausfälle. Software-Ausfälle können nicht nur Ihren Onlineshop lahmlegen, sondern auch Ihre Daten kaputtmachen (das kommt äußerst selten vor). Datenbanktabellen können kaputtgehen und sollten repariert werden.

Empfehlung 1 → Den Onlineshop rechtzeitig auf Softwareänderungen vorbereiten und Software-Updates nur dann durchführen, wenn die komplette Software dafür vorbereitet und als vorbereitet getestet ist.

Empfehlung 2 → Auch bei Software-Ausfällen können die Backups sehr gut helfen.

Empfehlung 3 → Sie brauchen jemanden, der ständig einsatzbereit ist, auch an Feiertagen und am Wochenende, um Fehler solcher Art zu beheben es können die Mitarbeiter Ihres Hosters sein oder eine Agentur, die Ihren Shop betreut. Für unsere E-Commerce Agentur ist es Tagesgeschäft.

Menschliche Fehler


Beispiel: Ein Mitarbeiter eines Onlinehändlers aktualisiert ein Onlineshop-Modul direkt auf der Live-Umgebung und der Onlineshop funktioniert nicht mehr.

Sie, Ihre Mitarbeiter, Ihr Webmaster, Ihr Serveradmin oder sonstige Dienstleister können einen Fehler auch ohne böse Absicht begehen. Man soll daran denken, dass Sie Daten-Backups nicht immer von solchen Risiken absichern können. Ihre Systeme sollten so konfiguriert sein, dass der menschliche Faktor möglichst komplett ausgeschlossen ist.

Empfehlung 1 → Überprüfen Sie unbedingt, dass die eingerichteten Backups richtig und vollständig sind, denn auch hier können menschliche Fehler entstehen.

Empfehlung 2 Grenzen Sie Berechtigungen Ihrer Mitarbeiter ab, und schreiben Sie interne Richtlinien darüber, wer was und wann machen soll. Jeder Mitarbeiter darf die Berechtigungen erhalten, die er für die Erfüllung seiner eigentlichen Aufgaben benötigt, nicht weil Sie Ihm nicht vertrauen, sondern weil Menschen unbeabsichtigt Fehler machen können.

Empfehlung 3 → Führen Sie keine System-Updates oder Upgrades, Aktualisierung Ihrer Daten oder sonstigen technikbezogenen Maßnahmen am Freitag oder am Tag vor einem Feiertag oder kurz bevor Feierabend durch.


Hacker-Angriffe


Beispiel: DDOS-Attacken, Kreditkarten-Phishing etc.Hacker-Angriff

Dieses Risiko ist am gefährlichsten, denn niemand weiß und kann vorausahnen, welche Motive der Hacker wirklich verfolgt. Folgende Motive sind denkbar:

    Nur das letzte Motiv setzt keinen Zugang zu Ihrer Serverinfrastruktur voraus. Alle vorherigen Motive würden dazu führen, dass der Hacker einen vollen oder teilweisen Zugang zu Ihrer Serverinfrastruktur bekommt.

    Ihre Backups können auch dadurch gefährdet sein, wenn sie direkt auf Ihrem Server oder auf irgendwelchem FTP Server aufbewahrt werden. Die Zugangsdaten zu diesem FTP Server können ziemlich leicht über Ihren Server herausgefunden werden.

    Ein Hacker kann an Ihre Daten infolge von zwei Möglichkeiten kommen:

    • Spaß haben und sich selbst was beweisen (Sie haben großes Glück, wenn es so ist)
    • Ihre Daten klauen (und dadurch verdienen)
    • Ihnen die Sicherheitslücken bei Ihrem Onlineshop aufzeigen ( und dadurch verdienen)
    • Spam über Ihren Server verschicken oder verschicken lassen (und dadurch verdienen)
    • Ihren Onlineshop außer Gefecht setzen (und alle Daten vernichten, z.B. im Auftrag der Konkurrenz)
    • Durch eine DDOS-Attacke Ihren Onlineshop lahmlegen (im Auftrag der Konkurrenz).

    Nur das letzte Motiv setzt keinen Zugang zu Ihrer Serverinfrastruktur voraus. Alle vorherigen Motive würden dazu führen, dass der Hacker einen vollen oder teilweisen Zugang zu Ihrer Serverinfrastruktur bekommt.

    Ihre Backups können auch dadurch gefährdet sein, wenn sie direkt auf Ihrem Server oder auf irgendwelchem FTP Server aufbewahrt werden. Die Zugangsdaten zu diesem FTP Server können ziemlich leicht über Ihren Server herausgefunden werden.

    Ein Hacker kann an Ihre Daten infolge von zwei Möglichkeiten kommen:

    • Er nutzt die Sicherheitslücken in Ihrer Software aus, denken Sie daran, dass 90% aller Software-Updates darauf gerichtet sind, Bugs und Sicherheitslücken zu schließen.
    • Er klaut die Zugangsdaten über Ihren Rechner oder Rechner Ihrer Mitarbeiter.

    Daher hat die Onlineshop-Sicherheit auch direkt mit der Sicherheit der Rechner von allen Onlineshop-Mitarbeitern zu tun.

    Empfehlung 1 → Sorgen Sie für Sicherheit Ihrer Zugangsdaten, denn diese können ebenfalls von Hackern mithilfe von Trojanern, Viren in E-Mails, etc. geklaut werden:

    • Ändern Sie die Zugangsdaten regelmäßig.
    • Geben Sie Ihre Zugangsdaten nur an Personen, die diese benötigen.
    • Sperren Sie alle Zugänge, die Sie nicht benötigen, z.B. FTP Zugänge.
    • Speichern Sie NIE die Zugangsdaten im Browser oder sonstigen Programmen ab – ein gespeichertes Passwort wird fast von allen Programmen offen (nicht verschlüsselt) abgespeichert.

    Empfehlung 2 → Verwenden Sie moderne Shopsysteme und Software. Die technisch veralteten Systeme wie z.B. Wordpress, Opencart, modified eCommerce, xt Commerce 3 und einige sonstige sind für E-Commerce-Einsteiger gedacht, haben zu viele Schwachstellen und Sicherheitsprobleme und sollen für einen professionellen Einsatz im E-Commerce nicht verwendet werden.

    Empfehlung 3 → Mieten Sie die Server bei den Hosting-Providern, die Schutz gegen DDOS-Attacken anbieten oder nutzen Sie externe Services wie z.B. Claudflare

    Empfehlung 4 → Bitte denken Sie daran, wenn die Zugangsdaten zu Ihrem Backup-Server direkt auf dem Hauptserver gespeichert sind, wird der Hacker diese auch finden. Falls es sein Ziel ist, Ihre Daten zu löschen, wird er auch Ihre Backups löschen. Am effektivsten gegen Hackereinbrüche sind Pull-Backups. Bei dieser Art von Sicherung werden die Daten von einem externen und für den Hacker unauffindbaren Server gezogen (gepullt). Leider sind Pull-Backups am aufwendigsten bei der Einrichtung, dieser einmaliger Aufwand lohnt sich aber definitiv.

    Datendiebstahl


    Beispiel: Der Hacker klaut Ihre Kundendaten und versucht Ihnen diese zu verkaufen oder droht, diese zu veröffentlichen.

    Onlineshop-Datenschutz wird immer stärker ernst genommen, aber immer noch nicht ernst genug. Auch wenn die DSGVO jetzt in Kraft getreten ist und vieles vorschreibt, sind doch viele Onlinehändler überfordert und können die Sicherheit der Kundendaten nicht immer gewährleisten. Diebstahl der Kundendaten und/oder der Produktdaten ist keine sehr seltene Sache.

    Datendiebstahl

    Der Datendiebstahl kann sowohl von externen (z.B. durch Hacker) als auch von eigenen (ehemaligen) Mitarbeitern erfolgen, z.B. ein ehemaliger technisch affiner Mitarbeiter von unserem Kunden hat einen eigenen Onlineshop in direkter Konkurrenz zu unserem Kunden eröffnet und ist damit sogar erfolgreicher geworden als unser Kunde selbst.

    Empfehlung 1 Grenzen Sie den Datenzugang ein. Jeder Mitarbeiter darf nur auf die Daten zugreifen, die er für die Erfüllung seiner Aufgaben benötigt. Auch hier hat es nichts mit Vertrauen, sondern mit Absicherung gegen menschliche Fehler zu tun.

    Empfehlung 2 → Sorgen Sie für richtigen Datenschutz und unterschreiben Sie entsprechende Vereinbarungen mit Ihren Mitarbeitern.

    Empfehlung 3 → Falls notwendig, lassen Sie Mitarbeiter, die umfangreiche Berechtigungen haben, Vereinbarungen unterschreiben, dass diese X Jahre in keinen Wettbewerb treten dürfen, falls sie Ihr Unternehmen verlassen.

    Empfehlung 4 → Arbeiten Sie mit externen Dienstleistern, die eine professionelle Wartung und Support für Ihren Onlineshop und/oder Ihre Server-Infrastruktur anbieten, um die Berechtigungen Ihrer Mitarbeiter einzugrenzen und rechtzeitig Sicherheitslücken bei Ihrer Software zu schließen.

    Schlussfolgerung

    Es lauern viele Risiken in Bezug auf den Onlineshop-Datenschutz und die Sicherheit. Dass die Datensicherung wichtig ist, weiß jeder. Die Kundendaten und den Onlineshop sicher zu machen, ist aber eine zu schwierige Aufgabe, die ohne Hilfe von Profis kaum zu meistern ist. Nehmen Sie den Onlineshop-Datenschutz ernst und holen Sie rechtzeitig Hilfe. Die Investitionen in die Datensicherheit bringen zwar keine Umsätze, minimieren aber dafür die Verluste!