Safer Shopping

In der heutigen Zeit ist der Handel über das Internet aus der Geschäftswelt nicht mehr wegzudenken. E-Commerce rückt für Dienstleister immer mehr ins Zentrum des Geschäftsalltags. Im gleichen Maße, wie der digitale Handel wächst, spielt auch der Sicherheitsgedanke eine zunehmend große Rolle, denn die neue Form des Handels lockt auch Menschen mit krimineller Energie an. Ein Angriff kann dabei unterschiedliche Ziele verfolgen. Meist sind die personenbezogenen Daten registrierter Benutzer ein lohnenswertes Ziel, denn sie lassen sich für Identitätsdiebstahl missbrauchen, auf anderen Onlineplattformen wiederverwenden oder auf dem Schwarzmarkt im sogenannten Darknet veräußern.

Doch wie genau gehen digitale Angreifer vor? Und welche Sicherheitsmaßnahmen können Betreiber von Onlineshops ergreifen, um sich gegen Angriffe besser zu wappnen? Auf diese Fragen werden wir im Folgenden einen kurzen Blick werfen.

Beliebtes Angriffsziel: Login

Ein beliebtes Ziel von Angreifern ist die Authentifizierung am Onlineshop selbst. Neben zu kurzen, wenig komplexen Passwörtern ist auch das Authentifizierungsverfahren selbst gegen Angriffe abzusichern. Hierbei darf die Applikation keine Möglichkeit bieten, vorhandene Benutzerkonten zu erraten. Ein typischer Angriffspunkt ist hier die „Passwort vergessen“-Funktion. Nach Eingabe eines Benutzernamens (oft die E-Mail-Adresse) verrät diese, ob eine E-Mail mit Informationen zum Zurücksetzen des Passworts verschickt wurde oder ob der Account überhaupt vorhanden ist. Aus Sicht des Betreibers wäre es sinnvoller, eine allgemeine Meldung auszugeben, z. B. "Es wurde versucht, eine E-Mail an das hinterlegte Konto zu versenden". Andernfalls erlaubt dieses sogenannte Information Leak mittels "Durchprobieren" (technisch: Enumeration) vorhandene Nutzeraccounts zu ermitteln, die dann in einem zweiten Schritt gezielt angegriffen werden können, um zugehörige Passwörter zu erraten. 

Schwaches Glied in der Sicherheitskette: das Passwort

Beim zuvor genannten Angriff wird die Loginmaske missbraucht, um die am häufigsten verwendeten Passwörter voll automatisiert gegen die im ersten Schritt erlangte Liste von Benutzernamen zu testen (sogenannte „Dictionary Attacks“). Erlaubt ein Onlineshop hier leicht zu erratende Passwörter wie „passwort“, „hallo“ und „123456“ oder schränkt die Anzahl der Fehlversuche nicht ein, erhält der Angreifer ohne großen Aufwand gültige Accounts. Dieser schnelle Test von einfach auszunutzenden Schwachstellen (sogenannte „Low-Hanging Fruits“) wird täglich voll automatisiert gegen alle öffentlich erreichbaren Webseiten durchgeführt.

Onlineshop-Nutzern sei daher geraten, sich für ihren Login möglichst lange Passwörter zu wählen, wobei eine längere, dafür aber besser merkbare Passphrase, am besten angereichert mit dialektalen Schreibweisen, die in keinem Wörterbuch zu finden sind, wie zum Beispiel „kleinesProviantkischtlemithohemKoffeingehalt“ einem eher kurzen komplexen Passwort à la „dlK$5i$8“ vorzuziehen ist.

Immer auf dem neuestem Stand sein

Ein Angreifer, der bis hierher noch nicht zum Erfolg gelangt ist, muss zielgerichtet gegen den Onlineshop vorgehen. Um nach öffentlich bekannten Schwachstellen zu suchen, versucht er sämtliche eingesetzte Software sowie deren Versionsnummern zu erraten. Sollte eine Software nicht auf dem aktuellsten Stand sein, besteht die Möglichkeit, öffentlich dokumentierte Schwachstellen zu finden und auszunutzen. Ein konsequentes Update- und Patchmanagement kann dem entgegenwirken. 

Im nächsten Schritt wird das Verhalten des Onlineshops bei manipulierten Anfragen genau untersucht. Hier bieten sich insbesondere Daten an, die vom Benutzer verändert und vom Server verarbeitet werden. Werden von den Entwicklern Fehler bei dieser Eingabevalidierung gemacht, so kann ein Angreifer aus dem eigentlichen Ablauf des Programms ausbrechen und eigene Anweisungen einschleusen. Dies kann mit dem Einsatz von unterschiedlichen Techniken geschehen. So kann beispielsweise eine Suche nach Produkten in einer Datenbank in der Art manipuliert werden, dass anstelle der Artikel sämtliche Datensätze der Benutzer ausgegeben werden, zum Beispiel durch sogenannte SQL Injections. Insbesondere anfällig sind hier Erweiterungen und Anpassungen, die vom Betreiber selbst oder einem Dienstleister durchgeführt wurden. 

Um sich vor solchen Angreifern zu schützen, müssen alle Komponenten des Systems betrachtet werden. Neben der Absicherung des Sessionmanagements muss sämtliche eingesetzte Software immer aktuell gehalten werden. An dieser Stelle empfiehlt es sich, die eingesetzte Software sowie sämtliche Erweiterungen und Anpassungen durch einen Penetrationstest regelmäßig auf mögliche Sicherheitsschwächen zu untersuchen, um somit zu verhindern, dass unbemerkt Lücken entstehen, die Angreifern ein Einfallstor für ihre Aktivitäten bieten könnten. Durch aktives Monitoring von verdächtigen beziehungsweise manipulierten Anfragen kann die Sicherheit weiter erhöht und im Falle eines Angriffs frühzeitig eingegriffen werden.