E-Commerce

Internet-Shops im Visier der Cybergangster

13.06.2012 von Uli Ries
Neben allerlei rechtlichen Vorgaben müssen Betreiber von Online-Shops ihre digitale Auslage auch technisch sichern. Schließlich geht es um Kundendaten, Bezahlinformationen - und das eigene Renommee.

Dass im Wochentakt irgendwo auf der Welt Kundendaten geklaut werden, dürfte sich inzwischen weitgehend herumgesprochen haben. Die Kette an Meldungen über gehackte Datenbanken oder nach einer Datenpanne im großen Stil ausgetauschte Kreditkarten reißt nicht ab. In der Regel stecken Cyber-Kriminelle hinter den Einbrüchen, die mit einer ganz eigenen Art des E-Commerce ihren Lebensunterhalt bestreiten: Die Diebe verkaufen die erbeuteten Login-Daten (Benutzernamen, Passwörter, E-Mail-Adressen) und natürlich auch Kreditkarten- und Bankinformationen meistbietend in Untergrundforen. Der prominente Hacker Dan Kaminsky bringt es auf den Punkt: "Wir kämpfen nicht länger gegen Kids. Heute werden wir von Menschen angegriffen, die selbst Kinder haben - und sie ernähren müssen."

Automatisierte Angriffe auf kleine Shops

Nach Paragraf 42 des Bundesdatenschutzgesetzes muss der Betroffene seine Datenpanne der Aufsichtsbehörde melden.
Foto: fotolia.com/Scott Hancock

Ähnlich wie Privatanwender, die per massenhaft versandte Phishing-E-Mail Opfer von Datendieben werden, werden auch Online-Shops nur sehr selten einzeln aufs Korn genommen. Nur die Platzhirsche wie Amazon, Ebay oder Paypal dürften regelmäßig gezielt angegriffen werden. Kleinere E-Commerce-Angebote werden dagegen vollautomatisch attackiert, etwa indem ein Skript automatisch per Suchmaschine Installationen einer bestimmten Shop-Software-Version aufspürt, in der eine leicht zu missbrauchende Schwachstelle bekannt ist. Ebenso automatisch geschieht dann der Einbruch ins System mittels dieser Lücke. Wen die Cyber-Diebe da genau ausnehmen, dürfte sie in den wenigsten Fällen interessieren. Wichtig ist ihnen nur, dass möglichst viele verwertbare Daten abgesaugt werden können.

Ist die Cyber-Attacke erfolgt, zwingt Paragraf 42 des Bundesdatenschutzgesetzes den Betroffenen, seine Datenpanne der Aufsichtsbehörde zu melden. Sprechen keine Sicherheitsbedenken dagegen, müssen auch die Betroffenen sofort informiert werden. Im Fall eines Online-Shops sind dies alle Kunden, deren Daten vorgehalten wurden. Sind die Betroffenen nicht individuell bekannt - beispielsweise weil keine Postanschrift vorliegt -, muss ein mindestens halbseitiger Hinweis in mindes-tens zwei bundesweit erscheinenden Tageszeitungen erfolgen. Laut Preisliste kostet eine solche Anzeige in der "Frankfurter Allgemeinen Zeitung" 40.000 Euro oder mehr - sehr viel Geld für eine Datenpanne. Unterbleibt die Benachrichtigung, sind Bußgelder möglich, die den Preis der Anzeigen um ein Mehrfaches übertreffen.

PCI-Anforderungen an die IT von Webshops
PCI-Anforderungen an die IT von Webshops
Hinter PCI verbirgt sich ein Regelwerk für den Zahlungsverkehr (Payment Card Industry Data Security Standard = PCI DSS), das seit Oktober 2010 in der Version 2.0 vorliegt. Diese Liste enthält zwölf Anforderungen für Bezahlverfahren, die im Unternehmensnetz zu erfüllen sind.
Anforderung 1:
Firewall zum Schutz der Daten
Anforderung 2:
Keine Kennwörter in Werkseinstellung
Anforderung 3:
Schutz der Daten von Kreditkarteninhabern
Anforderung 4:
Verschlüsselte Datenübertragung in öffentlichen Netzen
Anforderung 11:
Entwicklung und Pflege sicherer Systeme und Anwendungen
Anforderung 7:
Beschränkung der Datenzugriffe auf das Notwendigste
Anforderung 8:
Eindeutige User-Kennung für Rechnerzugang
Anforderung 10:
Logging aller Zugriffe auf Kreditkartendaten
Anforderung 6:
Regelmäßige Prüfung aller Security-Systeme
Anforderung 12:
Richtlinien zur Informationssicherheit

Passwörter nicht im Klartext abgespeichern

Eine Maßnahme ist das Verschlüsseln der Datenbanken, in denen die Informationen gespeichert werden.
Foto: MEV Verlag

"Eine Studie belegt, dass sich Kunden von Online-Shops Sicherheitsmaßnahmen wünschen, mit denen sie personenbezogene Daten beziehungsweise Kreditkartendaten vor ungewünschtem Zugriff schützen können", sagt Jochen Klotz, Senior Technical Consultant beim Verschlüsselungsspezialisten RSA. "In der Praxis gehen Kunden aber doch eher den einfachen Weg und verwenden Passwörter anstelle von sicheren Tokens oder Chipkarten. Es sind also Sicherheitsmaßnahmen gefordert, die Zahlungsdaten vor Betrug schützen, das Kaufverhalten aber nicht beeinträchtigen."

Eine dieser Maßnahmen ist das Verschlüsseln der Datenbanken, in denen die Informationen gespeichert werden. Jede gängige Datenbank lässt sich codieren. Passwörter sollten zudem niemals im Klartext gespeichert werden, sondern nur ihr Hash-Wert. Zum Erzeugen des Hash wird oft der MD5-Algorithmus verwendet, der inzwischen jedoch nicht mehr zeitgemäß ist. Durch Hinzufügen einer vom Anwender eingegebenen, zufälligen Zeichenkette (Salt) lässt sich aber auch eine Brute-Force-Attacke auf MD5-Hashes spürbar verlangsamen. Werden zu kurze Passwörter zudem durch Key Stretching künstlich verlängert, erhöht sich der Aufwand für den Cracker noch einmal. Aus Tagen können so Jahre werden, die zum Knacken der Passwörter oder anderer Datenbankeinträge nötig sind.

Verschlüsselung - So schützen Sie Ihre Daten
Die eingebaute Sicherheit
Seit Windows 200 ist es auf einem NTFS-Dateisystem möglich, mittels EFS (Encrypted File System) Dateien zu verschlüsseln, so dass ein anderer Anwender nicht mehr auf sie zugreifen kann.
Windows warnt den Anwender
Will er nur eine einzelne Datei mittels EFS absichern, so rät das Betriebssystem dazu, auch die darüber liegenden Ordner mit zu verschlüsseln.
Nur so ist die Wiederherstellung wieder möglich
Das Windows-System bietet bei der Verschlüsselung einer Datei mittels EFS an, Zertifikat und Schlüssel auf einem externen Speichermedium zu sichern.
Der Standard bei EFS
Eine Datei mit der Endung *.PFX dient dem sogenannten "privaten Informationsaustausch", ohne dass dabei eine Zertifizierungsstelle zum Einsatz kommen muss.
Das Zertifikat wurde erfolgreich erstellt
Mit seiner Hilfe kann dann eine verschlüsselte Datei auch ohne das Passwort wiederhergestellt werden.
Eigenschaften der Datei bringen es an den Tag
Diese Datei wurde mit dem verschlüsselten Dateisystem EFS gesichert.
Beim Dateizugriff bemerkt ein Anwender nicht, dass er auf eine verschlüsselte Datei zugreift
Hat er bei den Ordneroptionen die entsprechende Einstellung gewählt, so werden ihm diese Dateien aber in einer anderen Farbe angezeigt.
Vielfältige Möglichkeiten, aber nur bei bestimmten Windows-Versionen vorhanden
Die Verschlüsselungstechnik Bitlocker erlaubt es, ganze Partitionen mitsamt dem Betriebssystem zu verschlüsseln.
Der "Bitlocker To-Go"
Diese unter Windows 7 und Windows 8/8.1 zur Verfügung stehende Technik ermöglicht die Verschlüsselung von mobilen Laufwerken. Für den lesenden Zugriff auf diese Geräte kann eine entsprechende Software auch unter Windows XP zum Einsatz kommen.
Auch beim Bitlocker-Einsatz unbedingt wichtig
Der Wiederherstellungsschlüssel kann ausgedruckt oder auf einem externen Laufwerk gespeichert werden, so dass die Daten auch nach dem Verlust des Passwortes noch im Zugriff bleiben.
Mächtige freie Lösung
Eine Open-Source-Lösung, die ganze Partitionen und auch den Bereich des Betriebssystems komplett verschlüsseln kann: DiskCryptor.
VeraCrypt soll die Nachfolge von TrueCrypt antreten
Die Entwickler haben Teile des Source Codes von TrueCrypt übernommen, aber die Sicherheitslücken beseitigt. TrueCrypt-Container lassen sich auch mit diesem Programm öffnen.
Die Freeware Cryptainer LE
Sie ermöglicht es, Dateien, Verzeichnisse und E-Mail-Nachrichten einfach in Datei-Containern bis zu einer Größe von 100 MB abzulegen.
Die Protectorion Encryption Suite
Eine freie Lösung, die viele Funktionen in sich vereint, die Nutzer bereits von TrueCrypt her kennen. Sie steht auch in einer portablen Version bereit.
DirectAccess von Microsoft
Mit diesem Feature hat der Hersteller eine Zugriffstechnologie in das Betriebssystem integriert, die einen sicheren und verschlüsselten Zugriff auf das Unternehmensnetzwerk ohne zusätzliche Hardware und VPN-Software ermöglicht.
Scribbos von Stonebranch
Die Lösung erlaubt die verschlüsselte Kommunikation über das Internet in einer E-Mail-ähnlichen Form. Sie kann aber auch in Outlook integriert werden und bietet dem Anwender dort auch die entsprechende Verschlüsselung an (Quelle: Stonebranch).

Eine weitere Möglichkeit ist das Verschlüsseln und Virtualisieren von Kundendaten, kurz "Tokenization". "Hierbei werden die sensiblen Daten durch Ersatzwerte verschlüsselt, die dann für Transaktionen genutzt werden. Die Kreditkartendaten befinden sich nur kurze Zeit verschlüsselt im System des Händlers. "Sollten Unbefugte an diese Daten gelangen, können sie sie nicht auf die ursprünglichen Zahlungsdaten eines Kunden zurückführen", erklärt RSA-Mann Klotz. Sein Arbeitgeber hat mit dem "RSA SafeProxy" ein Produkt im Angebot, das sich um die Tokenization der kritischen Daten kümmert.

Zwar ist SSL (Secure Sockets Layer) im vergangenen Jahr durch die spektakulären Angriffe auf schlecht gesicherte Zertifizierungsstellen (Certificate Authorities = CAs) ins Gerede gekommen. Grundsätzlich ist SSL aber immer noch das Mittel der Wahl. Wer im Jahr 2012 mit Kunden- oder Kreditkarteninformationen hantiert und deren Transfer nicht per SSL verschlüsselt, handelt verantwortungslos und sollte von Käufern gemieden werden. SSL sichert nicht nur den Datentransfer zwischen Client und Server ab, es stellt auch die Authentizität des Shop-Betreibers sicher. Wer seinen Kunden ein noch größeres Gefühl der Sicherheit vermitteln will, lässt sich ein Extended-Validation-(EV-)Zertifikat ausstellen und wählt eine renommierte CA wie Verisign oder Thawte.

Mehr Sicherheit mit Tokens auf Softwarebasis

Mehr Sicherheit versprechen Tokens auf Softwarebasis.
Foto: fotolia.com/Gina Sanders

Noch mehr Sicherheit verspricht Zwei-Faktor-Authentisierung, wie sie im Unternehmensumfeld schon seit Jahren durch die RSA-Tokens bekannt ist. Nachdem die Tokens aber vielen Kunden zu umständlich sind - Paypal gab die Passwort-Generatoren einige Zeit lang aus - kam beispielsweise Symantec auf die Idee eines softwarebasierten Tokens.

Unter dem Namen Symantec Validation and ID Protection Service (VIP) bietet das Unternehmen einen Cloud-Dienst, der nicht nur von Größen wie Ebay oder Paypal genutzt werden kann. Laut Thomas Hemker, Sicherheitsstratege bei Symantec Deutschland, ist VIP auch für kleinere Shop-Betreiber interessant. Bezahlt wird pro registrierten Kunden, und es muss lediglich eine Gateway-Lösung installiert werden. Den Rest erledigt der Cloud-Service. Die Kunden des Shops können die Einmal-Passwörter entweder per Smartphone-App generieren oder auch vom PC aus. Der Dienst steht den Käufern kostenfrei zur Verfügung.

Symantecs Informationsdienst Deepsight liefert zudem auch IP-Adressen, von denen Attacken ausgingen. Per SCAP (Security Content Automation Protocol)-Feed oder XML-Datei können diese Informationen automatisch in entsprechende Firewall- oder IPS-/IDS-Komponenten eingespeist werden. Symantec-Mann Hemker weiß, dass vor allem Komponenten zum Absichern der Infrastruktur wie Web-Application- Firewalls oder leistungsfähige IPS-/IDS-Komponenten sehr teuer und kaum für kleinere E-Commerce-Anbieter tauglich sind. Seine Empfehlung lautet daher: "Am besten ist es, wenn der Hoster des Shop-Systems entsprechende Komponenten betreibt und sie zum Teil des Hosting-Angebots macht." (Computerwoche)