(Gastartikel): Gerade um die Weihnachtszeit werden Verbraucher und Online-Shop-Betreiber wieder verstärkt gewarnt: Sehen Sie sich vor Malware vor! Diese Warnung sollte jedoch das ganze Jahr über gelten und vor allem etwas spezifiziert werden, damit sich sowohl die Unternehmens- als auch die Verbraucherseite effizienter schützen kann.
Malware: aktuelle Meldungen
Online-Shops sind ein sehr beliebtes Ziel für Malware-Angriffe! Daten wie Kreditkartennummern können direkt zu finanzstarken Erfolgen von Cyberkriminellen führen. Aber auch der Verkauf von Verbraucherdaten ist leider zu einem lukrativen Geschäft verkommen.
Im Oktober etwa stieß ein Sicherheitsforscher, der unter dem Pseudonym „Gwillem“ bekannt ist, darauf, dass fast 6.000 Online-Shops Opfer von Malware-Attacken seien. Kreditkarten-Skimmer seien dazu eingesetzt worden, Kreditkartendaten zu stehlen. Die Sicherheitslücken in den verschiedenen Shopsystemen würden als Einfallstor genutzt werden und die eingesetzte Malware zeige sich immer geschickter im Abgreifen von Daten.
Ransomware hielt viele Unternehmen und Verbraucher dieses Jahr in Schach – Tendenz steigend, davon kann man leider ausgehen. Diese tückische Bedrohung verschlüsselt Daten, um sie erpresserisch gegen Lösegeld wieder zu entschlüsseln. Daten sind das Gold unserer Zeit: ohne Daten kein Shop, kein Versand, keine Kunden, keine Einnahmen. Locky war und ist hier federführend, andere Erpressungstrojaner zogen nach.
Schadsoftware: die unterschätzte Gefahr
Erkundigt man sich bei der Geschäftsleitung zum Thema Malware, hört man oft diese oder ähnliche Worte: „Wir sind bestens geschützt, wir nutzen eine Anti-Viren-Suite, die alle Arbeitsplatz-Rechner abdeckt.“ Klar: eine solche Suite ist ein Anfang. Allerdings kann sie keinen hundertprozentigen Schutz bieten:
Programme können nicht jeden neuen Schädling zuverlässig sofort entdecken und in den jeweiligen Virendefinitionen erfassen. Für diese Virendefinitionen sind regelmäßige Updates Voraussetzung, und das Patch-Management lässt vielfach zu wünschen übrig.
Es bleibt also ein Restrisiko. Bei Ihnen als Shop-Betreiber bleiben genau genommen zahlreiche Risiken: Sicherheitslücken in dem von Ihnen verwendeten Shopsystem können genauso als Einfallstor dienen wie unzureichend abgesicherte Datenbanken oder schwache Passwörter von Kunden, die einfach geknackt werden und somit Zugang zu Kunden-Accounts liefern.
Begreifen Sie Malware als Betriebsrisiko
Malware existiert in derartig vielen Formen, dass es ganze Bücher füllen würde, sie in aller Gänze zu beschreiben. Schon aus betriebswirtschaftlicher Sicht ist es für Sie als Shop-Betreiber jedoch sinnvoll, sich ausführlich mit der Thematik Schadprogramme auseinanderzusetzen.
Denn wenn Teile Ihrer IT-Infrastruktur durch Malware infiziert sind, sind eben nicht nur diese lokalen Daten in Gefahr, sondern Ihr ganzes Unternehmen. Bedenken Sie, dass es zur Ansteckung weiterer Systeme in Ihrem Netzwerk kommen kann.
Werden Kunden-Accounts gekapert dann steht auch Ihr Online-Shop beizeiten auf Listen von Forschern, die Malware-verseuchte Shops veröffentlichen und Ihr Firmenimage bekommt deftige Kratzer. Sehen wir uns das an einem Beispiel des Sicherheitsanbieters Avast an:
Avast entdeckte während seines Online-Scannings einen bestimmten Shop, der mit Malware verseucht war. Hätten Kunden den Shop aufgerufen, wäre die Wahrscheinlichkeit sehr groß gewesen, dass diese ihre IT ebenfalls verseucht hätten. Also setzte Avast diesen Shop auf seine Blacklist. Für alle Avast-Nutzer ist der Shop gesperrt – er kann keine Einnahmen mehr generieren.
Basisschutz für Online-Shops
Malware hat zahlreiche Wege, in Ihren Shop zu gelangen. Deshalb kann eine AV-Suite nicht die einzige Lösung gegen Schadsoftware sein. Der Basisschutz für Online-Shops braucht zusätzlich zur Anti-Viren-Suite folgende Bestandteile:
- Firewall: sie schützt Ihre Kommunikation von und nach außen.
- Patch-Management: halten Sie Ihre Systeme vom Betriebssystem bis hin zu sämtlichen Programmen stets aktuell, um Sicherheitslücken möglichst auszuschließen.
- Server-Konfiguration: richten Sie Ihre Server so ein, dass Programme ausschließlich mit entsprechender Berechtigung ausgeführt werden können. Beachten Sie, dass von Kunden hochgeladene Daten in den Rechten beschränkt werden. Mindestens einmal täglich richten Sie eine Datensicherung ein – idealerweise an einem anderen Ort (z. B. externe Speicherlösungen, Rechenzentren, etc.), um beispielsweise auf Erpressungstrojaner vorbereitet zu sein.
- Passwort: sichern Sie auch Kunden-Accounts ab, indem Sie strenge Regeln für die Passwortvergabe einführen. Gute Passwörter haben mind. 10 Zeichen, bestehend aus Klein- sowie Großbuchstaben, darüber hinaus Zahlen und Sonderzeichen. Für zusätzliche Sicherheit sorgt die Zwei-Faktor-Authentifizierung.
- Verschlüsselung: kommunizieren Sie ausschließlich verschlüsselt. Verschlüsselung ist zwar kein direkter Malware-Schutz, jedoch identifizieren Sie sich dank SSL-/TLS-Zertifikat als der, der Sie zu sein scheinen. Das erhöht das Vertrauen in Sie. Nebeneffekt: Ihre Kommunikation kann weder manipuliert noch mitgelesen werden.
- Sichere Zahlverfahren: Studien zeigen, dass Kunden lieber kaufen, wenn ausreichend verschiedene Zahlverfahren vorhanden sind. Egal, wie der Kunde am liebsten zahlt: es darf ihn kein unangenehmes Gefühl dabei beschleichen, Zahldaten in Ihrem Online-Shop einzugeben. SSL-Verschlüsselung schafft erstes Vertrauen (insbesondere Extended Validation-Zertifikate, die die Adressleiste grün färben) und Datenschutz par excellence. Bequem sind für Kunden Zahlungsarten, die lange Eingaben vermeiden – beispielsweise PayPal.
- Gütesiegel: Zertifizierungen schaffen ebenfalls Vertrauen – und sie belegen, dass Sie Schritte zur Sicherheit von Kundendaten und gegen Malware unternehmen. Trusted Shops, TÜV oder EHI: Möglichkeiten existieren zahlreich.
- Gesetze: zu guter Letzt hat auch der Gesetzgeber einige Wörtchen mitzureden. TMG, BDSG (ab 2018 dann die EU-DSGVO) & Co. halten allerhand Vorgaben und Pflichten bereit.
Lassen Sie sich beraten
Sie sehen: Malware-Schutz hört definitiv nicht mit der AV-Suite auf – im Gegenteil: sie ist erst ein winziger Anfang. Jedoch darf Malware nicht unterschätzt werden, denn sie ist allgegenwärtig und tendenziell steigend. Schlimmstenfalls kann Malware Ihre Existenz kosten: ist der Ruf erst ruiniert, lebt es sich als Händler so gar nicht ungeniert.
Lassen Sie sich effizient und bedarfsgerecht beraten, denn jeder Online-Shop ist individuell und hat genauso individuelle Schutz-Bedarfe. Spezielle Anti-Malware-Produkte für Shop-Betreiber, darunter etwa „StopTheHacker“ als Cloud-basierte Sicherheitslösung, sind sehr sinnvoll und liefern die Basis effizienten Malware-Schutzes.
PSW GROUP – unser Service geht über den Standard hinaus
Christian Heutger ist CEO der PSW GROUP GmbH & Co. KG in Fulda. Als Internet Security Spezialist bietet die PSW GROUP neben maßgeschneiderten Signatur-, Verschlüsselungs- und Authentifizierungslösungen auch die passenden SSL-Zertifikate, Code-Signing-Zertifikate und S/MIME-Zertifikate plus einer umfassenden Beratung. |